Aracılığıyla paylaş

Müşteri tarafından yönetilen anahtarı döndürme ve iptal etme

  • Makale

Bu makale, dört bölümlü bir öğretici serisinin üçüncü bölümüdür. Birinci bölüm, kayıt defterinizde etkinleştirmeden önce müşteri tarafından yönetilen anahtarlara, bunların özelliklerine ve dikkat edilmesi gerekenlere genel bir bakış sağlar. İkinci bölümde Azure CLI, Azure portalı veya Azure Resource Manager şablonu kullanarak müşteri tarafından yönetilen anahtarı etkinleştirmeyi öğreneceksiniz. Bu makalede, müşteri tarafından yönetilen anahtarı döndürme, güncelleştirme ve iptal etme adımları gösterilmektedir.

Müşteri tarafından yönetilen anahtarı döndürme

Anahtarı döndürmek için Azure Key Vault'taki anahtar sürümünü güncelleştirebilir veya yeni bir anahtar oluşturabilirsiniz. Anahtarı döndürürken, kayıt defterini oluşturmak için kullandığınız kimliği belirtebilirsiniz.

İsteğe bağlı olarak şunları da yapabilirsiniz:

  • Anahtara erişmek için kullanıcı tarafından atanan yeni bir kimlik yapılandırın.
  • Kayıt defterinin sistem tarafından atanan kimliğini etkinleştirin ve belirtin.

Not

Portalda kayıt defterinin sistem tarafından atanan kimliğini etkinleştirmek için Ayarlar>Kimliği'ni seçin ve sistem tarafından atanan kimliğin durumunu Açık olarak ayarlayın.

Anahtar erişimi için yapılandırdığınız kimlik için gerekli anahtar kasası erişiminin ayarlandığından emin olun.

Azure CLI kullanarak anahtar sürümünü oluşturma veya güncelleştirme

Yeni bir anahtar sürümü oluşturmak için az keyvault key create komutunu çalıştırın:

# Create new version of existing key
az keyvault key create \
  --name <key-name> \
  --vault-name <key-vault-name>

Kayıt defterini anahtar sürümü güncelleştirmelerini algılamak için yapılandırdığınızda, müşteri tarafından yönetilen anahtar bir saat içinde otomatik olarak güncelleştirilir.

Kayıt defterini yeni bir anahtar sürümü için el ile güncelleştirme için yapılandırdıysanız az-acr-encryption-rotate-key komutunu çalıştırın. Yeni anahtar kimliğini ve yapılandırmak istediğiniz kimliği geçirin.

İpucu

komutunu çalıştırdığınızda az-acr-encryption-rotate-key, sürüme dönüştürülen bir anahtar kimliği veya tersine çevrilmemiş anahtar kimliği geçirebilirsiniz. Tersine çevrilmemiş bir anahtar kimliği kullanırsanız, kayıt defteri daha sonra sonraki anahtar sürümü güncelleştirmelerini otomatik olarak algılamak üzere yapılandırılır.

Müşteri tarafından yönetilen anahtar sürümünü el ile güncelleştirmek için üç seçeneğiniz vardır:

  • Anahtarı döndürün ve yönetilen kimliğin istemci kimliğini kullanın.

Anahtarı farklı bir anahtar kasasından kullanıyorsanız, bu anahtar kasasında identity , wrapve unwrap izinlerine sahip getolduğunu doğrulayın.

az acr encryption rotate-key \
  --name <registry-name> \
  --key-encryption-key <new-key-id> \
  --identity <client ID of a managed identity>
  • Anahtarı döndürün ve kullanıcı tarafından atanan bir kimlik kullanın.

Kullanıcı tarafından atanan kimliği kullanmadan önce, , wrapve unwrap izinlerinin bu kimliğe atandığını getdoğrulayın.

az acr encryption rotate-key \
  --name <registry-name> \
  --key-encryption-key <new-key-id> \
  --identity <id of user assigned identity>
  • Anahtarı döndürün ve sistem tarafından atanan bir kimlik kullanın.

Sistem tarafından atanan kimliği kullanmadan önce, , wrapve unwrap izinlerinin bu kimliğe atandığını getdoğrulayın.

az acr encryption rotate-key \
  --name <registry-name> \
  --key-encryption-key <new-key-id> \
  --identity [system]

Azure portalını kullanarak anahtar sürümünü oluşturma veya güncelleştirme

Müşteri tarafından yönetilen bir anahtarın anahtar kasasını, anahtarını veya kimlik ayarlarını güncelleştirmek için kayıt defterinin Şifreleme ayarlarını kullanın.

Örneğin, yeni bir anahtar yapılandırmak için:

  1. Portalda kayıt defterinize gidin.

  2. Ayarlar'ın altında Şifreleme>Anahtarı Değiştir'i seçin.

    Azure portalındaki şifreleme anahtarı seçeneklerinin ekran görüntüsü.

  3. Şifreleme'de aşağıdaki seçeneklerden birini belirleyin:

    • Key Vault'tan Seç'i seçin ve ardından mevcut bir anahtar kasası ve anahtarı seçin veya Yeni oluştur'u seçin. Seçtiğiniz anahtar tersine çevrilmemiş ve otomatik anahtar döndürmeyi etkinleştirir.
    • Anahtar URI'sini girin'i seçin ve doğrudan bir anahtar tanımlayıcısı sağlayın. Sürümlü anahtar URI'si (el ile döndürülmesi gereken bir anahtar için) veya ters çevrilmemiş anahtar URI'si (otomatik anahtar döndürmeyi etkinleştirir) sağlayabilirsiniz.

  4. Anahtar seçimini tamamlayın ve kaydet'i seçin.

Müşteri tarafından yönetilen anahtarı iptal etme

Erişim ilkesini değiştirerek, anahtar kasasındaki izinleri değiştirerek veya anahtarı silerek müşteri tarafından yönetilen bir şifreleme anahtarını iptal edebilirsiniz.

Kayıt defterinizin kullandığı yönetilen kimliğin erişim ilkesini değiştirmek için az-keyvault-delete-policy komutunu çalıştırın:

az keyvault delete-policy \
  --resource-group <resource-group-name> \
  --name <key-vault-name> \
  --object-id <key-vault-key-id>

Bir anahtarın tek tek sürümlerini silmek için az-keyvault-key-delete komutunu çalıştırın. Bu işlem anahtar/ silme izni gerektirir.

az keyvault key delete  \
  --name <key-vault-name> \
  -- 
  --object-id $identityPrincipalID \

Not

Müşteri tarafından yönetilen anahtarı iptal etmek tüm kayıt defteri verilerine erişimi engeller. Anahtara erişimi etkinleştirirseniz veya silinen bir anahtarı geri yüklerseniz, kayıt defteri anahtarı seçer ve şifrelenmiş kayıt defteri verilerine erişim denetimini yeniden kazanabilirsiniz.

Sonraki adımlar

Yönetilen kimliği kaldırırken karşılaşılan hatalar, 403 hataları ve yanlışlıkla anahtar silme işlemleri gibi yaygın sorunları gidermek için sonraki makaleye ilerleyin.