Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo é a terceira parte de uma série de tutoriais de quatro partes. A primeira parte fornece uma visão geral das chaves gerenciadas pelo cliente, seus recursos e considerações antes de habilitar uma no registro. Na segunda parte, você aprenderá a habilitar uma chave gerenciada pelo cliente usando a CLI do Azure, o portal do Azure ou um modelo do Azure Resource Manager. Este artigo orienta você na rotação, atualização e revogação de uma chave gerenciada pelo cliente.
Girar uma chave gerenciada pelo cliente
Para girar uma chave, você pode atualizar a versão da chave no Cofre de Chaves do Azure ou criar uma nova chave. Ao girar a chave, você pode especificar a mesma identidade que usou para criar o registro.
Opcionalmente, pode:
- Configure uma nova identidade atribuída pelo usuário para acessar a chave.
- Habilite e especifique a identidade atribuída ao sistema do Registro.
Nota
Para habilitar a identidade atribuída pelo sistema do Registro no portal, selecione Configurações>de Identidade e defina o status da identidade atribuída pelo sistema como Ativado.
Certifique-se de que o acesso necessário ao cofre de chaves esteja definido para a identidade que você configura para acesso à chave.
Criar ou atualizar a versão da chave usando a CLI do Azure
Para criar uma nova versão de chave, execute o comando az keyvault key create :
# Create new version of existing key
az keyvault key create \
--name <key-name> \
--vault-name <key-vault-name>
Se você configurar o Registro para detetar atualizações de versão de chave, a chave gerenciada pelo cliente será atualizada automaticamente dentro de uma hora.
Se você configurar o registro para atualização manual para uma nova versão de chave, execute o comando az-acr-encryption-rotate-key . Passe o novo ID de chave e a identidade que você deseja configurar.
Gorjeta
Ao executar az-acr-encryption-rotate-key, pode-se passar um ID de chave versionado ou um ID de chave não versionado. Se você usar um ID de chave sem versão, o Registro será configurado para detetar automaticamente atualizações posteriores da versão da chave.
Para atualizar manualmente uma versão de chave gerenciada pelo cliente, você tem três opções:
- Gire a chave e use um ID de cliente de uma identidade gerenciada.
Se estiver a utilizar a chave a partir de um cofre de chaves diferente, verifique se identity tem as permissões get, wrap e unwrap nesse cofre de chaves.
az acr encryption rotate-key \
--name <registry-name> \
--key-encryption-key <new-key-id> \
--identity <client ID of a managed identity>
- Gire a chave e use uma identidade atribuída pelo usuário.
Antes de usar a identidade atribuída pelo utilizador, verifique se as permissões get, wrap e unwrap estão atribuídas a ela.
az acr encryption rotate-key \
--name <registry-name> \
--key-encryption-key <new-key-id> \
--identity <id of user assigned identity>
- Gire a chave e use uma identidade atribuída pelo sistema.
Antes de usar a identidade atribuída pelo sistema, verifique se as permissões get, wrap e unwrap estão atribuídas a ela.
az acr encryption rotate-key \
--name <registry-name> \
--key-encryption-key <new-key-id> \
--identity [system]
Criar ou atualizar a versão da chave usando o portal do Azure
Utilize as configurações de Criptografia do Registro para atualizar as definições do cofre de chaves, chave, ou identidade de uma chave gerida pelo cliente.
Por exemplo, para configurar uma nova chave:
No portal, aceda ao seu registo.
Em Configurações, selecione Criptografia>Mudar chave.
Em Criptografia, escolha uma das seguintes opções:
- Escolha Selecionar no Cofre da Chave e, em seguida, selecione um cofre de chaves e uma chave existentes ou selecione Criar novo. A chave que seleciona não é versionada e permite a rotação automática de chaves.
- Selecione URI da chave Enter e forneça um identificador de chave diretamente. Você pode fornecer um URI de chave versionada (para uma chave que deve ser girada manualmente) ou um URI de chave sem versão (que permite a rotação automática de chaves).
Conclua a seleção de teclas e selecione Salvar.
Revogar uma chave gerenciada pelo cliente
Você pode revogar uma chave de criptografia gerenciada pelo cliente alterando a política de acesso, alterando as permissões no cofre de chaves ou excluindo a chave.
Para alterar a política de acesso da identidade gerenciada que seu registro usa, execute o comando az-keyvault-delete-policy :
az keyvault delete-policy \
--resource-group <resource-group-name> \
--name <key-vault-name> \
--object-id <key-vault-key-id>
Para excluir as versões individuais de uma chave, execute o comando az-keyvault-key-delete . Esta operação requer a permissão para eliminar chaves.
az keyvault key delete \
--name <key-vault-name> \
--
--object-id $identityPrincipalID \
Nota
A revogação de uma chave gerenciada pelo cliente bloqueará o acesso a todos os dados do Registro. Se você habilitar o acesso à chave ou restaurar uma chave excluída, o registro selecionará a chave e você poderá recuperar o controle do acesso aos dados criptografados do Registro.
Próximos passos
Avance para o próximo artigo para solucionar problemas comuns, como erros ao remover uma identidade gerenciada, erros 403 e exclusões acidentais de chaves.