为客户管理的密钥配置础锄耻谤别密钥保管库

文档 Experience Platform Experience Platform 概述

为客户管理的密钥配置础锄耻谤别密钥保管库

Last update: Wed Jan 15 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

主题：

创建对象：

开发人员

客户管理的密钥(CMK)支持来自Microsoft Azure密钥库和AWS Key Management Service (KMS)的密钥。如果您的实施托管在Azure上，请按照以下步骤创建密钥保管库。对于AWS托管的实施，请参阅AWS KMS配置指南。

IMPORTANT

仅支持Azure密钥保管库的标准、高级和托管HSM层。不支持Azure Dedicated HSM和Azure Payments HSM。有关提供的密钥管理服务的详细信息，请参阅。

NOTE

以下文档仅介绍创建密钥存储库的基本步骤。在本指南之外，您应根据贵组织的策略配置密钥库。

登录到础锄耻谤别门户并使用搜索栏在服务列表下找到? Key vaults。

搜索结果中突出显示了Microsoft Azure中具有Key vaults的搜索功能。

选择服务后将显示? Key vaults ?页。从此处选择? Create。

在Microsoft Azure中突出显示Create的Key vaults仪表板。

使用提供的表单，填写密钥库的基本详细信息，包括名称和分配的资源组。

WARNING

虽然大多数选项可以保留为其默认值，但? 请确保启用软删除和清除保护选项。如果不启用这些功能，则在删除密钥库时，您可能会失去对数据的访问权限。

已突出显示具有软删除和清除保护的Microsoft Azure Create a Key Vault工作流。

在此处，继续完成Key Vault创建工作流，并根据您组织的策略配置不同的选项。

一旦您进入? Review + create ?步骤，您可以在密钥库验证过程中查看其详细信息。验证通过后，选择? Create ?以完成该过程。

Microsoft Azure Key电子仓库审阅和创建页面时突出显示。

配置访问权限 configure-access

接下来，为您的密钥库启用基于Azure角色的访问控制。在左侧导航的Settings部分中选择? Access configuration，然后选择? Azure role-based access control ?以启用设置。此步骤至关重要，因为以后必须将CMK应用程序与Azure角色关联。 API和UI工作流中均记录分配角色。

突出显示了Access configuration和Azure role-based access control的Microsoft Azure仪表板。

配置联网选项 configure-network-options

如果您的密钥库配置为限制对特定虚拟网络的公共访问或完全禁用公共访问，则必须授予惭颈肠谤辞蝉辞蹿迟防火墙例外。

在左侧导航中选择? Networking。在? Firewalls and virtual networks ?下，选中复选框? Allow trusted Microsoft services to bypass this firewall，然后选择? Apply。

突出显示了Microsoft Azure的Networking选项卡，其中包含Networking和Allow trusted Microsoft surfaces to bypass this firewall异常。

生成密钥 generate-a-key

创建密钥存储库后，即可生成新密钥。导航到? Keys ?选项卡并选择? Generate/Import。

高亮显示了Azure的Keys选项卡（包含Generate import）。

使用提供的表单提供密钥的名称，并为密钥类型选择? RSA ?或? RSA-HSM。对于Azure托管的实施，RSA key size ?必须是Azure Cosmos DB所需的至少? 3072 ?位。 Azure Data Lake Storage还与RSA 3027兼容。

NOTE

请记住您为键提供的名称，因为将键发送到础诲辞产别时需要使用该名称。

使用其余控件来配置要生成或导入的键（如果需要）。完成后，选择? Create。

突出显示了3072位的Create a key仪表板。