Configuración de la clave administrada por el cliente (CMK) para el cifrado de datos en reposo para un clúster de Azure DocumentDB

En este artículo, aprenderá a configurar la clave administrada por el cliente (CMK) para el cifrado de datos en reposo en Azure DocumentDB. Los pasos de esta guía configuran un nuevo clúster de Azure DocumentDB, un clúster de réplica o un clúster restaurado. La configuración de CMK usa la clave administrada por el cliente almacenada en una instancia de Azure Key Vault y una identidad administrada asignada por el usuario.

Prerrequisitos

Una suscripción de Azure
- Si no tiene ninguna suscripción a Azure, cree una cuenta gratuita

Use el entorno de Bash en Azure Cloud Shell. Para más información, consulte Introducción a Azure Cloud Shell.
Si prefieres ejecutar comandos de referencia CLI localmente, instala la CLI de Azure. Si estás utilizando Windows o macOS, considera ejecutar Azure CLI en un contenedor Docker. Para obtener más información, consulte Cómo ejecutar el Azure CLI en un contenedor de Docker.
- Si estás utilizando una instalación local, inicia sesión en Azure CLI utilizando el comando az login. Siga los pasos que se muestran en el terminal para completar el proceso de autenticación. Para ver otras opciones de inicio de sesión, consulte Autenticación en Azure mediante la CLI de Azure.
- En caso de que se le solicite, instale las extensiones de la CLI de Azure la primera vez que la use. Para obtener más información sobre las extensiones, consulte Uso y administración de extensiones con la CLI de Azure.
- Ejecute az version para ver la versión y las bibliotecas dependientes que están instaladas. Para actualizar a la versión más reciente, ejecute az upgrade.

Preparación de la identidad administrada asignada por el usuario y Azure Key Vault

Para configurar el cifrado de claves administradas por el cliente en el clúster de Azure DocumentDB para MonogDB, necesita una identidad administrada asignada por el usuario, una instancia de Azure Key Vault y permisos configurados correctamente.

Importante

La identidad administrada asignada por el usuario y la instancia de Azure Key Vault que se usan para configurar CMK deben estar en la misma región de Azure donde se hospeda el clúster de Azure DocumentDB y todos pertenecen al mismo inquilino de Microsoft.

Mediante Azure Portal:

Cree una identidad administrada asignada por el usuario en la región del clúster, si aún no tiene una.
Cree una instancia de Azure Key Vault en la región del clúster, si aún no tiene un almacén de claves creado. Asegúrese de cumplir los requisitos. Además, siga las recomendaciones antes de configurar el almacén de claves y de crear la clave, y asigne los permisos necesarios a la identidad administrada asignada por el usuario.
Cree una clave en el almacén de claves.
Conceda permisos de identidad administrada asignada por el usuario a la instancia de Azure Key Vault como se describe en los requisitos.

Configuración del cifrado de datos con clave administrada por el cliente durante el aprovisionamiento del clúster

Portal
API de REST

Durante el aprovisionamiento de un nuevo clúster de Azure DocumentDB, las claves administradas por el servicio o administradas por el cliente para el cifrado de datos del clúster se configuran en la pestaña Cifrado . Seleccione la clave administrada por el cliente para Cifrado de datos.
En la sección Identidad administrada asignada por el usuario, seleccione Cambiar identidad.
En la lista de identidades administradas asignadas por el usuario, seleccione la que desea que el clúster use para acceder a la clave de cifrado de datos almacenada en Azure Key Vault.
Selecciona Agregar.
En el Método de selección de clave, elija Seleccionar una clave.
En la sección Clave, seleccione Cambiar clave.
En el panel Seleccionar una clave, seleccione la instancia de Azure Key Vault en Almacén de claves y la clave de cifrado en Clave, y confirme las opciones con Seleccionar.

Importante

La instancia de Azure Key Vault seleccionada debe estar en la misma región de Azure donde se va a hospedar el clúster de Azure DocumentDB.
Confirme la identidad administrada asignada por el usuario seleccionada y la clave de cifrado en la pestaña Cifrado y seleccione Revisar y crear para crear el clúster.

Puede habilitar el cifrado de datos con la clave de cifrado asignada por el usuario al aprovisionar un nuevo clúster con un comando az rest.

Cree un archivo JSON con el siguiente contenido. Reemplace los marcadores de posición que comienzan por el signo $ por los valores reales y guarde el archivo.

{
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
          "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName": {}
        }
      },
  "location": "$regionName",
      "properties": {
        "administrator": {
          "userName": "$adminName",
          "password": "$complexPassword"
        },
        "serverVersion": "8.0",
        "storage": {
          "sizeGb": 32
        },
        "compute": {
          "tier": "M40"
        },
        "sharding": {
          "shardCount": 1
        },
        "highAvailability": {
          "targetMode": "ZoneRedundantPreferred"
        },
      "encryption": {
          "customerManagedKeyEncryption": {
            "keyEncryptionKeyIdentity": {
              "identityType": "UserAssignedIdentity",
              "userAssignedIdentityResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName"
            },
            "keyEncryptionKeyUrl": "$encryptionKeyUrl"
          }
        }
      }
}

Nota:

La keyEncryptionKeyUrl debe contener el nombre de la clave, pero no debe contener una versión de clave específica.

Ejecute el siguiente comando de la CLI de Azure para realizar una llamada a la API REST para crear un clúster de Azure DocumentDB. Reemplace los marcadores de posición de la sección variables y el nombre de archivo del parámetro --body en la línea de comandos az rest por los valores reales.

# Define your variables
$randomIdentifier = (New-Guid).ToString().Substring(0,8)
$subscriptionId="00000000-0000-0000-0000-000000000000"
$resourceGroup="DocumentDB"
$mongoClustersName="msdocscr$randomIdentifier"

# Execute the az rest command to make REST API call
az rest --method "PUT" --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/${mongoClustersName}?api-version=2025-09-01 --body  @jsonFileFromThePreviousStep.json

Actualización de la configuración de cifrado de datos en el clúster con CMK habilitada

En el caso de los clústeres existentes que se implementaron con cifrado de datos con una clave administrada por el cliente, puede realizar varios cambios de configuración. Puede cambiar el almacén de claves donde se almacena la clave de cifrado y la clave de cifrado usada como clave administrada por el cliente. También puede cambiar la identidad administrada asignada por el usuario, que usa el servicio para acceder a la clave de cifrado y que se mantiene en el almacén de claves.

Portal
API de REST

En la barra lateral del clúster, en Configuración, seleccione Cifrado de datos.
En la sección Identidad administrada asignada por el usuario, seleccione Cambiar identidad.
En la lista de identidades administradas asignadas por el usuario, seleccione la que desea que el clúster use para acceder a la clave de cifrado de datos almacenada en Azure Key Vault.
Selecciona Agregar.
En el Método de selección de clave, elija Seleccionar una clave.
En Clave, elija Cambiar clave.
En el panel Seleccionar una clave, seleccione la instancia de Azure Key Vault en Almacén de claves y la clave de cifrado en Clave, y confirme las opciones con Seleccionar.

Importante

La instancia de Azure Key Vault seleccionada debe estar en la misma región de Azure donde se hospeda el clúster de Azure DocumentDB.
Confirme la identidad administrada asignada por el usuario seleccionada y la clave de cifrado en la página Cifrado de datos y seleccione Guardar para confirmar las selecciones y crear un clúster de réplica.

Puede cambiar la identidad administrada asignada por el usuario y la clave de cifrado para el cifrado de datos en un clúster existente a través de una llamada a la API de REST.

Cree un archivo JSON con el siguiente contenido. Reemplace los marcadores de posición que comienzan por el signo $ por los valores reales y guarde el archivo.

{
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
          "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName": {}
        }
      },
  "location": "$regionName",
      "properties": {
        "encryption": {
          "customerManagedKeyEncryption": {
            "keyEncryptionKeyIdentity": {
              "identityType": "UserAssignedIdentity",
              "userAssignedIdentityResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName"
            },
            "keyEncryptionKeyUrl": "$encryptionKeyUrl"
          }
        }
      }
}

Nota:

La keyEncryptionKeyUrl debe contener el nombre de la clave, pero no debe contener una versión de clave específica.

# Define your variables
$subscriptionId="00000000-0000-0000-0000-000000000000"
$resourceGroup="resourceGroupName"
$mongoClustersName="clusterName"

# Execute the az rest command to make REST API call
az rest --method "PUT" --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/${mongoClustersName}?api-version=2025-09-01 --body  @jsonFileFromThePreviousStep.json

Tanto si solo quiere cambiar la identidad administrada asignada por el usuario que se usa para acceder a la clave, como si solo desea cambiar la clave usada para el cifrado de datos, o si desea cambiar ambas al mismo tiempo, es necesario proporcionar todos los parámetros enumerados en el archivo JSON.

Si la clave o la identidad administrada asignada por el usuario especificada no existen, se generará el error.

Las identidades pasadas como parámetros, si existen y son válidas, se agregan automáticamente a la lista de identidades administradas asignadas por el usuario asociadas al clúster de Azure DocumentDB. Este es el caso incluso si el comando más adelante produce algún otro error.

Cambio del modo de cifrado de datos en clústeres existentes

El único punto en el que puede decidir si desea usar una clave administrada por el servicio o una clave administrada por el cliente (CMK) para el cifrado de datos, es durante la creación del clúster. Una vez que tome esa decisión y cree el clúster, no podrá cambiar a la otra opción. Para crear una copia del clúster de Azure DocumentDB con una opción de cifrado diferente, puede crear un clúster de réplica o realizar una restauración de clúster y seleccionar el nuevo modo de cifrado durante la creación del clúster de réplica o el clúster restaurado.

Habilitación o deshabilitación del cifrado de datos con clave administrada por el cliente (CMK) durante la creación del clúster de réplica

Siga estos pasos para crear un clúster de réplica con cifrado de datos CMK o SMK para habilitar o deshabilitar CMK en un clúster de réplica.

Portal
API de REST

En la barra lateral del clúster, en Configuración, seleccione Distribución global.
Seleccione Agregar nueva réplica de lectura.
Proporcione un nombre de clúster de réplica en el campo de nombre de Réplica de lectura.
Seleccione una región en la Región de réplica de lectura. El clúster de réplica se hospeda en la región de Azure seleccionada.

Nota:

El clúster de réplica siempre se crea en la misma suscripción y grupo de recursos de Azure que su clúster principal (de lectura y escritura).
En la sección Cifrado de datos, seleccione Clave administrada por el cliente para habilitar CMK o Clave administrada por el servicio para deshabilitar CMK en el clúster de réplica.
En la sección Identidad administrada asignada por el usuario, seleccione Cambiar identidad.
En la lista de identidades administradas asignadas por el usuario, seleccione la que desea que el clúster use para acceder a la clave de cifrado de datos almacenada en Azure Key Vault.
Selecciona Agregar.
En el Método de selección de clave, elija Seleccionar una clave.
En Clave, elija Cambiar clave.
En el panel Seleccionar una clave, seleccione la instancia de Azure Key Vault en Almacén de claves y la clave de cifrado en Clave, y confirme las opciones con Seleccionar.
Confirme la identidad administrada asignada por el usuario seleccionada y la clave de cifrado en la página Distribución global y seleccione Guardar para confirmar las selecciones y crear un clúster de réplica.

Para crear un clúster de réplica con la CMK habilitada en la misma región, siga estos pasos.

Cree un archivo JSON con el siguiente contenido. Reemplace los marcadores de posición que comienzan por el signo $ por los valores reales y guarde el archivo.

{
        "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
              "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName": {}
            }
          },
      "location": "$targetRegionName",
          "properties": {
          	"createMode": "GeoReplica",
                "replicaParameters": {
                  "sourceResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/$sourceClusterName",
                  "sourceLocation": "sourceRegionName"
                },
                "encryption": {
                  "customerManagedKeyEncryption": {
                    "keyEncryptionKeyIdentity": {
                      "identityType": "UserAssignedIdentity",
                      "userAssignedIdentityResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName"
                    },
                    "keyEncryptionKeyUrl": "$encryptionKeyUrl"
                  }
                }
          }
    }

Nota:

La keyEncryptionKeyUrl debe contener el nombre de la clave, pero no debe contener una versión de clave específica.

# Define your variables
$subscriptionId="00000000-0000-0000-0000-000000000000"
$resourceGroup="resourceGroupName"
$mongoClustersName="clusterName"

# Execute the az rest command to make REST API call
az rest --method "PUT" --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/${mongoClustersName}?api-version=2025-09-01 --body  @jsonFileFromThePreviousStep.json

Habilitación o deshabilitación del cifrado de datos de clave administrada por el cliente (CMK) durante la restauración del clúster

El proceso de restauración creará un nuevo clúster con la misma configuración en la misma región, suscripción y grupo de recursos de Azure que el clúster original. Siga estos pasos para crear un clúster restaurado con CMK o SMK habilitada.

Portal
API de REST

Seleccione un clúster de Azure DocumentDB existente.
En la barra lateral del clúster, en Configuración, seleccione Restauración a un momento dado.
Seleccione una fecha y proporcione una hora (en zona horaria UTC) en los campos de fecha y hora.
Escriba un nombre de clúster en el campo Restaurar nombre de clúster de destino.
Escriba un nombre de administrador de clúster para el clúster restaurado en el campo Nombre de usuario administrador.
Escriba una contraseña para el rol de administrador en los campos Contraseña y Confirmar contraseña.
En la sección Cifrado de datos, seleccione Clave administrada por el cliente para habilitar CMK. Si necesita deshabilitar CMK en el clúster restaurado, seleccione Clave administrada por el servicio.
En la sección Identidad administrada asignada por el usuario, seleccione Cambiar identidad.
En la lista de identidades administradas asignadas por el usuario, seleccione la que desea que el clúster use para acceder a la clave de cifrado de datos almacenada en Azure Key Vault.
Selecciona Agregar.
En el Método de selección de clave, elija Seleccionar una clave.
En Clave, elija Cambiar clave.
En el panel Seleccionar una clave, seleccione la instancia de Azure Key Vault en Almacén de claves y la clave de cifrado en Clave, y confirme las opciones con Seleccionar.
Seleccione Enviar para iniciar la restauración del clúster.

Para restaurar un clúster con CMK habilitada, siga estos pasos.

Cree un archivo JSON con el siguiente contenido. Reemplace los marcadores de posición que comienzan por el signo $ por los valores reales y guarde el archivo.

{
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
          "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName": {}
        }
      },
  "location": "$regionName",
      "properties": {
            "administrator": {
              "userName": "$adminName"
            },
      	"createMode": "PointInTimeRestore",
            "restoreParameters": {
              "pointInTimeUTC": "yyyy-mm-ddThh:mm:ssZ",
              "sourceResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/$restoredClusterName"
            },
            "encryption": {
              "customerManagedKeyEncryption": {
                "keyEncryptionKeyIdentity": {
                  "identityType": "UserAssignedIdentity",
                  "userAssignedIdentityResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName"
                },
                "keyEncryptionKeyUrl": "$encryptionKeyUrl"
              }
            }
      }
}

Nota:

La keyEncryptionKeyUrl debe contener el nombre de la clave, pero no debe contener una versión de clave específica.

# Define your variables
$subscriptionId="00000000-0000-0000-0000-000000000000"
$resourceGroup="resourceGroupName"
$mongoClustersName="clusterName"

# Execute the az rest command to make REST API call
az rest --method "PUT" --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/${mongoClustersName}?api-version=2025-09-01 --body  @jsonFileFromThePreviousStep.json

Una vez creado el clúster restaurado, revise la lista de tareas posteriores a la restauración.

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2025-11-19

Compartir a través de

Configuración de la clave administrada por el cliente (CMK) para el cifrado de datos en reposo para un clúster de Azure DocumentDB

Prerrequisitos

Preparación de la identidad administrada asignada por el usuario y Azure Key Vault

Configuración del cifrado de datos con clave administrada por el cliente durante el aprovisionamiento del clúster

Actualización de la configuración de cifrado de datos en el clúster con CMK habilitada

Cambio del modo de cifrado de datos en clústeres existentes

Habilitación o deshabilitación del cifrado de datos con clave administrada por el cliente (CMK) durante la creación del clúster de réplica

Habilitación o deshabilitación del cifrado de datos de clave administrada por el cliente (CMK) durante la restauración del clúster

Contenido relacionado

Comentarios

Recursos adicionales