Konfigurowanie klucza zarządzanego przez klienta (CMK) na potrzeby szyfrowania danych magazynowanych dla klastra usługi Azure DocumentDB

Z tego artykułu dowiesz się, jak skonfigurować klucz zarządzany przez klienta (CMK) do szyfrowania danych w stanie spoczynku w usłudze Azure DocumentDB. Kroki opisane w tym przewodniku umożliwiają skonfigurowanie nowego klastra usługi Azure DocumentDB, klastra repliki lub przywróconego klastra. Konfiguracja klucza zarządzanego przez klienta używa klucza zarządzanego przez klienta przechowywanego w usłudze Azure Key Vault i tożsamości zarządzanej przypisanej przez użytkownika.

Wymagania wstępne

Subskrypcja platformy Azure
- Jeśli nie masz subskrypcji platformy Azure, utwórz bezpłatne konto

Użyj środowiska Bash w Azure Cloud Shell. Aby uzyskać więcej informacji, zobacz Get started with Azure Cloud Shell.
Jeśli wolisz uruchamiać polecenia referencyjne interfejsu wiersza polecenia lokalnie, zainstaluj Azure CLI. Jeśli korzystasz z systemu Windows lub macOS, rozważ uruchomienie Azure CLI w kontenerze Docker. Aby uzyskać więcej informacji, zobacz Jak uruchomić Azure CLI w kontenerze Docker.
- Jeśli korzystasz z instalacji lokalnej, zaloguj się do Azure CLI za pomocą polecenia az login. Aby zakończyć proces uwierzytelniania, wykonaj kroki wyświetlane na Twoim terminalu. Aby uzyskać inne opcje logowania, zobacz Uwierzytelnianie na platformie Azure przy użyciu interfejsu wiersza polecenia platformy Azure.
- Gdy zostaniesz o to poproszony/a, zainstaluj rozszerzenie Azure CLI przy pierwszym użyciu. Aby uzyskać więcej informacji na temat rozszerzeń, zobacz Używanie rozszerzeń i zarządzanie nimi za pomocą interfejsu wiersza polecenia platformy Azure.
- Uruchom az version, aby sprawdzić zainstalowaną wersję i biblioteki zależne. Aby zaktualizować do najnowszej wersji, uruchom az upgrade.

Przygotowywanie tożsamości zarządzanej przypisanej przez użytkownika i usługi Azure Key Vault

Aby skonfigurować szyfrowanie kluczy zarządzanych przez klienta w klastrze usługi Azure DocumentDB for MonogDB, potrzebna jest tożsamość zarządzana przypisana przez użytkownika, wystąpienie usługi Azure Key Vault i prawidłowo skonfigurowane uprawnienia.

Ważne

Tożsamość zarządzana przypisana przez użytkownika i wystąpienie usługi Azure Key Vault używane do konfigurowania kluczy zarządzanych przez klientów (Customer Managed Key) powinny znajdować się w tym samym regionie Azure, w którym jest hostowany klaster usługi Azure DocumentDB, a wszystkie należą do tej samej dzierżawy firmy Microsoft.

Korzystanie z portalu Azure:

Utwórz jedną tożsamość zarządzaną przypisaną przez użytkownika w regionie klastra, jeśli jeszcze jej nie masz.
Utwórz jedną usługę Azure Key Vault w regionie klastra, jeśli nie masz jeszcze jednego magazynu kluczy. Upewnij się, że spełniasz wymagania. Ponadto przed skonfigurowaniem magazynu kluczy postępuj zgodnie z zaleceniami i przed utworzeniem klucza i przypisz wymagane uprawnienia do tożsamości zarządzanej przypisanej przez użytkownika.
Utwórz jeden klucz w magazynie kluczy.
Udziel uprawnień tożsamości zarządzanej przypisanej przez użytkownika do wystąpienia usługi Azure Key Vault, jak opisano w wymaganiach.

Konfigurowanie szyfrowania danych przy użyciu klucza zarządzanego przez klienta podczas aprowizacji klastra

Portal
API REST

Podczas aprowizacji nowego klastra usługi Azure DocumentDB klucze zarządzane przez usługę lub klucze zarządzane przez klienta na potrzeby szyfrowania danych klastra są konfigurowane na karcie Szyfrowanie . Wybierz klucz zarządzany przez klienta na potrzeby szyfrowania danych.
W sekcji Tożsamość zarządzana przypisana przez użytkownika wybierz pozycję Zmień tożsamość.
Na liście tożsamości zarządzanych przypisanych przez użytkownika wybierz tę, której klaster ma używać do uzyskiwania dostępu do klucza szyfrowania danych przechowywanego w usłudze Azure Key Vault.
Wybierz Dodaj.
W metodzie Wyboru klucza wybierz pozycję Wybierz klucz .
W sekcji Klucz wybierz pozycję Zmień klucz .
W okienku Wybierz klucz wybierz usługę Azure Key Vault w magazynie kluczy i kluczu szyfrowania w kluczu, a następnie potwierdź wybrane opcje, wybierając pozycję Wybierz.

Ważne

Wybrane wystąpienie usługi Azure Key Vault powinno znajdować się w tym samym regionie Azure, gdzie będzie hostowany klaster Azure DocumentDB.
Potwierdź wybraną tożsamość zarządzaną przypisaną przez użytkownika i klucz szyfrowania na karcie Szyfrowanie , a następnie wybierz pozycję Przejrzyj i utwórz , aby utworzyć klaster.

Szyfrowanie danych przy użyciu klucza szyfrowania przypisanego przez użytkownika można włączyć podczas aprowizacji nowego klastra az rest za pomocą polecenia .

Utwórz plik JSON z następującą zawartością. Zastąp symbole zastępcze rozpoczynające się znakiem $ rzeczywistymi wartościami i zapisz plik.

{
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
          "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName": {}
        }
      },
  "location": "$regionName",
      "properties": {
        "administrator": {
          "userName": "$adminName",
          "password": "$complexPassword"
        },
        "serverVersion": "8.0",
        "storage": {
          "sizeGb": 32
        },
        "compute": {
          "tier": "M40"
        },
        "sharding": {
          "shardCount": 1
        },
        "highAvailability": {
          "targetMode": "ZoneRedundantPreferred"
        },
      "encryption": {
          "customerManagedKeyEncryption": {
            "keyEncryptionKeyIdentity": {
              "identityType": "UserAssignedIdentity",
              "userAssignedIdentityResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName"
            },
            "keyEncryptionKeyUrl": "$encryptionKeyUrl"
          }
        }
      }
}

Uwaga / Notatka

Element keyEncryptionKeyUrl powinien zawierać nazwę klucza, ale nie powinien zawierać określonej wersji klucza.

Uruchom następujące polecenie Azure CLI, aby wykonać wywołanie interfejsu API REST w celu utworzenia klastra Azure DocumentDB. Zastąp symbole zastępcze w sekcji zmiennych i nazwą pliku parametru --bodyaz rest w wierszu polecenia wartościami rzeczywistymi.

# Define your variables
$randomIdentifier = (New-Guid).ToString().Substring(0,8)
$subscriptionId="00000000-0000-0000-0000-000000000000"
$resourceGroup="DocumentDB"
$mongoClustersName="msdocscr$randomIdentifier"

# Execute the az rest command to make REST API call
az rest --method "PUT" --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/${mongoClustersName}?api-version=2025-09-01 --body  @jsonFileFromThePreviousStep.json

Aktualizowanie ustawień szyfrowania danych w klastrze przy użyciu włączonego klucza zarządzanego przez klienta

W przypadku istniejących klastrów wdrożonych przy użyciu szyfrowania danych przy użyciu klucza zarządzanego przez klienta można wykonać kilka zmian konfiguracji. Magazyn kluczy, w którym jest przechowywany klucz szyfrowania, oraz klucz szyfrowania używany jako klucz zarządzany przez klienta. Można również zmienić tożsamość zarządzaną przypisaną przez użytkownika używaną przez usługę w celu uzyskania dostępu do klucza szyfrowania przechowywanego w magazynie kluczy.

Portal
API REST

Na pasku bocznym klastra w obszarze Ustawienia wybierz pozycję Szyfrowanie danych.
W sekcji Tożsamość zarządzana przypisana przez użytkownika wybierz pozycję Zmień tożsamość.
Na liście tożsamości zarządzanych przypisanych przez użytkownika wybierz tę, której klaster ma używać do uzyskiwania dostępu do klucza szyfrowania danych przechowywanego w usłudze Azure Key Vault.
Wybierz Dodaj.
W metodzie Wyboru klucza wybierz pozycję Wybierz klucz .
W polu Klucz wybierz pozycję Zmień klucz.
W okienku Wybierz klucz wybierz usługę Azure Key Vault w magazynie kluczy i kluczu szyfrowania w kluczu, a następnie potwierdź wybrane opcje, wybierając pozycję Wybierz.

Ważne

Wybrane wystąpienie usługi Azure Key Vault powinno znajdować się w tym samym regionie świadczenia usługi Azure, w którym jest hostowany klaster usługi Azure DocumentDB.
Potwierdź wybraną tożsamość zarządzaną przypisaną przez użytkownika i klucz szyfrowania na stronie Szyfrowanie danych , a następnie wybierz pozycję Zapisz , aby potwierdzić wybrane opcje i utworzyć klaster repliki.

Tożsamość zarządzana przypisana przez użytkownika i klucz szyfrowania można zmienić na potrzeby szyfrowania danych w istniejącym klastrze za pośrednictwem wywołania interfejsu API REST.

Utwórz plik JSON z następującą zawartością. Zastąp symbole zastępcze rozpoczynające się znakiem $ rzeczywistymi wartościami i zapisz plik.

{
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
          "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName": {}
        }
      },
  "location": "$regionName",
      "properties": {
        "encryption": {
          "customerManagedKeyEncryption": {
            "keyEncryptionKeyIdentity": {
              "identityType": "UserAssignedIdentity",
              "userAssignedIdentityResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName"
            },
            "keyEncryptionKeyUrl": "$encryptionKeyUrl"
          }
        }
      }
}

Uwaga / Notatka

Element keyEncryptionKeyUrl powinien zawierać nazwę klucza, ale nie powinien zawierać określonej wersji klucza.

Uruchom następujące polecenie Azure CLI, aby wywołać REST API w celu utworzenia klastra Azure DocumentDB. Zastąp symbole zastępcze w sekcji zmiennych i nazwą pliku parametru --bodyaz rest w wierszu polecenia wartościami rzeczywistymi.

# Define your variables
$subscriptionId="00000000-0000-0000-0000-000000000000"
$resourceGroup="resourceGroupName"
$mongoClustersName="clusterName"

# Execute the az rest command to make REST API call
az rest --method "PUT" --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/${mongoClustersName}?api-version=2025-09-01 --body  @jsonFileFromThePreviousStep.json

Niezależnie od tego, czy chcesz zmienić tożsamość zarządzaną przypisaną przez użytkownika używaną do uzyskiwania dostępu do klucza, czy chcesz zmienić tylko klucz używany do szyfrowania danych, czy chcesz zmienić obie te elementy w tym samym czasie, musisz podać wszystkie parametry wymienione w pliku JSON.

Jeśli określony klucz lub określona tożsamość zarządzana przypisana przez użytkownika nie istnieje, zostanie wyświetlony błąd.

Tożsamości przekazywane jako parametry, jeśli istnieją i są prawidłowe, są automatycznie dodawane do listy tożsamości zarządzanych przypisanych przez użytkownika skojarzonych z klastrem usługi Azure DocumentDB. Tak jest, nawet jeśli polecenie później zakończy się niepowodzeniem z innym błędem.

Zmienianie trybu szyfrowania danych w istniejących klastrach

Jedynym punktem, w którym można zdecydować, czy chcesz użyć klucza zarządzanego przez usługę, czy klucza zarządzanego przez klienta (CMK) na potrzeby szyfrowania danych, jest w czasie tworzenia klastra. Po podjęciu tej decyzji i utworzeniu klastra nie można przełączać się między dwiema opcjami. Aby utworzyć kopię klastra usługi Azure DocumentDB z inną opcją szyfrowania, możesz utworzyć klaster repliki lub wykonać przywracanie klastra i wybrać nowy tryb szyfrowania podczas tworzenia klastra repliki lub przywróconego klastra.

Włączanie lub wyłączanie szyfrowania danych klucza zarządzanego przez klienta (CMK) podczas tworzenia klastra repliki

Wykonaj następujące kroki, aby utworzyć klaster repliki z szyfrowaniem danych CMK lub SMK w celu włączenia lub wyłączenia klucza cmK w klastrze repliki.

Portal
API REST

Na pasku bocznym klastra w obszarze Ustawienia wybierz pozycję Dystrybucja globalna.
Wybierz Dodaj nową replikę do odczytu.
Podaj nazwę klastra repliki w polu Nazwa repliki do odczytu .
Wybierz region w regionie repliki odczytu. Klaster repliki jest hostowany w wybranym regionie świadczenia usługi Azure.

Uwaga / Notatka

Klaster repliki jest zawsze tworzony w tej samej subskrypcji platformy Azure i grupie zasobów co podstawowy klaster (odczyt-zapis).
W sekcji Szyfrowanie danych wybierz klucz zarządzany przez klienta , aby włączyć klucz zarządzany przez klienta lub klucz zarządzany przez usługę , aby wyłączyć klucz zarządzania kluczem usługi w klastrze repliki.
W sekcji Tożsamość zarządzana przypisana przez użytkownika wybierz pozycję Zmień tożsamość.
Na liście tożsamości zarządzanych przypisanych przez użytkownika wybierz tę, której klaster ma używać do uzyskiwania dostępu do klucza szyfrowania danych przechowywanego w usłudze Azure Key Vault.
Wybierz Dodaj.
W metodzie Wyboru klucza wybierz pozycję Wybierz klucz .
W polu Klucz wybierz pozycję Zmień klucz.
W okienku Wybierz klucz wybierz usługę Azure Key Vault w magazynie kluczy i kluczu szyfrowania w kluczu, a następnie potwierdź wybrane opcje, wybierając pozycję Wybierz.
Potwierdź wybraną tożsamość zarządzaną przypisaną przez użytkownika i klucz szyfrowania na stronie Globalnej dystrybucji , a następnie wybierz pozycję Zapisz , aby potwierdzić wybrane opcje i utworzyć klaster repliki.

Aby utworzyć klaster repliki z włączonym kluczem cmK w tym samym regionie, wykonaj następujące kroki.

Utwórz plik JSON z następującą zawartością. Zastąp symbole zastępcze rozpoczynające się znakiem $ rzeczywistymi wartościami i zapisz plik.

{
        "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
              "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName": {}
            }
          },
      "location": "$targetRegionName",
          "properties": {
          	"createMode": "GeoReplica",
                "replicaParameters": {
                  "sourceResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/$sourceClusterName",
                  "sourceLocation": "sourceRegionName"
                },
                "encryption": {
                  "customerManagedKeyEncryption": {
                    "keyEncryptionKeyIdentity": {
                      "identityType": "UserAssignedIdentity",
                      "userAssignedIdentityResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName"
                    },
                    "keyEncryptionKeyUrl": "$encryptionKeyUrl"
                  }
                }
          }
    }

Uwaga / Notatka

Element keyEncryptionKeyUrl powinien zawierać nazwę klucza, ale nie powinien zawierać określonej wersji klucza.

Uruchom następujące polecenie Azure CLI, aby wykonać wywołanie API REST i utworzyć klaster Azure DocumentDB. Zastąp symbole zastępcze w sekcji zmiennych i nazwą pliku parametru --bodyaz rest w wierszu polecenia wartościami rzeczywistymi.

# Define your variables
$subscriptionId="00000000-0000-0000-0000-000000000000"
$resourceGroup="resourceGroupName"
$mongoClustersName="clusterName"

# Execute the az rest command to make REST API call
az rest --method "PUT" --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/${mongoClustersName}?api-version=2025-09-01 --body  @jsonFileFromThePreviousStep.json

Włączanie lub wyłączanie szyfrowania danych klucza zarządzanego przez klienta (CMK) podczas przywracania klastra

Proces przywracania tworzy nowy klaster z tą samą konfiguracją w tym samym regionie, subskrypcji i grupie zasobów platformy Azure co oryginalna. Wykonaj następujące kroki, aby utworzyć przywrócony klaster z włączonym kluczem cmk lub kluczem SMK.

Portal
API REST

Wybierz istniejący klaster usługi Azure DocumentDB.
Na pasku bocznym klastra w obszarze Ustawienia wybierz pozycję Przywracanie do punktu w czasie.
Wybierz datę i podaj godzinę (w strefie czasowej UTC) w polach daty i godziny.
Wprowadź nazwę klastra w polu Przywróć nazwę docelowego klastra .
Wprowadź nazwę administratora klastra dla przywróconego klastra w polu Nazwa użytkownika administratora .
Wprowadź hasło roli administratora w polach Hasło i Potwierdź hasło .
W sekcji Szyfrowanie danych wybierz klucz zarządzany przez klienta , aby włączyć klucz cmK. Jeśli chcesz wyłączyć klucz zarządzania kluczem usługi w przywróconym klastrze, wybierz pozycję Klucz zarządzany przez usługę.
W sekcji Tożsamość zarządzana przypisana przez użytkownika wybierz pozycję Zmień tożsamość.
Na liście tożsamości zarządzanych przypisanych przez użytkownika wybierz tę, której klaster ma używać do uzyskiwania dostępu do klucza szyfrowania danych przechowywanego w usłudze Azure Key Vault.
Wybierz Dodaj.
W metodzie Wyboru klucza wybierz pozycję Wybierz klucz .
W polu Klucz wybierz pozycję Zmień klucz.
W okienku Wybierz klucz wybierz usługę Azure Key Vault w magazynie kluczy i kluczu szyfrowania w kluczu, a następnie potwierdź wybrane opcje, wybierając pozycję Wybierz.
Wybierz pozycję Prześlij , aby zainicjować przywracanie klastra.

Aby przywrócić klaster z włączonym kluczem cmK, wykonaj następujące kroki.

Utwórz plik JSON z następującą zawartością. Zastąp symbole zastępcze rozpoczynające się znakiem $ rzeczywistymi wartościami i zapisz plik.

{
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
          "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName": {}
        }
      },
  "location": "$regionName",
      "properties": {
            "administrator": {
              "userName": "$adminName"
            },
      	"createMode": "PointInTimeRestore",
            "restoreParameters": {
              "pointInTimeUTC": "yyyy-mm-ddThh:mm:ssZ",
              "sourceResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/$restoredClusterName"
            },
            "encryption": {
              "customerManagedKeyEncryption": {
                "keyEncryptionKeyIdentity": {
                  "identityType": "UserAssignedIdentity",
                  "userAssignedIdentityResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName"
                },
                "keyEncryptionKeyUrl": "$encryptionKeyUrl"
              }
            }
      }
}

Uwaga / Notatka

Element keyEncryptionKeyUrl powinien zawierać nazwę klucza, ale nie powinien zawierać określonej wersji klucza.

Uruchom następujące polecenie interfejsu wiersza polecenia platformy Azure, aby wywołać interfejs API REST w celu utworzenia klastra usługi Azure DocumentDB. Zastąp symbole zastępcze w sekcji zmiennych i nazwą pliku parametru --bodyaz rest w wierszu polecenia wartościami rzeczywistymi.

# Define your variables
$subscriptionId="00000000-0000-0000-0000-000000000000"
$resourceGroup="resourceGroupName"
$mongoClustersName="clusterName"

# Execute the az rest command to make REST API call
az rest --method "PUT" --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/${mongoClustersName}?api-version=2025-09-01 --body  @jsonFileFromThePreviousStep.json

Po utworzeniu przywróconego klastra przejrzyj listę zadań po przywróceniu.

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2025-11-19

Udostępnij przez

Konfigurowanie klucza zarządzanego przez klienta (CMK) na potrzeby szyfrowania danych magazynowanych dla klastra usługi Azure DocumentDB

Wymagania wstępne

Przygotowywanie tożsamości zarządzanej przypisanej przez użytkownika i usługi Azure Key Vault

Konfigurowanie szyfrowania danych przy użyciu klucza zarządzanego przez klienta podczas aprowizacji klastra

Aktualizowanie ustawień szyfrowania danych w klastrze przy użyciu włączonego klucza zarządzanego przez klienta

Zmienianie trybu szyfrowania danych w istniejących klastrach

Włączanie lub wyłączanie szyfrowania danych klucza zarządzanego przez klienta (CMK) podczas tworzenia klastra repliki

Włączanie lub wyłączanie szyfrowania danych klucza zarządzanego przez klienta (CMK) podczas przywracania klastra

Treści powiązane

Sprzężenie zwrotne

Dodatkowe źródła