Alterar a chave primária de um provedor de chave

Você pode alterar a chave primária (anteriormente chamada de chave mestre) de um provedor de chaves, por exemplo, quando quiser girar a chave primária que é usada.

Consulte Práticas recomendadas de criptografia de máquina virtual para obter orientação sobre o ciclo de vida da chave.

Pré-requisitos

Crie e ative uma chave no KMS para ser usada como a nova chave primária para o provedor de chaves confiáveis. Essa chave envolve outras chaves e segredos usados por esse provedor de chaves confiável. Consulte a documentação do fornecedor do KMS para obter mais informações sobre a criação de chaves.

Procedimento

Execute o comando Set-TrustAuthorityKeyProvider.
Por exemplo:
```
Set-TrustAuthorityKeyProvider -MasterKeyId Key-ID
```
Verifique o status do provedor de chaves.
1. Atribua informações de Get-TrustAuthorityCluster a uma variável.
  Por exemplo:
```
$vTA = Get-TrustAuthorityCluster 'vTA Cluster'
```
2. Atribua as informações de Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA a uma variável.
  Por exemplo:
```
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
```
3. Verifique o status do provedor de chaves executando $kp.Status.
  Por exemplo:
```
$kp.Status

KeyProviderId Health HealthDetails ServerStatus
------------- ------ ------------- ------------
domain-c8-kp4     Ok {}            {IP_address}
```
  Um status de integridade de Ok indica que o provedor de chave está sendo executado corretamente.

Resultados

A nova chave primária é usada para quaisquer novas operações de criptografia. Os dados criptografados com a chave primária antiga ainda são descriptografados usando a chave antiga.