Você pode alterar a chave primária (anteriormente chamada de chave mestre) de um provedor de chaves, por exemplo, quando quiser girar a chave primária que é usada.
Consulte
Práticas recomendadas de criptografia de máquina virtual para obter orientação sobre o ciclo de vida da chave.
Pré-requisitos
Crie e ative uma chave no KMS para ser usada como a nova chave primária para o provedor de chaves confiáveis. Essa chave envolve outras chaves e segredos usados por esse provedor de chaves confiável. Consulte a documentação do fornecedor do KMS para obter mais informações sobre a criação de chaves.
Procedimento
- Execute o comando Set-TrustAuthorityKeyProvider.
Por exemplo:
Set-TrustAuthorityKeyProvider -MasterKeyId Key-ID
- Verifique o status do provedor de chaves.
- Atribua informações de Get-TrustAuthorityCluster a uma variável.
Por exemplo:
$vTA = Get-TrustAuthorityCluster 'vTA Cluster'
- Atribua as informações de Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA a uma variável.
Por exemplo:
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
- Verifique o status do provedor de chaves executando $kp.Status.
Por exemplo:
$kp.Status
KeyProviderId Health HealthDetails ServerStatus
------------- ------ ------------- ------------
domain-c8-kp4 Ok {} {IP_address}
Um status de integridade de Ok indica que o provedor de chave está sendo executado corretamente.
Resultados
A nova chave primária é usada para quaisquer novas operações de criptografia. Os dados criptografados com a chave primária antiga ainda são descriptografados usando a chave antiga.