Você pode alterar a chave primária (anteriormente chamada de chave mestre) de um provedor de chaves, por exemplo, quando quiser girar a chave primária que é usada.

Consulte Práticas recomendadas de criptografia de máquina virtual para obter orientação sobre o ciclo de vida da chave.

Pré-requisitos

Crie e ative uma chave no KMS para ser usada como a nova chave primária para o provedor de chaves confiáveis. Essa chave envolve outras chaves e segredos usados por esse provedor de chaves confiável. Consulte a documentação do fornecedor do KMS para obter mais informações sobre a criação de chaves.

Procedimento

  1. Execute o comando Set-TrustAuthorityKeyProvider.
    Por exemplo:
    Set-TrustAuthorityKeyProvider -MasterKeyId Key-ID
  2. Verifique o status do provedor de chaves.
    1. Atribua informações de Get-TrustAuthorityCluster a uma variável.
      Por exemplo:
      $vTA = Get-TrustAuthorityCluster 'vTA Cluster'
    2. Atribua as informações de Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA a uma variável.
      Por exemplo:
      $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
    3. Verifique o status do provedor de chaves executando $kp.Status.
      Por exemplo:
      $kp.Status
      
      KeyProviderId Health HealthDetails ServerStatus
      ------------- ------ ------------- ------------
      domain-c8-kp4     Ok {}            {IP_address}
      
      Um status de integridade de Ok indica que o provedor de chave está sendo executado corretamente.

Resultados

A nova chave primária é usada para quaisquer novas operações de criptografia. Os dados criptografados com a chave primária antiga ainda são descriptografados usando a chave antiga.