可以更改密钥提供程序的主密钥,例如,当您要轮换使用的主密钥时。

有关密钥生命周期的指导,请参见 虚拟机加密最佳做法

前提条件

在要用作可信密钥提供程序的新主密钥的密钥服务器 (KMS) 上创建并激活密钥。此密钥可封装此可信密钥提供程序使用的其他密钥。有关创建密钥的详细信息,请参见 KMS 供应商文档。

过程

  1. 运行 Set-TrustAuthorityKeyProvider 命令。
    例如:
    Set-TrustAuthorityKeyProvider -MasterKeyId Key-ID
  2. 验证密钥提供程序的状态。
    1. Get-TrustAuthorityCluster 信息分配给变量。
      例如:
      $vTA = Get-TrustAuthorityCluster 'vTA Cluster'
    2. Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA 信息分配给变量。
      例如:
      $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
    3. 通过运行 $kp.Status 验证密钥提供程序的状态。
      例如:
      $kp.Status
      
      KeyProviderId Health HealthDetails ServerStatus
      ------------- ------ ------------- ------------
      domain-c8-kp4     Ok {}            {IP_address}
      
      运行状况为“Ok”表示密钥提供程序正常运行。

结果

新的主要密钥用于任何新的加密操作。使用旧主要密钥加密的数据仍使用旧密钥进行解密。