可以更改密钥提供程序的主密钥,例如,当您要轮换使用的主密钥时。
有关密钥生命周期的指导,请参见
虚拟机加密最佳做法。
前提条件
在要用作可信密钥提供程序的新主密钥的密钥服务器 (KMS) 上创建并激活密钥。此密钥可封装此可信密钥提供程序使用的其他密钥。有关创建密钥的详细信息,请参见 KMS 供应商文档。
过程
- 运行 Set-TrustAuthorityKeyProvider 命令。
例如:
Set-TrustAuthorityKeyProvider -MasterKeyId Key-ID
- 验证密钥提供程序的状态。
- 将 Get-TrustAuthorityCluster 信息分配给变量。
例如:
$vTA = Get-TrustAuthorityCluster 'vTA Cluster'
- 将 Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA 信息分配给变量。
例如:
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
- 通过运行 $kp.Status 验证密钥提供程序的状态。
例如:
$kp.Status
KeyProviderId Health HealthDetails ServerStatus
------------- ------ ------------- ------------
domain-c8-kp4 Ok {} {IP_address}
运行状况为“Ok”表示密钥提供程序正常运行。
结果
新的主要密钥用于任何新的加密操作。使用旧主要密钥加密的数据仍使用旧密钥进行解密。