Vous pouvez modifier la clé principale d'un fournisseur de clés approuvé, par exemple, lorsque vous souhaitez la rotation de la clé principale utilisée.
Pour obtenir des conseils sur le cycle de vie des clés, consultez
Meilleures pratiques de chiffrement des machines virtuelles.
Conditions préalables
Créez et activez une clé sur le serveur de clés (KMS) à utiliser comme nouvelle clé principale pour le fournisseur de clés approuvé. Cette clé encapsule d'autres clés et secrets utilisés par ce fournisseur de clés approuvé. Pour plus d'informations sur la création de clés, consultez la documentation de votre fournisseur de KMS.
Procédure
- Exécutez la commande Set-TrustAuthorityKeyProvider.
Par exemple :
Set-TrustAuthorityKeyProvider -MasterKeyId Key-ID
- Vérifiez l'état du fournisseur de clés.
- Attribuez l'information Get-TrustAuthorityCluster à une variable.
Par exemple :
$vTA = Get-TrustAuthorityCluster 'vTA Cluster'
- Attribuez les informations de Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA à une variable.
Par exemple :
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
- Vérifiez l'état du fournisseur de clés en exécutant $kp.Status.
Par exemple :
$kp.Status
KeyProviderId Health HealthDetails ServerStatus
------------- ------ ------------- ------------
domain-c8-kp4 Ok {} {IP_address}
Un état de santé OK indique que le fournisseur de clés s'exécute correctement.
Résultats
La nouvelle clé principale est utilisée pour les nouvelles opérations de chiffrement. Les données chiffrées avec l'ancienne clé principale sont toujours déchiffrées à l'aide de l'ancienne clé.