Vous pouvez modifier la clé principale d'un fournisseur de clés approuvé, par exemple, lorsque vous souhaitez la rotation de la clé principale utilisée.

Pour obtenir des conseils sur le cycle de vie des clés, consultez Meilleures pratiques de chiffrement des machines virtuelles.

Conditions préalables

Créez et activez une clé sur le serveur de clés (KMS) à utiliser comme nouvelle clé principale pour le fournisseur de clés approuvé. Cette clé encapsule d'autres clés et secrets utilisés par ce fournisseur de clés approuvé. Pour plus d'informations sur la création de clés, consultez la documentation de votre fournisseur de KMS.

Procédure

  1. Exécutez la commande Set-TrustAuthorityKeyProvider.
    Par exemple :
    Set-TrustAuthorityKeyProvider -MasterKeyId Key-ID
  2. Vérifiez l'état du fournisseur de clés.
    1. Attribuez l'information Get-TrustAuthorityCluster à une variable.
      Par exemple :
      $vTA = Get-TrustAuthorityCluster 'vTA Cluster'
    2. Attribuez les informations de Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA à une variable.
      Par exemple :
      $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
    3. Vérifiez l'état du fournisseur de clés en exécutant $kp.Status.
      Par exemple :
      $kp.Status
      
      KeyProviderId Health HealthDetails ServerStatus
      ------------- ------ ------------- ------------
      domain-c8-kp4     Ok {}            {IP_address}
      
      Un état de santé OK indique que le fournisseur de clés s'exécute correctement.

Résultats

La nouvelle clé principale est utilisée pour les nouvelles opérations de chiffrement. Les données chiffrées avec l'ancienne clé principale sont toujours déchiffrées à l'aide de l'ancienne clé.