使用されているプライマリ キーをローテーションする場合などにキー プロバイダのプライマリ キーを変更することができます。

キーのライフ サイクルのガイダンスについては、 仮想マシンの暗号化のベスト プラクティスを参照してください。

前提条件

キー サーバ (KMS) で、信頼済みキー プロバイダの新しいプライマリ キーとして使用するキーを作成し、有効にします。このキーは、この信頼済みキー プロバイダによって使用される他のキーとシークレットをラップします。キーの作成に関する詳細については、KMS ベンダーのドキュメントを参照してください。

手順

  1. Set-TrustAuthorityKeyProvider コマンドを実行します。
    例: 
    Set-TrustAuthorityKeyProvider -MasterKeyId Key-ID
  2. キー プロバイダのステータスを確認します。
    1. Get-TrustAuthorityCluster 情報を変数に割り当てます。
      例: 
      $vTA = Get-TrustAuthorityCluster 'vTA Cluster'
    2. Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA 情報を変数に割り当てます。
      例: 
      $kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
    3. $kp.Status を実行して、キー プロバイダのステータスを確認します。
      例: 
      $kp.Status

KeyProviderId Health HealthDetails ServerStatus
------------- ------ ------------- ------------
domain-c8-kp4     Ok {}            {IP_address}
      健全性ステータスが [OK] の場合、キー プロバイダが正しく実行されていることを示しています。

結果

すべての新しい暗号化操作に、新しいプライマリ キーが使用されます。古いプライマリ キーを使用して暗号化されたデータは、引き続き古いキーを使用して復号化されます。