變更金鑰提供者的主要金鑰

您可以變更金鑰提供者的主要金鑰，例如，當您想要輪替所使用的主要金鑰時。

如需有關金鑰生命週期的指引，請參閱虛擬機器加密最佳做法。

必要條件

在金鑰伺服器 (KMS) 上建立並啟用金鑰，以用作受信任金鑰提供者的新主要金鑰。此金鑰會包裝此受信任金鑰提供者所使用的其他金鑰和密碼。如需有關建立金鑰的詳細資訊，請參閱 KMS 廠商說明文件。

執行 Set-TrustAuthorityKeyProvider 命令。
例如：
```
Set-TrustAuthorityKeyProvider -MasterKeyId Key-ID
```
驗證金鑰提供者的狀態。
1. 將 Get-TrustAuthorityCluster 資訊指派給變數。
  例如：
```
$vTA = Get-TrustAuthorityCluster 'vTA Cluster'
```
2. 將 Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA 資訊指派給變數。
  例如：
```
$kp = Get-TrustAuthorityKeyProvider -TrustAuthorityCluster $vTA
```
3. 透過執行 $kp.Status 驗證金鑰提供者的狀態。
  例如：
```
$kp.Status

KeyProviderId Health HealthDetails ServerStatus
------------- ------ ------------- ------------
domain-c8-kp4     Ok {}            {IP_address}
```
  健全狀況狀態為 [正常] 表示金鑰提供者正在正常執行。

新的主要金鑰將用於任何新的加密作業。使用舊的主要金鑰加密的資料仍會使用舊金鑰進行解密。