IBM Cloud Docs
通过专用端点连接到 Azure Key Vault

通过专用端点连接到 Azure Key Vault

您可以使用 Unified Key Orchestrator 通过具有 UI 的专用端点或通过 Unified Key Orchestrator API 以编程方式连接到 Azure Key Vault。 通过在 Unified Key Orchestrator 与 Azure Key Vault 之间建立专用连接,不再需要向公用因特网公开您的服务。

准备工作

在通过专用端点连接到 Azure Key Vault 之前,请确保完成以下任务:

Unified Key Orchestrator 需要以下访问权才能管理 Azure 密钥保险库文件中的密钥:

  • create
  • import
  • update
  • list
  • delete
  • get
  • recover
  • purge
  • backup
  • restore

有关更多信息,请查看 分配密钥保险库访问策略

步骤 1: 在 Azure 门户网站中创建专用端点

要在 Azure 门户网站中创建专用端点,请完成以下步骤:

  1. 登录到 Azure Tenant Portal,然后选择 Azure Key Vault。

  2. 设置下,单击 联网

  3. 要创建专用端点,请在 专用端点连接下单击 + 创建

  4. 基本下,输入以下信息,然后单击 下一步: 资源

    表 1. 专用端点基本属性
    设置
    预订 选择预订。
    资源组 选择资源组。
    名称 输入实例名称。
    网络接口名称 自动生成缺省网络接口名称。
    区域 选择区域。

  5. 资源下,输入以下信息,然后单击 下一步: 虚拟网络

    表 2. 专用端点资源属性
    设置
    连接方法 选择 连接到我的目录中的 Azure 资源。
    预订 选择预订。
    资源类型 选择保险库文件。
    资源 选择密钥保险库。
    目标 选择保险库文件。

  6. 虚拟网络下,输入以下信息,然后单击 下一步 :DNS

    表 3。 专用端点虚拟网络属性
    设置
    虚拟网络 选择网络。
    子网 选择子网。
    专用 IP 配置 选择动态分配 IP 地址。

  7. DNS 下,确认信息,然后单击 下一步: 标记

  8. 在“标记”下,单击 下一步: 复审 + 创建

  9. 确认有关创建专用端点的信息后,单击 创建。 现在,您可以通过单击 专用端点连接下的密钥保险库来验证新的专用端点。

  10. 要启用专用端点,请转至 防火墙和虚拟网络,然后选择 禁用公共访问。 有关更多信息,请参阅 创建专用端点

步骤 2: 创建和管理连接器端点

要将 IBM Cloud 连接到创建的 Azure 专用端点,需要在 IBM Satellite中创建连接器端点。 要创建连接器端点,请完成以下步骤:

  1. 登录到 Satellite UI,选择要用于创建连接器端点的连接器。

  2. 在连接器 UI 中,单击 用户端点,然后单击 创建端点

  3. 资源详细信息下,输入以下详细信息,然后单击 下一步

    表 4. 连接器端点资源属性
    设置
    端点名称 指定端点名称。
    目标 FQDN 或 IP 输入标准域名。 例如,<Azure-key-vault-name>.privatelink.vaultcore.azure.net,其中 Azure-key-vault-name 是您在步骤 1 中使用的密钥保险库名称。
    目标端口 输入目标资源侦听入局请求的端口,例如 443

  4. 协议下,选择 TCP 作为源协议,然后单击 下一步

  5. 访问控制表下,不选择任何规则,然后单击 下一步 以继续。

  6. 连接设置下,设置不活动超时,例如 60

  7. 单击 创建端点

现在,您已成功创建连接器端点并确保记录端点地址。

步骤 3: 将 Azure Key Vault 连接到 UI

要使用 UI 连接到 Azure Key Vault,请完成以下步骤:

  1. 登录到 Hyper Protect Crypto Services 实例

  2. 从导航中单击 密钥库 以查看所有可用的密钥库。

  3. 要连接到 Azure Key Vault,请单击 添加密钥库

  4. 保险库下,选择用于访问控制的密钥库的保险库,然后单击 下一步

    如果要将密钥库分配给新的保险库文件,请单击 创建保险库文件。 有关更多指示信息,请参阅 创建保险库文件

  5. 密钥库类型下,选择 Azure Key Vault (Premium),然后单击 下一步

  6. 密钥库属性下,指定详细信息:

    表 5. Azure Key Vault 属性
    属性 描述
    密钥库名称 便于识别密钥库的唯一人类可读名称,长度为 1-100 个字符。 第一个字符必须是字母 (区分大小写) 或数字 (0-9)。 其余部分也可以是符号 (.-_) 或空格。
    描述 (可选) 密钥库的扩展描述,长度最多为 200 个字符。
    Azure 上的服务名称 该名称必须与 Azure中的密钥保险库文件的名称相匹配。
    Azure 上的资源组 对多个资源进行分组的逻辑构造。 从 Azure 门户网站获取此信息。
    Azure 上的服务主体客户机标识 用于标识服务主体的应用程序的应用程序标识。
    Azure 上的服务主体密码 服务主体仅支持基于密码的认证。
    Azure 上的租户标识 租户是拥有和管理特定 Microsoft 云服务实例的组织。 使用 Microsoft Entra ID 向密钥保险库文件认证请求。
    Azure 上的预订标识 用于唯一地标识预订以使用 Azure 服务的 GUID。
    TLS 代理的专用端点 URL (可选) 复制并粘贴步骤 2 中的端点地址。 有关更多信息,请参阅 创建和管理连接器端点

    在连接密钥库之后,无法对标识以“锁定”图标标记的属性进行进一步更改。

  7. (可选) 单击 测试连接 以测试与您配置的 Azure 密钥保险库的连接。 完成后,单击 下一步 以继续。

    即使测试失败,您也可以完成后续步骤。 要在连接失败时调整连接设置,请检查并调整连接属性。

  8. 摘要下,查看 Azure Key Vault 的摘要以及估算的额外成本。

  9. 确认密钥库详细信息后,单击 添加密钥库

如果您连接到 Azure Key Vault,那么将在您连接到的 Azure Key Vault 实例中自动创建名为 EKMF-BYOK-KEK-FOR-IMPORT 的密钥。 您可以从 Azure Key Vault 实例 UI 中查看密钥。 请勿删除此密钥。 否则,您将无法创建受管密钥并将其分发到 Azure Key Vault 实例。 有关更多信息,请参阅 为什么无法在 Azure Key Vault 中分发密钥。

您已通过专用端点成功连接到 Azure Key Vault。

使用 API 连接到 Azure Key Vault

要通过 API 连接到 Azure Key Vault,请执行以下步骤:

  1. 检索服务和认证凭证以使用服务中的密钥库

  2. 通过对以下端点进行 POST 调用来连接到外部密钥库。

    https://<instance_ID>.uko.<region>.hs-crypto.appdomain.cloud/api/v4/keystores

    有关使用 API 方法的详细指示信息和代码示例,请查看 Hyper Protect Crypto Services Unified Key Orchestrator API 参考文档

如果您连接到 Azure Key Vault,那么将在您连接到的 Azure Key Vault 实例中自动创建名为 EKMF-BYOK-KEK-FOR-IMPORT 的密钥。 您可以从 Azure Key Vault 实例 UI 中查看密钥。 请勿删除此密钥。 否则,您将无法创建受管密钥并将其分发到 Azure Key Vault 实例。 有关更多信息,请参阅 为什么无法在 Azure Key Vault 中分发密钥。

下一步