Een door de klant beheerde sleutel (CMK) configureren voor gegevensversleuteling bij rust voor een Azure Cosmos DB voor MongoDB vCore-cluster.

2025-10-13
Van toepassing op: ✅ MongoDB (vCore)

In dit artikel leert u hoe u door de klant beheerde sleutel (CMK) configureert voor data-at-rest in Azure Cosmos DB voor MongoDB vCore. Met de stappen in deze handleiding configureert u een nieuw Azure Cosmos DB voor MongoDB vCore-cluster, een replicacluster of een hersteld cluster. CMK-installatie maakt gebruik van door de klant beheerde sleutel die is opgeslagen in een Azure Key Vault en door de gebruiker toegewezen beheerde identiteit.

Vereiste voorwaarden

Een Azure-abonnement
- Als je geen Azure-abonnement hebt, maak dan een gratis account aan voordat je begint.

De nieuwste versie van de Azure CLI in Azure Cloud Shell.
- Als u liever CLI-referentieopdrachten lokaal uitvoert, meldt u zich aan bij de Azure CLI met behulp van de az login opdracht.

Door de gebruiker toegewezen beheerde identiteit en Azure Key Vault voorbereiden

Als u door de klant beheerde sleutelversleuteling wilt configureren in uw Azure Cosmos DB voor MonogDB vCore-cluster, hebt u een door de gebruiker toegewezen beheerde identiteit, een Azure Key Vault-exemplaar en de juiste machtigingen nodig.

Belangrijk

Door de gebruiker toegewezen beheerde identiteit en het Azure Key Vault-exemplaar dat wordt gebruikt voor het configureren van CMK, moeten zich in dezelfde Azure-regio bevinden waar het Azure Cosmos DB voor MongoDB-cluster wordt gehost en allemaal deel uitmaken van dezelfde Microsoft-tenant.

Gebruik de Azure-portal:

Maak één door de gebruiker toegewezen beheerde identiteit in de clusterregio als u er nog geen hebt.
Maak één Azure Key Vault in de clusterregio als u nog geen sleutelarchief hebt gemaakt. Zorg ervoor dat u aan de vereisten voldoet. Volg ook de aanbevelingen voordat u het sleutelarchief configureert, en voordat u de sleutel maakt en de vereiste machtigingen toewijst aan de door de gebruiker toegewezen beheerde identiteit.
Maak één sleutel in uw sleutelarchief.
Verleen gebruiker-toegewezen machtigingen voor beheerde identiteiten aan het Azure Key Vault-exemplaar, zoals wordt beschreven in de vereisten.

Gegevensversleuteling configureren met door de klant beheerde sleutel tijdens het inrichten van clusters

Portal
REST-API's

Tijdens het inrichten van een nieuw Azure Cosmos DB voor MongoDB vCore-cluster worden door de service beheerde of door de klant beheerde sleutels voor clustergegevensversleuteling geconfigureerd op het tabblad Versleuteling . Selecteer de door de klant beheerde sleutel voor gegevensversleuteling.
Selecteer in de sectie Door de gebruiker toegewezen beheerde identiteitde optie Identiteit wijzigen.
Selecteer in de lijst met door de gebruiker toegewezen beheerde identiteiten het cluster dat u wilt gebruiken voor toegang tot de gegevensversleutelingssleutel die is opgeslagen in een Azure Key Vault.
Selecteer Toevoegen.
Kies een sleutel selecteren in de methode Sleutelselectie.
Selecteer Sleutel wijzigen in de sectie Sleutel.
Selecteer in het deelvenster Een sleutel selecteren de Azure Key Vault in de sleutelkluis en versleutelingssleutel in de sleutel en bevestig uw keuzes door Selecteren te selecteren.

Belangrijk

Het geselecteerde Azure Key Vault-exemplaar moet zich in dezelfde Azure-regio bevinden waar het Azure Cosmos DB voor MongoDB-cluster wordt gehost.
Bevestig de geselecteerde door de gebruiker toegewezen beheerde identiteit en versleutelingssleutel op het tabblad Versleuteling en selecteer Beoordelen en maken om een cluster te maken.

U kunt gegevensversleuteling inschakelen met een door de gebruiker toegewezen versleutelingssleutel, terwijl u een nieuw cluster inricht via een az rest opdracht.

Maak een JSON-bestand met de volgende inhoud. Vervang tijdelijke aanduidingen die beginnen met het teken door $ de werkelijke waarden en sla het bestand op.

{
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
          "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName": {}
        }
      },
  "location": "$regionName",
      "properties": {
        "administrator": {
          "userName": "$adminName",
          "password": "$complexPassword"
        },
        "serverVersion": "8.0",
        "storage": {
          "sizeGb": 32
        },
        "compute": {
          "tier": "M40"
        },
        "sharding": {
          "shardCount": 1
        },
        "highAvailability": {
          "targetMode": "ZoneRedundantPreferred"
        },
      "encryption": {
          "customerManagedKeyEncryption": {
            "keyEncryptionKeyIdentity": {
              "identityType": "UserAssignedIdentity",
              "userAssignedIdentityResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName"
            },
            "keyEncryptionKeyUrl": "$encryptionKeyUrl"
          }
        }
      }
}

Opmerking

De keyEncryptionKeyUrl sleutelnaam moet de sleutelnaam bevatten, maar mag geen specifieke sleutelversie bevatten.

Voer de volgende Azure CLI-opdracht uit om een REST API-aanroep te maken om een Azure Cosmos DB voor MongoDB vCore-cluster te maken. Vervang tijdelijke aanduidingen in de sectie variabelen en de bestandsnaam voor de --body parameter in de az rest opdrachtregel door de werkelijke waarden.

# Define your variables
$randomIdentifier = (New-Guid).ToString().Substring(0,8)
$subscriptionId="00000000-0000-0000-0000-000000000000"
$resourceGroup="AzureCosmosDB"
$mongoClustersName="msdocscr$randomIdentifier"

# Execute the az rest command to make REST API call
az rest --method "PUT" --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/${mongoClustersName}?api-version=2025-09-01 --body  @jsonFileFromThePreviousStep.json

Instellingen voor gegevensversleuteling op cluster bijwerken met CMK ingeschakeld

Voor bestaande clusters die zijn geïmplementeerd met gegevensversleuteling met behulp van een door de klant beheerde sleutel, kunt u verschillende configuratiewijzigingen uitvoeren. U kunt de sleutelkluis wijzigen waarin de versleutelingssleutel wordt opgeslagen en de versleutelingssleutel die wordt gebruikt als een door de klant beheerde sleutel. U kunt ook de door de gebruiker toegewezen beheerde identiteit wijzigen die door de service wordt gebruikt voor toegang tot de versleutelingssleutel die in het sleutelarchief wordt bewaard.

Portal
REST-API's

Selecteer gegevensversleuteling in de zijbalk van het cluster onder Instellingen.
Selecteer in de sectie Door de gebruiker toegewezen beheerde identiteitde optie Identiteit wijzigen.
Selecteer in de lijst met door de gebruiker toegewezen beheerde identiteiten het cluster dat u wilt gebruiken voor toegang tot de gegevensversleutelingssleutel die is opgeslagen in een Azure Key Vault.
Selecteer Toevoegen.
Kies een sleutel selecteren in de methode Sleutelselectie.
In de Sleutel kies Sleutel wijzigen.
Selecteer in het deelvenster Een sleutel selecteren de Azure Key Vault in de sleutelkluis en versleutelingssleutel in de sleutel en bevestig uw keuzes door Selecteren te selecteren.

Belangrijk

Het geselecteerde Azure Key Vault-exemplaar moet zich in dezelfde Azure-regio bevinden waarin het Azure Cosmos DB-cluster voor MongoDB is gehost.
Bevestig de geselecteerde door de gebruiker toegewezen beheerde identiteit en versleutelingssleutel op de pagina Gegevensversleuteling en selecteer Opslaan om uw selecties te bevestigen en een replicacluster te maken.

U kunt door de gebruiker toegewezen beheerde identiteit en versleutelingssleutel voor gegevensversleuteling op een bestaand cluster wijzigen via een REST API-aanroep.

Maak een JSON-bestand met de volgende inhoud. Vervang tijdelijke aanduidingen die beginnen met het teken door $ de werkelijke waarden en sla het bestand op.

{
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
          "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName": {}
        }
      },
  "location": "$regionName",
      "properties": {
        "encryption": {
          "customerManagedKeyEncryption": {
            "keyEncryptionKeyIdentity": {
              "identityType": "UserAssignedIdentity",
              "userAssignedIdentityResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName"
            },
            "keyEncryptionKeyUrl": "$encryptionKeyUrl"
          }
        }
      }
}

Opmerking

De keyEncryptionKeyUrl sleutelnaam moet de sleutelnaam bevatten, maar mag geen specifieke sleutelversie bevatten.

# Define your variables
$subscriptionId="00000000-0000-0000-0000-000000000000"
$resourceGroup="resourceGroupName"
$mongoClustersName="clusterName"

# Execute the az rest command to make REST API call
az rest --method "PUT" --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/${mongoClustersName}?api-version=2025-09-01 --body  @jsonFileFromThePreviousStep.json

Of u nu alleen de door de gebruiker toegewezen beheerde identiteit wilt wijzigen die wordt gebruikt voor toegang tot de sleutel, of u wilt alleen de sleutel wijzigen die wordt gebruikt voor gegevensversleuteling, of u wilt beide tegelijk wijzigen, u moet alle parameters opgeven die worden vermeld in het JSON-bestand.

Als de sleutel of de door de gebruiker toegewezen beheerde identiteit niet bestaat, wordt de fout weergegeven.

Identiteiten die worden doorgegeven als parameters, als ze bestaan en geldig zijn, worden automatisch toegevoegd aan de lijst met door de gebruiker toegewezen beheerde identiteiten die zijn gekoppeld aan uw Azure Cosmos DB voor MongoDB vCore-cluster. Dit is het geval, zelfs als de opdracht later faalt door een andere fout.

De modus voor gegevensversleuteling op bestaande clusters wijzigen

Het enige punt waarop u kunt beslissen of u een door de service beheerde sleutel of een door de klant beheerde sleutel (CMK) wilt gebruiken voor gegevensversleuteling, is op het moment dat het cluster wordt gemaakt. Zodra u die beslissing hebt genomen en het cluster hebt gemaakt, kunt u niet schakelen tussen de twee opties. Als u een kopie van uw Azure Cosmos DB voor MongoDB vCore-cluster wilt maken met een andere versleutelingsoptie, kunt u een replicacluster maken of een clusterherstel uitvoeren en de nieuwe versleutelingsmodus selecteren tijdens het maken van een replicacluster of het maken van een hersteld cluster.

Cmk-gegevensversleuteling (door de klant beheerde sleutel) in- of uitschakelen tijdens het maken van een replicacluster

Volg deze stappen om een replicacluster te maken met CMK- of SMK-gegevensversleuteling om CMK in of uit te schakelen op een replicacluster.

Portal
REST-API's

Selecteer globale distributie in de zijbalk van het cluster onder Instellingen.
Selecteer Nieuwe leesreplica toevoegen.
Geef een replicaclusternaam op in het veld Leesreplicanaam.
Selecteer een regio in de Leesreplica-regio. Het replicacluster wordt gehost in de geselecteerde Azure-regio.

Opmerking

Replicacluster wordt altijd gemaakt in hetzelfde Azure-abonnement en dezelfde resourcegroep als het primaire cluster (read-write).
Selecteer in de sectie Gegevensversleuteling de door de klant beheerde sleutel om CMK of door de service beheerde sleutel in te schakelen om CMK uit te schakelen op het replicacluster.
Selecteer in de sectie Door de gebruiker toegewezen beheerde identiteitde optie Identiteit wijzigen.
Selecteer in de lijst met door de gebruiker toegewezen beheerde identiteiten het cluster dat u wilt gebruiken voor toegang tot de gegevensversleutelingssleutel die is opgeslagen in een Azure Key Vault.
Selecteer Toevoegen.
Kies een sleutel selecteren in de methode Sleutelselectie.
In de Sleutel kies Sleutel wijzigen.
Selecteer in het deelvenster Een sleutel selecteren de Azure Key Vault in de sleutelkluis en versleutelingssleutel in de sleutel en bevestig uw keuzes door Selecteren te selecteren.
Bevestig de geselecteerde door de gebruiker toegewezen beheerde identiteit en versleutelingssleutel op de pagina Globale distributie en selecteer Opslaan om uw selecties te bevestigen en een replicacluster te maken.

Volg deze stappen om een replicacluster te maken waarvoor CMK is ingeschakeld in dezelfde regio.

Maak een JSON-bestand met de volgende inhoud. Vervang tijdelijke aanduidingen die beginnen met het teken door $ de werkelijke waarden en sla het bestand op.

{
        "identity": {
            "type": "UserAssigned",
            "userAssignedIdentities": {
              "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName": {}
            }
          },
      "location": "$targetRegionName",
          "properties": {
          	"createMode": "GeoReplica",
                "replicaParameters": {
                  "sourceResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/$sourceClusterName",
                  "sourceLocation": "sourceRegionName"
                },
                "encryption": {
                  "customerManagedKeyEncryption": {
                    "keyEncryptionKeyIdentity": {
                      "identityType": "UserAssignedIdentity",
                      "userAssignedIdentityResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName"
                    },
                    "keyEncryptionKeyUrl": "$encryptionKeyUrl"
                  }
                }
          }
    }

Opmerking

De keyEncryptionKeyUrl sleutelnaam moet de sleutelnaam bevatten, maar mag geen specifieke sleutelversie bevatten.

# Define your variables
$subscriptionId="00000000-0000-0000-0000-000000000000"
$resourceGroup="resourceGroupName"
$mongoClustersName="clusterName"

# Execute the az rest command to make REST API call
az rest --method "PUT" --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/${mongoClustersName}?api-version=2025-09-01 --body  @jsonFileFromThePreviousStep.json

Cmk-gegevensversleuteling (door de klant beheerde sleutel) in- of uitschakelen tijdens het herstellen van clusters

Het herstelproces maakt een nieuw cluster met dezelfde configuratie in dezelfde Azure-regio, hetzelfde abonnement en dezelfde resourcegroep als het origineel. Volg deze stappen om een hersteld cluster te maken waarvoor CMK of SMK is ingeschakeld.

Portal
REST-API's

Selecteer een bestaand Azure Cosmos DB voor MongoDB vCore-cluster.
Selecteer op de zijbalk van het cluster onder Instellingen de optie Herstel naar een bepaald tijdstip.
Selecteer een datum en geef een tijd (in UTC-tijdzone) op in de datum- en tijdvelden.
Voer een clusternaam in het veld Doelclusternaam herstellen in.
Voer een clusterbeheerdernaam in voor het herstelde cluster in het veld Gebruikersnaam van beheerder.
Voer een wachtwoord in voor de beheerdersrol in de velden Wachtwoord en Wachtwoord bevestigen .
Selecteer in de sectie Gegevensversleuteling de door de klant beheerde sleutel om CMK in te schakelen. Als CMK moet zijn uitgeschakeld op het herstelde cluster, selecteert u de door de service beheerde sleutel.
Selecteer in de sectie Door de gebruiker toegewezen beheerde identiteitde optie Identiteit wijzigen.
Selecteer in de lijst met door de gebruiker toegewezen beheerde identiteiten het cluster dat u wilt gebruiken voor toegang tot de gegevensversleutelingssleutel die is opgeslagen in een Azure Key Vault.
Selecteer Toevoegen.
Kies een sleutel selecteren in de methode Sleutelselectie.
In de Sleutel kies Sleutel wijzigen.
Selecteer in het deelvenster Een sleutel selecteren de Azure Key Vault in de sleutelkluis en versleutelingssleutel in de sleutel en bevestig uw keuzes door Selecteren te selecteren.
Selecteer Verzenden om het herstellen van het cluster te initiëren.

Volg deze stappen om een cluster te herstellen waarvoor CMK is ingeschakeld.

Maak een JSON-bestand met de volgende inhoud. Vervang tijdelijke aanduidingen die beginnen met het teken door $ de werkelijke waarden en sla het bestand op.

{
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
          "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName": {}
        }
      },
  "location": "$regionName",
      "properties": {
            "administrator": {
              "userName": "$adminName"
            },
      	"createMode": "PointInTimeRestore",
            "restoreParameters": {
              "pointInTimeUTC": "yyyy-mm-ddThh:mm:ssZ",
              "sourceResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/$restoredClusterName"
            },
            "encryption": {
              "customerManagedKeyEncryption": {
                "keyEncryptionKeyIdentity": {
                  "identityType": "UserAssignedIdentity",
                  "userAssignedIdentityResourceId": "/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/$userAssignedIdentityName"
                },
                "keyEncryptionKeyUrl": "$encryptionKeyUrl"
              }
            }
      }
}

Opmerking

De keyEncryptionKeyUrl sleutelnaam moet de sleutelnaam bevatten, maar mag geen specifieke sleutelversie bevatten.

# Define your variables
$subscriptionId="00000000-0000-0000-0000-000000000000"
$resourceGroup="resourceGroupName"
$mongoClustersName="clusterName"

# Execute the az rest command to make REST API call
az rest --method "PUT" --url https://management.azure.com/subscriptions/$subscriptionId/resourceGroups/$resourceGroup/providers/Microsoft.DocumentDB/mongoClusters/${mongoClustersName}?api-version=2025-09-01 --body  @jsonFileFromThePreviousStep.json

Nadat het herstelde cluster is gemaakt, bekijkt u de lijst met taken na het terugzetten.

Feedback

Is deze pagina nuttig?

Delen via

Een door de klant beheerde sleutel (CMK) configureren voor gegevensversleuteling bij rust voor een Azure Cosmos DB voor MongoDB vCore-cluster.

Vereiste voorwaarden

Door de gebruiker toegewezen beheerde identiteit en Azure Key Vault voorbereiden

Gegevensversleuteling configureren met door de klant beheerde sleutel tijdens het inrichten van clusters

Instellingen voor gegevensversleuteling op cluster bijwerken met CMK ingeschakeld

De modus voor gegevensversleuteling op bestaande clusters wijzigen

Cmk-gegevensversleuteling (door de klant beheerde sleutel) in- of uitschakelen tijdens het maken van een replicacluster

Cmk-gegevensversleuteling (door de klant beheerde sleutel) in- of uitschakelen tijdens het herstellen van clusters

Verwante inhoud

Feedback

Aanvullende resources