Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Si la machine virtuelle perd sa copie de la clé bloquée, un disque est migré vers une nouvelle machine virtuelle. Si une autre incompatibilité de clé se produit, la machine virtuelle ne peut pas accéder à Wireserver ou instance Metadata Service (IMDS). La réinitialisation de la clé ramènera la machine virtuelle à un état sain si la clé est perdue ou non concordante entre l’hôte et l’invité.
Le propriétaire de la machine virtuelle doit demander la réinitialisation de la clé. Les services de métadonnées ne peuvent pas faire la distinction entre un attaquant ou le GPA demandant une réinitialisation lorsque la clé est perdue, de sorte que les réinitialisations ne peuvent pas être émises à partir de la machine virtuelle.
Réinitialiser une clé de machines virtuelles
La plateforme s’assure toujours que le keyIncarnationId dans le modèle de machine virtuelle correspond à la clé réelle dans le stockage. En incrémentant cette valeur, une réinitialisation de clé est déclenchée. Pour plus d’informations, consultez Configuration .
PATCH https://management.azure.com/subscriptions/{subscription_id}/resourceGroups/{resource_group_name}/providers/Microsoft.Compute/virtualMachines/{virtualMachine_Name}?api-version=2024-03-01
{
"properties": {
"securityProfile": {
"proxyAgentSettings": {
"keyIncarnationId": 10
}
}
}
}
Confirmez que la réinitialisation a eu lieu
Vérifiez la AzureProxyAgentExtension vue de l’instance de machine virtuelle pour confirmer que la nouvelle clé est générée. Vous voyez votre nouvelle keyIncarnationId une fois que la modification se propage de bout en bout.
"keyLatchStatus":{
"status":"RUNNING",
"message":"Found key details from local and ready to use. - 122",
"states":{
"imdsRuleId":"/SUBSCRIPTIONS/{subscription_id}/RESOURCEGROUPS/{resource_group}/PROVIDERS/MICROSOFT.COMPUTE/GALLERIES/GALLERYXX/INVMACCESSCONTROLPROFILES/WINDOWSIMDS/VERSIONS/{data_version}",
"secureChannelState":"WireServer Enforce - IMDS Enforce",
"keyIncarnationId":"10",
"keyGuid":"e3882f98-da8d-4410-8394-06c23462781c",
"wireServerRuleId":"/SUBSCRIPTIONS/{subscription_id}/RESOURCEGROUPS/{resource_group}/PROVIDERS/MICROSOFT.COMPUTE/GALLERIES/GALLERYXX/INVMACCESSCONTROLPROFILES/WINDOWSWIRESERVER/VERSIONS/{data_version}"
}
}
Remarque
Ces demandes sont idempotentes. Toutefois, si plusieurs demandes sont effectuées avec plusieurs keyIncarnationId, il n’existe aucune garantie sur le nombre et l’ordre de keyIncarnationId que vous observez. L’état final reflète la demande qui a utilisée la plus grande valeur.
Réinitialiser la clé de groupes de machines virtuelles identiques
Les données clés sont uniques pour chaque instance d’un groupe identique. La clé doit être réinitialisée par instance.
Nous prenons uniquement en charge la réinitialisation de la clé pour une instance de machine virtuelle spécifique de groupes de machines virtuelles identiques. Nous ne pouvons pas réinitialiser la clé pour toutes les instances des ensembles de machines virtuelles au moyen d'une seule API.
Consultez Réinitialiser la clé d’une machine virtuelle et remplacez plutôt l’ID de ressource de l’instance de vos groupes de machines virtuelles identiques. Exemple:
https://management.azure.com/subscriptions/{subscription_id}/resourceGroups/{resource_group_name}/providers/Microsoft.Compute/virtualMachineScaleSets/{vmScaleSet_name}/virtualMachines/{instance_id}?api-version=2024-03-01