Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Deze handleiding is ontworpen om u te helpen bij het oplossen van veelvoorkomende problemen bij het gebruik van een door de klant beheerde sleutel (CMK) voor gegevensversleuteling van data-at-rest in Azure DocumentDB. Het biedt praktische oplossingen voor het oplossen van problemen met verschillende onderdelen die betrokken zijn bij de CMK-installatie.
Een beheerde identiteit, een sleutelkluis, een versleutelingssleutel in de sleutelkluis en de juiste machtigingen die zijn verleend aan de beheerde identiteit , zijn vereist voor het configureren van CMK op een Azure DocumentDB-cluster.
Als beheerde identiteit, sleutelkluis, sleutel of machtigingen en niet volgens de vereisten zijn geconfigureerd, kunt u CMK mogelijk niet inschakelen tijdens het inrichten van clusters. Als de juiste installatie ongeldig wordt voor een cmk-cluster, zijn gegevens in dit cluster niet meer beschikbaar vanwege de kernbeveiligingsvereiste van versleuteling met de door de klant beheerde sleutel.
Volg de stappen in deze sectie om problemen op te lossen met alle onderdelen die vereist zijn voor de juiste CMK-installatie.
Redenen voor het intrekken van sleuteltoegang vanuit Azure Key Vault
Iemand met voldoende toegangsrechten voor Key Vault kan per ongeluk clustertoegang tot de sleutel uitschakelen door:
- De RBAC-rol Key Vault Crypto Service Encryption User intrekken of de machtigingen intrekken van de identiteit die wordt gebruikt om de sleutel in Key Vault op te halen.
- De sleutel verwijderen.
- Het Key Vault-exemplaar verwijderen.
- Als u de firewallregels van Key Vault wijzigt of de netwerkinstellingen van Key Vault onjuist configureert.
- De beheerde identiteit van het cluster verwijderen in Microsoft Entra-id.
Deze acties zorgen ervoor dat de door de klant beheerde sleutel die wordt gebruikt voor gegevensversleuteling, ontoegankelijk wordt.
Problemen met ontoegankelijke door de klant beheerde sleutelvoorwaarde oplossen
Wanneer u gegevensversleuteling configureert met een door de klant beheerde sleutel die is opgeslagen in de sleutelkluis, is continue toegang tot deze sleutel vereist om het cluster online te houden. Als dat niet het geval is, wordt de status van het cluster gewijzigd in Ontoegankelijk en wordt alle verbindingen geweigerd.
Enkele mogelijke redenen waarom de clusterstatus mogelijk niet toegankelijk is, zijn:
| Oorzaak | Resolutie / Besluit |
|---|---|
| De versleutelingssleutel die door het cluster wordt verwezen, had een vervaldatum en -tijd geconfigureerd en die datum en tijd zijn bereikt. | U moet de vervaldatum van de sleutel verlengen. Vervolgens moet u wachten totdat de service de sleutel opnieuwvalideren en de clusterstatus automatisch naar Gereed zet. Alleen wanneer het cluster weer de status Gereed heeft, kunt u de sleutel naar een nieuwere versie draaien of een nieuwe sleutel maken en het cluster bijwerken, zodat het naar die nieuwe versie van dezelfde sleutel of naar de nieuwe sleutel verwijst. |
| U verwijdert het Key Vault-exemplaar. Het Azure DocumentDB-exemplaar heeft geen toegang tot de sleutel en wordt verplaatst naar een niet-toegankelijke status. | Herstel het Key Vault-exemplaar en wacht totdat de service de periodieke hervalidatie van de sleutel uitvoert en de clusterstatus automatisch overschakelen naar Gereed. |
| U verwijdert, van Microsoft Entra ID, een beheerde identiteit die wordt gebruikt om een van de versleutelingssleutels op te halen die zijn opgeslagen in de sleutelkluis. | Herstel de identiteit en wacht totdat de service de periodieke hervalidatie van de sleutel uitvoert en de clusterstatus automatisch naar Gereed gaat. |
| Uw sleutelkluismachtigingsmodel is geconfigureerd voor het gebruik van op rollen gebaseerd toegangsbeheer. U verwijdert de RBAC-roltoewijzing key vault cryptoserviceversleutelingsgebruiker uit de beheerde identiteiten die zijn geconfigureerd om een van de sleutels op te halen. | Verdeel de RBAC-rol opnieuw aan de beheerde identiteit en wacht totdat de service de periodieke hervalidatie van de sleutel uitvoert en de clusterstatus automatisch naar Gereed gaat. U kunt de rol in de sleutelkluis ook toewijzen aan een andere beheerde identiteit en het cluster bijwerken, zodat deze deze andere beheerde identiteit gebruikt voor toegang tot de sleutel. |
| Uw sleutelkluismachtigingsmodel is geconfigureerd voor het gebruik van toegangsbeleid. U trekt het lijst-, krijg-, wikkelSleutel- of ontwikkelSleutel-toegangsbeleid in van de beheerde identiteiten die zijn geconfigureerd om een van de sleutels op te halen. | Verdeel de RBAC-rol aan de beheerde identiteit en wacht totdat de service de periodieke hervalidatie van de sleutel uitvoert en de clusterstatus automatisch naar Gereed gaat. U kunt ook het vereiste toegangsbeleid voor de sleutelkluis verlenen aan een andere beheerde identiteit en het cluster bijwerken zodat deze andere beheerde identiteit wordt gebruikt voor toegang tot de sleutel. |
| U stelt beperkende firewallregels voor de sleutelkluis in, zodat uw Azure DocumentDB-cluster niet kan communiceren met de sleutelkluis om uw sleutels op te halen. | Wanneer u een sleutelkluisfirewall configureert, moet u openbare toegang uitschakelen en de optie selecteren om vertrouwde Microsoft-services toe te staan of openbare toegang toe te staan vanuit alle netwerken. Met openbare toegang vanuit alle netwerken heeft uw Azure DocumentDB-cluster toegang tot de sleutelkluis. Met uitgeschakelde openbare toegang en de optie om vertrouwde Microsoft-services toegang te geven tot de sleutelwaarde, kan uw cluster de firewall omzeilen. |
Opmerking
Wanneer een sleutel is uitgeschakeld, verwijderd, verlopen of niet bereikbaar is, wordt een cluster met gegevens die zijn versleuteld met die sleutel ontoegankelijk, zoals eerder is aangegeven. De clusterstatus wordt pas opnieuw gewijzigd in Gereed totdat de versleutelingssleutel opnieuw kan worden gevalideerd.
Over het algemeen wordt een cluster binnen 60 minuten nadat een sleutel is uitgeschakeld, verwijderd, verlopen of niet bereikbaar is. Nadat de sleutel beschikbaar is, kan het tot 60 minuten duren voordat het cluster weer gereed is.
Herstellen na verwijdering van beheerde identiteit
Als de door de gebruiker toegewezen beheerde identiteit die wordt gebruikt voor toegang tot de versleutelingssleutel die is opgeslagen in de sleutelkluis, wordt verwijderd in Microsoft Entra ID, moet u de volgende stappen uitvoeren om te herstellen:
- Herstel de identiteit of maak een nieuwe beheerde Entra ID-identiteit.
- Als u een nieuwe identiteit hebt gemaakt, zelfs als deze dezelfde naam heeft als de verwijderde identiteit, werkt u de Azure Database voor flexibele clustereigenschappen bij zodat deze deze nieuwe identiteit moet gebruiken voor toegang tot de versleutelingssleutel.
- Zorg ervoor dat deze identiteit over de juiste machtigingen beschikt voor bewerkingen op de sleutel in Azure Key Vault (AKV).
- Wacht ongeveer één uur totdat de sleutel opnieuw wordt gevalideerd in het cluster.
Belangrijk
Het maken van een nieuwe Entra-id met dezelfde naam als de verwijderde identiteit herstelt niet na verwijdering van beheerde identiteiten.
Problemen met het inrichten van clusters met CMK oplossen
Als niet aan een van de CMK-vereisten wordt voldaan, mislukt een poging om een cluster in te richten waarvoor CMK is ingeschakeld. De volgende fout tijdens het inrichten van het cluster geeft aan dat de sleutelkluis, de versleutelingssleutel of de machtigingen voor beheerde identiteit niet juist zijn ingesteld: 'Kan geen toegang krijgen tot de sleutel. Mogelijk ontbreekt het, heeft de opgegeven gebruikersidentiteit geen GET-machtigingen of heeft de sleutelkluis geen toegang tot het openbare internet ingeschakeld.'
Ga als volgt te werk om deze situatie op te lossen:
- Controleer alle CMK-vereisten.
- Richt het cluster in met de beheerde identiteit en de sleutelkluis die u hebt gecontroleerd.
- Verwijder de mislukte clusterentiteit. De eigenschap Mislukt is
clusterStatusingesteld op Mislukt. In Azure Portal vindt u de clusterstatus op de blade Overzicht in de clustereigenschappen.