Udostępnij przez

Używanie kluczy zarządzanych przez klienta w usłudze Azure Key Vault dla usługi Azure Data Box

Urządzenia Azure Data Box są zabezpieczone hasłem, aby zapobiec niepożądanemu włamaniu. To hasło jest formalnie znane jako klucz odblokowywania urządzenia i jest chronione przy użyciu klucza szyfrowania. Domyślnie klucz szyfrowania jest kluczem zarządzanym przez firmę Microsoft. Aby uzyskać większą bezpośrednią kontrolę, możesz podać własny klucz zarządzany.

Użycie własnego klucza zarządzanego przez klienta wpływa tylko na sposób szyfrowania klucza odblokowywania urządzenia. Nie ma to wpływu na sposób szyfrowania danych na urządzeniu.

Aby zachować ten poziom kontroli w całym procesie zamówienia, użyj klucza zarządzanego przez klienta podczas tworzenia zamówienia. Aby uzyskać więcej informacji, zobacz Samouczek: zamawianie urządzenia Azure Data Box.

W tym artykule opisano sposób używania kluczy zarządzanych przez klienta z istniejącym zamówieniem usługi Azure Data Box za pośrednictwem witryny Azure Portal. Ten artykuł dotyczy urządzeń Azure Data Box, Data Box Next-Gen i Data Box Heavy.

Wymagania

Klucz zarządzany przez klienta dla zamówienia urządzenia Data Box musi spełniać następujące wymagania:

  • Klucz musi być kluczem RSA 2048 bitów lub większym.
  • Klucz należy utworzyć i przechowywać w usłudze Azure Key Vault, która ma usuwanie tymczasowe i Nie usuwaj danych bezpowrotnie z włączonymi zachowaniami. Możesz utworzyć magazyn kluczy i klucz podczas tworzenia zamówienia lub jego aktualizacji. Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure Key Vault?.
  • Uprawnienia Get, UnwrapKeyi WrapKey klucza muszą być włączone w skojarzonej usłudze Azure Key Vault. Te uprawnienia muszą pozostawać w mocy przez cały okres istnienia zamówienia. Modyfikowanie tych uprawnień uniemożliwia dostęp do klucza zarządzanego przez klienta podczas procesu kopiowania danych.

Włącz klucz

Aby włączyć klucz zarządzany przez klienta dla istniejącego zamówienia urządzenia Data Box w witrynie Azure Portal, wykonaj następujące kroki:

  1. Przejdź do strony Przegląd dla zamówienia Data Box.

    Zrzut ekranu przedstawiający stronę Przeglądu zamówienia urządzenia Data Box.

  2. W grupie Ustawienia wybierz pozycję Szyfrowanie. W okienku Typ szyfrowania wybierz opcję klucza zarządzanego przez klienta. Następnie wybierz pozycję Wybierz klucz i magazyn kluczy, aby otworzyć stronę Wybierz klucz ze strony usługi Azure Key Vault.

    Zrzut ekranu z wybraną opcją Klucz zarządzany przez klienta.

  3. Zostanie otwarta strona Select key from Azure Key Vault (Wybieranie klucza z usługi Azure Key Vault) i subskrypcja zostanie automatycznie wypełniona na liście rozwijanej. Wybierz istniejący magazyn kluczy na liście rozwijanej Key Vault lub wybierz Utwórz nowy, aby utworzyć nowy magazyn kluczy.

    Przechwytywanie ekranu z wyróżnionymi opcjami skarbca kluczy podczas wybierania klucza zarządzanego przez klienta.

    Aby utworzyć nowy magazyn kluczy, wybierz subskrypcję i grupę zasobów z odpowiadających list rozwijanych: subskrypcji i grupy zasobów. Alternatywnie możesz utworzyć nową grupę zasobów, wybierając pozycję Utwórz nową zamiast wypełniać opcję Grupa zasobów.

    Wybierz żądane wartości dla listy rozwijanej Nazwa magazynu kluczy, region i warstwa cenowa . W grupie opcje odzyskiwania upewnij się, że nietrwałe usuwanie i ochrona przed usunięciem są włączone. Podaj wartość pola Dni zachowywania usuniętych magazynów, a następnie wybierz pozycję Przejrzyj i utwórz.

    Przechwytywanie ekranu z wyświetloną stroną Przegląd i tworzenie usługi Azure Key Vault.

    Przejrzyj informacje dotyczące magazynu kluczy, a następnie wybierz Utwórz. Zostajesz powiadomiony o zakończeniu tworzenia magazynu kluczy.

    Przechwytywanie ekranu przedstawiające tworzenie usługi Azure Key Vault z ustawieniami niestandardowymi.

  4. Na ekranie Wybieranie klucza z usługi Azure Key Vault możesz wybrać istniejący klucz z magazynu kluczy lub utworzyć nowy.

    Przechwytywanie ekranu przedstawiające wybór klucza z usługi Azure Key Vault.

    Jeśli chcesz utworzyć nowy klucz, wybierz pozycję Utwórz nowy. Należy użyć klucza RSA o długości 2048 bitów lub większej.

    Przechwytywanie ekranu przedstawiające tworzenie nowego klucza w usłudze Azure Key Vault.

    Wprowadź nazwę klucza, zaakceptuj inne wartości domyślne i wybierz pozycję Utwórz. Otrzymasz powiadomienie o utworzeniu klucza w magazynie kluczy.

    Przechwytywanie ekranu przedstawiające nazewnictwo nowego klucza w usłudze Azure Key Vault.

  5. W polu Wersja możesz wybrać istniejącą wersję klucza z listy rozwijanej.

    Przechwytywanie ekranu przedstawiające wybór wersji klucza w usłudze Azure Key Vault.

    Jeśli chcesz wygenerować nową wersję klucza, wybierz pozycję Utwórz nową.

    Zrzut ekranu pokazujący lokalizację linku Utwórz nowy.

    Wybierz ustawienia nowej wersji klucza, a następnie wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający ekran Tworzenie nowej wersji klucza.

  6. Po wybraniu magazynu kluczy, a także klucza i jego wersji, wybierz pozycję Wybierz.

    Przechwytywanie ekranu pokazujące lokalizację przycisku Wybierz.

    Ustawienia Typu szyfrowania pokazują magazyn kluczy i klucz, które wybrałeś.

    Przechwytywanie ekranu przedstawiające szczegóły klucza i usługi Key Vault.

  7. Wybierz typ tożsamości, który ma być używany do zarządzania kluczem zarządzanym przez klienta dla tego zasobu. Możesz użyć tożsamości przypisanej przez system, która została wygenerowana podczas tworzenia zamówienia, lub wybrać tożsamość przypisaną przez użytkownika.

    Tożsamość przypisana przez użytkownika jest niezależnym zasobem, którego można użyć do zarządzania dostępem do zasobów. Aby uzyskać więcej szczegółów, zobacz Typy tożsamości zarządzanych.

    Zrzut ekranu pokazujący typy tożsamości.

    Aby przypisać tożsamość użytkownika, wybierz pozycję Przypisany użytkownik. Następnie wybierz pozycję Wybierz tożsamość użytkownika i wybierz tożsamość zarządzaną, której chcesz użyć.

    Przechwytywanie ekranu z opcjami wyboru klucza.

    Nie można tutaj utworzyć nowej tożsamości użytkownika. Aby dowiedzieć się, jak go utworzyć, zobacz Tworzenie, wyświetlanie listy, usuwanie lub przypisywanie roli do tożsamości zarządzanej przypisanej przez użytkownika przy użyciu witryny Azure Portal.

    Wybrana tożsamość użytkownika jest wyświetlana w ustawieniach Typ szyfrowania.

    Przechwytywanie ekranu z wybraną tożsamością użytkownika pokazującą się w okienku ustawień typu szyfrowania.

  8. Wybierz pozycję Zapisz , aby zapisać zaktualizowane ustawienia typu szyfrowania.

    Przechwytywanie ekranu pokazujące lokalizację przycisku Zapisz dla klucza zarządzanego przez klienta.

    Adres URL klucza jest wyświetlany w obszarze Typ szyfrowania.

    Przechwytywanie ekranu z adresem URL klucza zarządzanego przez klienta.

Ważne

Musisz włączyć uprawnienia Get, UnwrapKey i WrapKey dla klucza. Aby ustawić uprawnienia w interfejsie wiersza polecenia platformy Azure, zobacz az keyvault set-policy.

Zmień klucz

Aby zmienić magazyn kluczy, klucz i wersję klucza dla aktualnie używanego klucza zarządzanego przez klienta, wykonaj następujące kroki:

  1. Na ekranie Przegląd dotyczącego zamówienia urządzenia Data Box przejdź do Ustawienia>Szyfrowaniei wybierz opcję Zmień klucz.

    Zrzut ekranu przedstawiający stronę Przegląd zamówienia urządzenia Data Box z szczegółami dotyczącymi klucza zarządzanego przez klienta.

  2. Wybierz opcję Zmień magazyn kluczy i klucz.

    Zrzut ekranu strony Przegląd zamówienia Data Box z wyróżnionym procesem wyboru różnych opcji Key Vault i kluczy szyfrowania.

  3. Na ekranie wyboru klucza z sejfu kluczy wyświetlana jest subskrypcja, ale nie ma sejfu kluczy, klucza ani wersji klucza. Możesz wprowadzić dowolne z następujących zmian:

    • Wybierz inny klucz z tego samego magazynu kluczy. Wybierz magazyn kluczy przed wybraniem klucza i wersji.

    • Wybierz inny magazyn kluczy i przypisz nowy klucz.

    • Zmień wersję bieżącego klucza.

    Po zakończeniu wprowadzania zmian wybierz pozycję Wybierz.

    Przechwytywanie ekranu z ustawieniami opcji szyfrowania i lokalizacją przycisku Wybierz.

  4. Wybierz pozycję Zapisz.

    Przechwytywanie ekranu pokazujące zaktualizowane ustawienia szyfrowania i lokalizację przycisku Zapisz.

Ważne

Musisz włączyć uprawnienia Get, UnwrapKey i WrapKey dla klucza. Aby ustawić uprawnienia w interfejsie wiersza polecenia platformy Azure, zobacz az keyvault set-policy.

Zmienianie tożsamości

Wykonaj następujące kroki, aby zaktualizować tożsamość zarządzającą dostępem do klucza zarządzanego przez klienta dla tego zamówienia:

  1. Na ekranie Przegląd dla ukończonego zamówienia urządzenia Data Box, przejdź do Ustawienia>Szyfrowanie.

  2. Wprowadź jedną z następujących zmian:

    • Aby zmienić tożsamość użytkownika na inną, wybierz pozycję Wybierz inną tożsamość użytkownika. Następnie wybierz inną tożsamość w panelu po prawej stronie ekranu, a następnie wybierz pozycję Wybierz.

      Zrzut ekranu przedstawiający opcje zmiany tożsamości przypisanej przez użytkownika dla klucza zarządzanego przez klienta.

    • Aby przełączyć się na tożsamość przypisaną przez system, wygenerowaną podczas tworzenia zamówienia, wybierz System przypisany przy Wybierz typ tożsamości.

      Zrzut ekranu przedstawiający opcje zmiany klucza przypisanego przez system z klucza zarządzanego przez klienta.

  3. Wybierz pozycję Zapisz.

    Zrzut ekranu przedstawiający lokalizację przycisku użytego do zapisania zaktualizowanych ustawień szyfrowania.

Korzystanie z klucza zarządzanego przez firmę Microsoft

Aby zmienić użycie klucza zarządzanego przez klienta do klucza zarządzanego przez firmę Microsoft dla zamówienia, wykonaj następujące kroki:

  1. Na ekranie Przegląd dla ukończonego zamówienia urządzenia Data Box, przejdź do Ustawienia>Szyfrowanie.

  2. W obszarze Wybierz typ wybierz klucz zarządzany przez firmę Microsoft.

    Zrzut ekranu przedstawiający okienko Przegląd zamówienia urządzenia Data Box.

  3. Wybierz pozycję Zapisz.

    Zrzut ekranu przedstawiający lokalizację przycisku użytego do zapisania zaktualizowanych ustawień szyfrowania dla klucza zarządzanego przez firmę Microsoft.

Rozwiązywanie problemów

Jeśli wystąpią błędy związane z kluczem zarządzanym przez klienta, skorzystaj z poniższej tabeli, aby rozwiązać problemy.

Kod błędu Szczegóły błędu Rezolucja
Błąd użytkownika: klucz szyfrujący wyłączony Nie można pobrać klucza dostępu: klucz zarządzany przez klienta jest wyłączony. Aktywuj wersję klucza.
Błąd użytkownika: klucz szyfrowania wygasł Nie można pobrać klucza dostępu: klucz zarządzany przez klienta wygasł. Aktywacja wersji klucza.
SsemUserErrorKeyDetailsNotFound Nie można pobrać klucza dostępu: nie można odnaleźć klucza zarządzanego przez klienta. Jeśli magazyn kluczy zostanie usunięty:
  1. Jeśli usunięcie miało miejsce w okresie trwania ochrony przed usunięciem, skorzystaj z kroków opisanych w sekcji Odzyskaj magazyn kluczy.
  2. Jeśli ochrona przed przeczyszczeniem jest wyłączona lub usunięcie nastąpiło poza czasem trwania ochrony przed przeczyszczeniem, nie można odzyskać klucza zarządzanego przez klienta.

Jeśli magazyn kluczy przeszedł migrację dzierżawy, można go odzyskać przy użyciu jednej z następujących metod:
  1. Przywróć magazyn kluczy z powrotem do starej dzierżawy.
  2. Ustaw Identity = None, a następnie przywróć wartość Identity = SystemAssigned. Ta akcja powoduje usunięcie i ponowne utworzenie tożsamości. Włącz uprawnienia Get, WrapKeyi UnwrapKey dla nowej tożsamości w ramach zasad dostępu do magazynu kluczy.
SsemUserErrorKeyVaultZłeŻądanieException Zastosowano klucz zarządzany przez klienta, jednakże dostęp do klucza nie został udzielony, albo został odwołany, albo nie można uzyskać dostępu do magazynu kluczy ze względu na włączoną zaporę. Aby uzyskać dostęp do klucza zarządzanego przez klienta, dodaj wybraną tożsamość do skrytki na klucze. Jeśli magazyn kluczy ma włączoną zaporę, przełącz się do tożsamości przypisanej przez system, a następnie dodaj klucz zarządzany przez klienta. Aby uzyskać więcej informacji, zobacz jak włączyć klucz.
SsemUserErrorKeyVaultDetailsNotFound Nie można pobrać klucza dostępu, ponieważ skojarzonego magazynu kluczy dla klucza zarządzanego przez klienta nie znaleziono. Jeśli magazyn kluczy został usunięty, nie można odzyskać klucza zarządzanego przez klienta. Jeśli przeprowadzono migrację magazynu kluczy do innej dzierżawy, zobacz Zmienianie identyfikatora dzierżawy magazynu kluczy po przeniesieniu subskrypcji. Jeśli usunąłeś magazyn kluczy:
  1. Tak, jeśli znajduje się w okresie ochrony przed usunięciem, wykonaj kroki opisane w Odzyskiwanie magazynu kluczy.
  2. Nie, jeśli wykracza poza czas ochrony przed czyszczeniem.

W przeciwnym razie, jeśli magazyn kluczy przeszedł migrację dzierżawy, można go odzyskać, wykonując jedną z poniższych czynności:
  1. Przywróć magazyn kluczy z powrotem do starej dzierżawy.
  2. Ustaw Identity = None , a następnie ustaw wartość z powrotem na Identity = SystemAssigned. Zmiana wartości tożsamości powoduje usunięcie i ponowne utworzenie tożsamości po utworzeniu nowej tożsamości. Włącz Get, WrapKey i UnwrapKey uprawnienia do nowej tożsamości w zasadach dostępu skarbca kluczy.
Błąd użytkownika Ssem: Brak przypisanej tożsamości systemowej. Nie można pobrać klucza dostępu, ponieważ nie można odnaleźć klucza zarządzanego przez klienta. Tak, sprawdź, czy:
  1. Magazyn kluczy nadal ma tożsamość usługi zarządzanej (MSI) w zasadach dostępu.
  2. Tożsamość jest typu przypisana przez system.
  3. Włącz Get, WrapKey, i UnwrapKey uprawnienia dla tożsamości w zasadach dostępu magazynu kluczy. Te uprawnienia muszą pozostać przez cały okres istnienia zamówienia. Są one używane podczas tworzenia zamówienia i na początku fazy kopiowania danych.
SsemBłądUżytkownikaLimitPrzypisanychUżytkownikówOsiągnięty Dodanie nowej tożsamości przypisanej przez użytkownika nie powiodło się, ponieważ osiągnięto limit całkowitej liczby tożsamości przypisanych przez użytkownika, które można dodać. Spróbuj ponownie wykonać operację z mniejszą liczbą tożsamości użytkowników lub usuń niektóre tożsamości przypisane przez użytkownika z zasobu przed ponowieniu próby.
Błąd użytkownika: Zabroniono dostępu do tożsamości między dzierżawami (SsemUserErrorCrossTenantIdentityAccessForbidden) Operacja dostępu do zarządzanej tożsamości nie powiodła się.
Uwaga: ten błąd może wystąpić, gdy subskrypcja zostanie przeniesiona do innego tenanta. Klient musi ręcznie przenieść tożsamość do nowego dzierżawcy.		 Spróbuj dodać inną tożsamość przypisaną użytkownikowi do magazynu kluczy, aby umożliwić dostęp do klucza zarządzanego przez klienta. Możesz też przenieść tożsamość do nowego dzierżawcy, pod którym znajduje się subskrypcja. Aby uzyskać więcej informacji, zobacz jak włączyć klucz.
Błąd użytkownika Ssem: Tożsamość użytkownika Kek nie znaleziona Zastosowano klucz zarządzany przez klienta, ale tożsamość przypisana przez użytkownika, która ma dostęp do klucza, nie została znaleziona w usłudze Active Directory.
Uwaga: ten błąd może wystąpić, gdy tożsamość użytkownika zostanie usunięta z platformy Azure.		 Spróbuj dodać inną tożsamość przypisaną użytkownikowi do magazynu kluczy, aby umożliwić dostęp do klucza zarządzanego przez klienta. Aby uzyskać więcej informacji, zobacz jak włączyć klucz.
SsemUserErrorUserAssignedIdentityAbsent (Błąd użytkownika: Brak przypisanej tożsamości użytkownika) Nie można pobrać klucza dostępu, ponieważ nie można odnaleźć klucza zarządzanego przez klienta. Nie można uzyskać dostępu do klucza zarządzanego przez klienta. Tożsamość przypisana przez użytkownika (UAI) skojarzona z kluczem została usunięta lub typ tożsamości uległ zmianie.
SsemUserErrorKeyVaultBadRequestException Zastosowano klucz zarządzany przez klienta, ale dostęp do klucza albo nie został udzielony, albo został odwołany, lub nie można uzyskać dostępu do magazynu klucza, ponieważ zapora jest włączona. Aby uzyskać dostęp do klucza zarządzanego przez klienta, dodaj wybraną tożsamość do skrytki na klucze. Jeśli magazyn kluczy ma włączoną zaporę, przełącz się do tożsamości przypisanej przez system, a następnie dodaj klucz zarządzany przez klienta. Aby uzyskać więcej informacji, zobacz jak włączyć klucz.
Błąd użytkownika Ssem: Typ klucza szyfrowania nieobsługiwany Typ klucza szyfrowania nie jest obsługiwany dla operacji. Włącz obsługiwany typ szyfrowania w kluczu — na przykład RSA lub RSA-HSM. Aby uzyskać więcej informacji, zobacz Typy kluczy, algorytmy i operacje.
SsemUserErrorSoftDeleteAndPurgeProtectionNieAktywowane Skarbiec kluczy nie ma włączonej ochrony przed usuwaniem miękkim ani ochrony przed trwałym usunięciem. Upewnij się, że w magazynie kluczy włączono usuwanie łagodne i ochronę przed wyczyszczeniem.
SsemUserErrorInvalidKeyVaultUrl
(Tylko wiersz polecenia)		 Użyto nieprawidłowego identyfikatora URI magazynu kluczy. Pobierz prawidłowy identyfikator URI magazynu kluczy. Aby uzyskać identyfikator URI magazynu kluczy, użyj polecenia Get-AzKeyVault w programie PowerShell.
Błąd użytkownika: URL skarbca kluczy z nieprawidłowym schematem Tylko protokół HTTPS służy do przekazywania identyfikatora URI skarbca kluczy. Przekaż identyfikator URI magazynu kluczy za pośrednictwem protokołu HTTPS.
SsemUserErrorKeyVaultUrlInvalidHost Host URI magazynu kluczy jest niedozwolony w regionie geograficznym. W chmurze publicznej adres URI magazynu kluczy powinien kończyć się na vault.azure.net. W chmurze Azure Government identyfikator URI magazynu kluczy powinien kończyć się na vault.usgovcloudapi.net.
Błąd ogólny Nie można pobrać klucza dostępu. Ten błąd jest błędem ogólnym. Skontaktuj się z pomoc techniczna firmy Microsoft, aby rozwiązać problem z błędem i określić następne kroki.

Następne kroki

  • Last updated on