Compartilhar via

Salvar e gerenciar a frase secreta do agente MARS com segurança no Azure Key Vault

O Backup do Azure usando o agente dos Serviços de Recuperação (MARS) permite fazer backup de arquivos/pastas e dados de estado do sistema no cofre dos Serviços de Recuperação do Azure. Esses dados são criptografados usando uma frase secreta que você fornece durante a instalação e o registro do agente MARS. Essa frase secreta é necessária para recuperar e restaurar os dados de backup e precisa ser salva em um local externo seguro.

Importante

Se essa frase secreta for perdida, a Microsoft não poderá recuperar dados de backup armazenados no cofre dos Serviços de Recuperação. Recomendamos que você armazene essa frase secreta em um local externo seguro, como o Azure Key Vault.

Agora, você pode salvar sua frase secreta de criptografia com segurança no Azure Key Vault como um segredo. Para novos computadores, você pode salvar a frase secreta do console mars durante a instalação. Para computadores existentes, salve a frase secreta alterando-a. Para habilitar o salvamento no Azure Key Vault, conceda permissão ao cofre dos Serviços de Recuperação para criar um Segredo no Key Vault.

Pré-requisitos

Antes de começar a proteger sua frase secreta no Azure Key Vault, verifique se os seguintes pré-requisitos são atendidos:

Configurar o cofre dos Serviços de Recuperação para armazenar a senha do agente MARS no Azure Key Vault

Antes de salvar a sua frase secreta no Azure Key Vault, configure o cofre dos Serviços de Recuperação e o Azure Key Vault,

Para configurar um cofre, siga estas etapas na sequência fornecida para obter os resultados pretendidos. Cada ação é discutida em detalhes nas seguintes seções:

  1. Identidade gerenciada atribuída pelo sistema habilitada para o cofre dos Serviços de Recuperação.
  2. Para salvar a frase secreta como um segredo no Azure Key Vault, atribua permissões ao cofre dos Serviços de Recuperação.
  3. Habilite a exclusão reversível e limpe a proteção do Azure Key Vault.

Observação

  • Depois de habilitar esse recurso, você não deve desabilitar a identidade gerenciada (mesmo temporariamente). Desabilitar a identidade gerenciada pode levar a um comportamento inconsistente.
  • No momento, não há suporte para a identidade gerenciada atribuída pelo usuário para salvar a frase secreta no Azure Key Vault.

Habilitar a identidade gerenciada atribuída pelo sistema para o cofre dos Serviços de Recuperação

Escolha um cliente:

Siga estas etapas:

  1. Vá para Cofre dos Serviços de Recuperação>Identidade.

    A captura de tela mostra como acessar a Identidade no cofre dos Serviços de Recuperação.

  2. Selecione a guia Atribuído pelo sistema.

  3. Altere o Status para Ativado.

  4. Clique em Salvar para de habilitar a identidade para o cofre.

Uma ID de objeto é gerada, que é a identidade gerenciada atribuída pelo sistema do cofre.

Atribuir permissões para salvar a frase secreta no Azure Key Vault

Com base no modelo de permissão do Key Vault (permissões de acesso baseadas em função ou modelo de permissão baseado em política de acesso) configuradas para Key Vault, confira as seções a seguir.

Habilitar permissões usando o modelo de permissão de acesso baseado em função para o Key Vault

Selecione um cliente:

Para atribuir as permissões, siga estas etapas:

  1. Vá para Azure Key Vault>Configurações>Configuração de acesso para garantir que o modelo de permissão seja RBAC.

    A captura de tela mostra como abrir a configuração de acesso em configurações.

  2. Selecione Controle de acesso (IAM)>+Adicionar para adicionar uma atribuição de função.

  3. A identidade do cofre dos Serviços de Recuperação requer a permissão Set no Segredo para criar e adicionar a frase secreta como um segredo no Key Vault.

    Você pode selecionar uma função interna, como o Key Vault Secrets Officer que tenha a permissão (juntamente com outras permissões não necessárias para esse recurso) ou criar uma função personalizada com apenas a permissão Set no Segredo.

    Em Detalhes, selecione Exibir para exibir as permissões concedidas pela função e garantir que a permissão Set em Segredo esteja disponível.

    A captura de tela mostra como exibir os detalhes da permissão.

    A captura de tela mostra como verificar a disponibilidade da permissão Set.

  4. Selecione Avançar para prosseguir para selecionar Membros para atribuição.

  5. Selecione Identidade gerenciada e, em seguida, + Selecionar membros. escolha a Assinatura do cofre dos Serviços de Recuperação de destino, selecione o cofre dos Serviços de Recuperação em Identidade gerenciada atribuída pelo sistema.

    Pesquise e selecione o nome do cofre dos Serviços de Recuperação.

    A captura de tela mostra como adicionar membros à identidade gerenciada.

  6. Selecione Avançar, examine a atribuição e selecione Examinar + atribuir.

    A captura de tela mostra como revisar e atribuir permissões.

  7. Vá para Controle de acesso (IAM) no Key Vault, selecione Atribuições de função e certifique-se de que o cofre dos Serviços de Recuperação esteja listado.

    A captura de tela mostra que o cofre dos Serviços de Recuperação está listado no controle de acesso.

Habilitar permissões usando o modelo de permissão da Política de Acesso para o Key Vault

Escolha um cliente:

Siga estas etapas:

  1. Vá para as políticas Azure Key Vault>Políticas de Acesso>Políticas de acesso e, em seguida, selecione + Criar.

    A captura de tela mostra como começar a criar um Key Vault.

  2. Em Permissões de Segredo, selecione Definir operação.

    Essa opção especifica as ações permitidas no Segredo.

    A captura de tela mostra como iniciar a configuração de permissões.

  3. Vá para Selecionar Entidade de Segurança e pesquise pelo seu cofre na caixa de pesquisa usando o seu nome ou identidade gerenciada.

    Selecione o cofre no resultado da pesquisa e escolha Selecionar.

    A captura de tela mostra a atribuição de permissão a um cofre selecionado.

  4. Vá para Examinar + criar, certifique-se de que a permissão Set esteja disponível e a Entidade de Segurança seja o cofre correto dos Serviços de Recuperação e selecione Criar.

    A captura de tela mostra a verificação do cofre dos Serviços de Recuperação atribuído e a criação do Key Vault.

    A captura de tela mostra como verificar o acesso presente.

Habilitar a exclusão temporária e a proteção contra limpeza no Azure Key Vault

Você precisa habilitar a exclusão reversível e a proteção contra limpeza no Azure Key Vault que armazena a sua chave de criptografia.

Escolher um cliente*

Você pode habilitar a exclusão reversível e limpar a proteção do Azure Key Vault.

Como alternativa, é possível definir essas propriedades podem ao criar o Key Vault. Saiba mais sobre essas propriedades do Key Vault.

A captura de tela mostra como habilitar spft-delete.

Salvar a senha do agente MARS no Azure Key Vault para uma nova instalação do MARS

Antes de continuar a instalar o agente MARS, certifique-se de configurar o cofre dos Serviços de Recuperação para armazenar a frase secreta do Azure Key Vault, e de que você tenha realizado o seguinte com sucesso:

  1. Criou o cofre dos Serviços de Recuperação.

  2. A identidade gerenciada atribuída pelo sistema do cofre dos Serviços de Recuperação foi habilitada.

  3. Permissões atribuídas ao cofre dos Serviços de Recuperação para criar o Segredo no Key Vault.

  4. A exclusão temporária e a proteção contra limpeza foram habilitadas para o seu Key Vault.

  5. Para instalar o agente MARS em um computador, baixe o instalador MARS do portal do Azure e use o assistente de instalação.

  6. Depois de fornecer as Credenciais do cofre dos Serviços de Recuperação durante o registro, em Configuração de criptografia, selecione a opção para salvar a frase secreta do Azure Key Vault.

    A captura de tela mostra a opção de salvar a frase secreta do Azure Key Vault a ser selecionada.

  7. Insira a sua frase secreta ou selecione Gerar frase secreta.

  8. No portal do Azure, abra o Key Vault e copie o URI do Key Vault.

    A captura de tela mostra como copiar o URI do Key Vault.

  9. Cole o URI do Key Vault no console MARS e selecione Registrar.

    Se você se deparar com um erro, verifique a seção de solução de problemas para obter mais informações.

  10. Depois que o registro for bem-sucedido, a opção de copiar o identificador para o Segredo será criada e a frase secreta NÃO será salva em um arquivo localmente.

    A captura de tela mostra a opção de copiar o identificador para o segredo obtido.

    Se você alterar a frase secreta no futuro para este agente MARS, uma nova versão do Segredo será adicionada com a frase secreta mais recente.

Você pode automatizar esse processo usando a nova opção KeyVaultUri em Set-OBMachineSetting command no script de instalação.

Salvar a senha do agente MARS no Azure Key Vault em uma instalação MARS já existente

Se você tiver uma instalação de agente MARS existente e quiser salvar sua frase secreta no Azure Key Vault, atualize o agente para a versão 2.0.9262.0 ou posteriores e execute uma operação de alteração de frase secreta.

Depois de atualizar o agente MARS, certifique-se de configurar o cofre dos Serviços de Recuperação para armazenar a frase secreta do Azure Key Vault e de que você tenha realizado o seguinte com sucesso:

  1. Criou o cofre dos Serviços de Recuperação.
  2. A identidade gerenciada atribuída pelo sistema do cofre dos Serviços de Recuperação foi habilitada.
  3. Permissões atribuídas ao cofre dos Serviços de Recuperação para criar o Segredo no Key Vault.
  4. Habilitar a exclusão temporária e a proteção contra limpeza no Key Vault

Para salvar a frase secreta no Key Vault:

  1. Abra o console do agente MARS.

    Você deverá ver uma faixa solicitando que você selecione um link para salvar a frase secreta no Azure Key Vault.

    Como alternativa, selecione Alterar Propriedades>Alterar a frase secreta para continuar.

    A captura de tela mostra como começar a alterar a frase secreta para uma instalação MARS existente.

  2. Na caixa de diálogo Alterar propriedades, a opção para salvar a frase secreta no Key Vault fornecendo um URI do Key Vault é exibida.

    Observação

    Se o computador já estiver configurado para salvar a frase secreta no Key Vault, o URI do Key Vault será preenchido automaticamente na caixa de texto.

    A captura de tela mostra a opção de salvar a frase secreta no Key Vault fornecendo um URI do Key Vault.

  3. Abra o portal do Azure, abra o Key Vault e copie o URI do Key Vault.

    A captura de tela mostra como copiar o URI do Key Vault.

  4. Cole o URI do Key Vault no console MARS e selecione OK.

    Se você se deparar com um erro, verifique a seção de solução de problemas para obter mais informações.

  5. Depois que a operação de alteração de frase secreta for bem-sucedida, uma opção para copiar o identificador para o Segredo será criada e a frase secreta NÃO será salva em um arquivo localmente.

    A captura de tela mostra uma opção para copiar o identificador para o Segredo que é criado.

    Se você alterar a frase secreta no futuro para este agente MARS, uma nova versão do Segredo será adicionada com a frase secreta mais recente.

Você pode automatizar essa etapa usando a nova opção KeyVaultUri no cmdlet Set-OBMachineSetting.

Recuperar a senha de acesso do agente MARS do Azure Key Vault para uma máquina

Se o computador ficar indisponível e você precisar restaurar dados de backup do cofre dos Serviços de Recuperação por meio de uma restauração de local alternativo, você precisará da frase secreta do computador para continuar.

A frase secreta é salva no Azure Key Vault como um segredo. Um Segredo é criado por computador e uma nova versão é adicionada ao Segredo quando a frase secreta do computador é alterada. O Segredo é nomeado como AzBackup-machine fully qualified name-vault name.

Para localizar a frase secreta do computador:

  1. No portal do Azure, abra o Key Vault usado para salvar a frase secreta do computador.

    Recomendamos que você use um Key Vault para salvar todas as suas frases secretas.

  2. Selecione Segredos e pesquise o segredo chamado AzBackup-<machine name>-<vaultname>.

    A captura de tela mostra o arco para verificar o nome do segredo.

  3. Selecione o Segredo, abra a versão mais recente e copie o valor do Segredo.

    Esta é a frase secreta do computador a ser usada durante a recuperação.

    A captura de tela mostra a seleção do segredo.

    Se você tiver um grande número de Segredos no Key Vault, use a CLI do Key Vault para listar e pesquisar o segredo.

az keyvault secret list --vault-name 'myvaultname’ | jq '.[] | select(.name|test("AzBackup-<myvmname>"))'

Solucionar problemas de cenários comuns para salvar a frase secreta no Azure Key Vault

Esta seção lista erros comumente encontrados ao salvar a frase secreta para o Azure Key Vault.

A identidade do sistema não está configurada — 391224

Causa: esse erro ocorrerá se o cofre dos Serviços de Recuperação não tiver uma identidade gerenciada atribuída pelo sistema configurada.

Ação recomendada: certifique-se de que a identidade gerenciada atribuída pelo sistema esteja configurada corretamente para o cofre dos Serviços de Recuperação de acordo com os pré-requisitos.

As permissões não estão configuradas — 391225

Causa: o cofre dos Serviços de Recuperação tem uma identidade gerenciada atribuída pelo sistema, mas não tem a permissão Set para criar um Segredo no Key Vault de destino.

Ação recomendada:

  1. Certifique-se de que a credencial do cofre usada corresponda ao cofre de serviços de recuperação pretendido.
  2. Certifique-se de que o URI do Key Vault corresponda ao Key Vault pretendido.
  3. Certifique-se de que o nome do cofre dos Serviços de Recuperação esteja listado em Key Vault ->Políticas de acesso ->Aplicativo, com as Permissões de Segredo como Definidas.

A captura de tela mostra que o nome do cofre dos Serviços de Recuperação está listado abaixo de Key Vault.

Se não estiver listado, configure a permissão novamente.

O URI do Azure Key Vault está incorreto — 100272

Causa: o URI do Key Vault inserido não está no formato correto.

Ação recomendada: certifique-se de inserir um URI do Key Vault copiado do portal do Azure. Por exemplo, https://myvault.vault.azure.net/.

A captura de tela mostra como copiar a URL do Key Vault.

UserErrorSecretExistsSoftDeleted (391282)

Causa: um segredo no formato esperado já existe no Key Vault, mas está em um estado de exclusão temporária. A menos que o segredo seja restaurado, o MARS não poderá salvar a frase secreta desse computador no Key Vault fornecido.

Ação recomendada: verifique se existe um segredo no cofre com o nome AzBackup-<machine name>-<vaultname> e se ele está em um estado de exclusão temporária. Recupere o segredo com exclusão temporária para salvar a frase secreta nele.

UserErrorKeyVaultSoftDeleted (391283)

Causa: o Key Vault fornecido ao MARS está em um estado de exclusão temporária.

Ação recomendada: recuperar o Key Vault ou fornecer um novo Key Vault.

O registro está incompleto

Causa: você não concluiu o registro MARS registrando a frase secreta. Portanto, você não poderá configurar backups até se registrar.

Ação recomendada: selecione a mensagem de aviso e conclua o registro.

A captura de tela mostra como concluir o registro.

  • Last updated on