Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este guia foi projetado para ajudá-lo a solucionar problemas comuns ao usar a CMK (chave gerenciada pelo cliente) para criptografia de dados em repouso com o Azure DocumentDB. Ele oferece soluções práticas para solucionar vários componentes envolvidos na instalação da CMK.
Uma identidade gerenciada, um cofre de chaves, uma chave de criptografia no cofre de chaves e as permissões apropriadas concedidas à identidade gerenciada são necessárias para configurar o CMK em um cluster do Azure DocumentDB.
Caso a identidade gerenciada, o cofre de chaves, a chave ou as permissões não estejam configurados de acordo com os requisitos, talvez você não consiga habilitar a CMK durante o provisionamento do cluster. Se a configuração correta se tornar inválida em um cluster habilitado para CMK, os dados nesse cluster ficarão indisponíveis devido ao requisito básico de segurança de criptografia com a chave gerenciada pelo cliente.
Siga as etapas desta seção para solucionar todos os componentes necessários para a configuração correta da CMK.
Motivos para a revogação de acesso de chave do Azure Key Vault
Alguém com direitos de acesso suficientes ao Key Vault pode desabilitar acidentalmente o acesso de cluster à chave:
- Cancelar a atribuição da função RBAC Usuário de Criptografia do Serviço Key Vault ou revogar as permissões da identidade utilizada para recuperar a chave no Key Vault.
- Excluir a chave.
- Excluir a instância do Key Vault.
- Alterando as regras de firewall do Key Vault ou de outra forma definindo incorretamente as configurações de rede do Key Vault.
- Excluindo a identidade gerenciada do cluster no Microsoft Entra ID.
Essas ações fazem com que a chave gerenciada pelo cliente usada para a criptografia de dados se torne inacessível.
Solução de problemas de condição de chave gerenciada pelo cliente inacessível
Quando você configura a criptografia de dados com uma chave gerenciada pelo cliente armazenada no cofre de chaves, o acesso contínuo a essa chave é necessário para que o cluster permaneça online. Se esse não for o caso, o cluster vai alterar o estado para Inacessível e começar a negar todas as conexões.
Alguns dos possíveis motivos pelos quais o estado do cluster pode se tornar Inacessível são:
| Motivo | Resolução |
|---|---|
| A chave de criptografia apontada pelo cluster tinha uma data e hora de expiração configuradas e essa data e hora são atingidas. | Você deve estender a data de expiração da chave. Em seguida, você precisa aguardar o serviço revalidar a chave e fazer a transição automática do estado do cluster para Pronto. Somente quando o cluster estiver de volta ao estado Pronto você poderá girar a chave para uma versão mais recente ou criar uma chave e atualizar o cluster para que ele se refira à nova versão da mesma chave ou à nova chave. |
| Você exclui a instância do Key Vault, a instância do Azure DocumentDB não pode acessar a chave e se move para um estado inacessível . | Recupere a instância do Key Vault e aguarde até que o serviço execute a revalidação periódica da chave e faça a transição automática do estado do cluster para Pronto. |
| Você exclui uma identidade gerenciada do Microsoft Entra ID que é usada para recuperar uma das chaves de criptografia armazenadas no cofre de chaves. | Recupere a identidade e aguarde até que o serviço execute a revalidação periódica da chave e faça a transição automática do estado do cluster para Pronto. |
| O modelo de permissão do cofre de chaves está configurado para usar o controle de acesso baseado em função. Você remove a atribuição de função RBAC do Usuário de Criptografia do Serviço de Criptografia do Key Vault dasidentidades gerenciadas configuradas para recuperar qualquer uma das chaves. | Conceda a função RBAC novamente à identidade gerenciada e aguarde até que o serviço execute a revalidação periódica da chave e faça a transição automática do estado do cluster para Pronto. Como alternativa, você pode conceder a função no cofre de chaves a uma identidade gerenciada diferente e atualizar o cluster para que ele use essa outra identidade gerenciada para acessar a chave. |
| Seu modelo de permissão do cofre de chaves está configurado para usar políticas de acesso. Você revoga as políticas de acesso list, get, wrapKeyou unwrapKey das identidades gerenciadas configuradas para recuperar qualquer uma das chaves. | Conceda a função RBAC à identidade gerenciada e aguarde até que o serviço execute a revalidação periódica da chave e faça a transição automática do estado do cluster para Pronto. Como alternativa, você pode conceder as políticas de acesso necessárias no cofre de chaves a uma identidade gerenciada diferente e atualizar o cluster para que ele use essa outra identidade gerenciada para acessar a chave. |
| Você configura regras de firewall do cofre de chaves excessivamente restritivas para que o cluster do Azure DocumentDB não possa se comunicar com o cofre de chaves para recuperar suas chaves. | Ao configurar um firewall do cofre de chaves, desabilite o acesso público e selecione a opção para permitir serviços confiáveis da Microsoft ou permitir o acesso público em todas as redes. Com o acesso público de todas as redes, o cluster do Azure DocumentDB pode acessar o cofre de chaves. Com o acesso público desabilitado e a opção de permitir que serviços confiáveis da Microsoft acessem o valor da chave, seu cluster pode ignorar o firewall. |
Observação
Quando uma chave é desabilitada, excluída, expirada ou não acessível, um cluster que tem os dados criptografados com essa chave se torna Inacessível, conforme indicado anteriormente. O estado do cluster não será alterado para Pronto novamente até que ele possa revalidar as chaves de criptografia.
Em geral, um cluster se torna Inacessível em até 60 minutos depois que uma chave é desabilitada, excluída, expirada ou não acessível. Depois que a chave ficar disponível, o cluster poderá levar até 60 minutos para ficar Pronto novamente.
Recuperar-se da exclusão de identidade gerenciada
Se a identidade gerenciada atribuída pelo usuário usada para acessar a chave de criptografia armazenada no cofre de chaves for excluída no Microsoft Entra ID, você deverá seguir estas etapas para recuperá-la:
- Recupere a identidade ou crie uma identidade gerenciada do Entra ID.
- Se você criou uma identidade, mesmo que ela tenha o mesmo nome que a excluída, atualize o Banco de Dados do Azure para as propriedades de cluster flexíveis, de modo que ele saiba que precisa usar essa nova identidade para acessar a chave de criptografia.
- Verifique se essa identidade tem permissões adequadas para operações na chave no AKV (Azure Key Vault).
- Aguarde cerca de uma hora até que o cluster revalide a chave.
Importante
Criar uma identidade do Entra ID com o mesmo nome que a identidade excluída não se recupera da exclusão de identidade gerenciada.
Solução de problemas de falhas no provisionamento de cluster habilitado para CMK
Se um dos requisitos da CMKnão for atendido, uma tentativa de provisionar um cluster com a CMK habilitado falhará. O seguinte erro durante o provisionamento de cluster indica que o cofre de chaves, a chave de criptografia ou as permissões para a identidade gerenciada não foram configurados corretamente: “Não foi possível obter acesso à chave. Ela pode estar ausente, a identidade do usuário fornecida não tem permissões GET ou o cofre de chaves não habilitou o acesso à Internet pública”.
Para solucionar essa situação:
- Verifique todos os requisitos da CMK.
- Provisione o cluster com a identidade gerenciada e o cofre de chaves que você verificou.
- Exclua a entidade de cluster com falha. O cluster com falha tem a propriedade
clusterStatusdefinida como Com falha. No portal do Azure, encontre o status do cluster no painel Visão geral nas propriedades do cluster.