Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este guia foi concebido para o ajudar a resolver problemas comuns ao usar chave gerida pelo cliente (CMK) para encriptação de dados em repouso com o Azure DocumentDB. Ele oferece soluções práticas para a solução de problemas de vários componentes envolvidos na configuração da CMK.
Uma identidade gerida, um cofre de chaves, uma chave de encriptação no cofre de chaves e as permissões adequadas concedidas à identidade gerida são necessárias para configurar o CMK num cluster Azure DocumentDB.
Se a identidade gerenciada, o cofre de chaves, a chave ou as permissões não estiverem configuradas de acordo com os requisitos, talvez não seja possível habilitar a CMK durante o provisionamento do cluster. Se a configuração adequada se tornar inválida em um cluster habilitado para CMK, os dados nesse cluster ficarão indisponíveis devido ao requisito de segurança principal de criptografia com a chave gerenciada pelo cliente.
Siga as etapas nesta seção para solucionar problemas de todos os componentes necessários para a configuração adequada da CMK.
Razões para a revogação do acesso à chave do Cofre da Chave do Azure
Alguém com direitos de acesso suficientes ao Cofre da Chave pode desativar acidentalmente o acesso do cluster à chave ao:
- Cancelar a atribuição da função RBAC Key Vault Crypto Service Encryption User ou revogar as permissões da identidade usada para recuperar a chave no Key Vault.
- Eliminando a chave.
- Eliminando a instância do Cofre de Chaves.
- Alterar as regras de firewall do Cofre da Chave ou configurar incorretamente as configurações de rede do Cofre da Chave.
- Excluindo a identidade gerenciada do cluster no Microsoft Entra ID.
Essas ações fazem com que a chave gerenciada pelo cliente usada para criptografia de dados se torne inacessível.
Solução de problemas de condição de chave gerenciada pelo cliente inacessível
Quando você configura a criptografia de dados com uma chave gerenciada pelo cliente armazenada no cofre de chaves, o acesso contínuo a essa chave é necessário para que o cluster permaneça online. Se esse não for o caso, o cluster muda seu estado para Inacessível e começa a negar todas as conexões.
Algumas das possíveis razões pelas quais o estado do cluster pode se tornar Inacessível são:
| Motivo | Resolução |
|---|---|
| A chave de criptografia apontada pelo cluster tinha uma data e hora de expiração configuradas, e essa data e hora são atingidas. | Tem de prolongar a data de validade da chave. Em seguida, você deve aguardar que o serviço revalide a chave e faça a transição automática do estado do cluster para Pronto. Somente quando o cluster estiver de volta ao estado Pronto , você poderá girar a chave para uma versão mais recente ou criar uma nova chave e atualizar o cluster para que ele se refira a essa nova versão da mesma chave ou à nova chave. |
| Apagas a instância do Key Vault, a instância do Azure DocumentDB não consegue aceder à chave e passa para um estado Inacessível . | Recupere a instância do Cofre da Chave e aguarde até que o serviço execute a revalidação periódica da chave e faça a transição automática do estado do cluster para Pronto. |
| Você exclui, do Microsoft Entra ID, uma identidade gerenciada que é usada para recuperar qualquer uma das chaves de criptografia armazenadas no cofre de chaves. | Recupere a identidade e aguarde que o serviço execute a revalidação periódica da chave e faça a transição automática do estado do cluster para Pronto. |
| Seu modelo de permissão do cofre de chaves está configurado para usar o controle de acesso baseado em função. Você remove a atribuição da função RBAC do Usuário do Serviço de Criptografia do Key Vault das identidades geridas que estão configuradas para obter qualquer uma das chaves. | Conceda a função RBAC novamente à identidade gerenciada e aguarde até que o serviço execute a revalidação periódica da chave e faça a transição automática do estado do cluster para Pronto. Como alternativa, você pode conceder a função no cofre de chaves a uma identidade gerenciada diferente e atualizar o cluster para que ele use essa outra identidade gerenciada para acessar a chave. |
| O modelo de permissão do cofre de chaves está configurado para usar políticas de acesso. Você revoga as políticas de acesso list, get, wrapKey ou unwrapKey das identidades gerenciadas configuradas para recuperar qualquer uma das chaves. | Conceda a função RBAC à identidade gerenciada e aguarde que o serviço execute a revalidação periódica da chave e faça a transição automática do estado do cluster para Pronto. Como alternativa, você pode conceder as políticas de acesso necessárias no cofre de chaves a uma identidade gerenciada diferente e atualizar o cluster para que ele use essa outra identidade gerenciada para acessar a chave. |
| Criaste regras de firewall de cofre de chaves demasiado restritivas, de modo que o teu cluster Azure DocumentDB não consegue comunicar com o cofre de chaves para recuperar as tuas chaves. | Ao configurar um firewall de cofre de chaves, certifique-se de desabilitar o acesso público e selecionar a opção para permitir serviços confiáveis da Microsoft ou acesso público permitido de todas as redes. Com acesso público a partir de todas as redes, o seu cluster Azure DocumentDB pode aceder ao cofre de chaves. Com o acesso público desabilitado e a opção de permitir que serviços confiáveis da Microsoft acessem o valor da chave, seu cluster pode ignorar o firewall. |
Observação
Quando uma chave é desabilitada, excluída, expirada ou inacessível, um cluster que tem dados criptografados com essa chave se torna Inacessível, como dito anteriormente. O estado do cluster não muda para Pronto novamente até que possa revalidar a chave de criptografia.
Geralmente, um cluster torna-se Inacessível dentro de 60 minutos depois que uma chave é desabilitada, excluída, expirada ou inacessível. Depois que a chave ficar disponível, o cluster pode levar até 60 minutos para ficar pronto novamente.
Recuperando-se da exclusão de identidade gerenciada
Se a identidade gerenciada atribuída pelo usuário usada para acessar a chave de criptografia armazenada no cofre de chaves for excluída no ID do Microsoft Entra, siga estas etapas para recuperar:
- Recupere a identidade ou crie uma nova identidade gerenciada do Entra ID.
- Se você criou uma nova identidade, mesmo que ela tenha o mesmo nome da excluída, atualize o Banco de Dados do Azure para propriedades de cluster flexíveis para que ele saiba que precisa usar essa nova identidade para acessar a chave de criptografia.
- Verifique se essa identidade tem permissões adequadas para operações na chave no Cofre de Chaves do Azure (AKV).
- Aguarde cerca de uma hora até que o cluster revalide a chave.
Importante
A criação de uma nova identidade de ID do Entra com o mesmo nome da identidade excluída não se recupera da exclusão de identidade gerenciada.
Solução de problemas de provisionamento de cluster habilitado para CMK com falha
Se algum dos requisitos da CMKnão for atendido, uma tentativa de provisionar um cluster com a CMK habilitada falhará. O seguinte erro durante o provisionamento do cluster indica que o cofre de chaves, a chave de criptografia ou as permissões para identidade gerenciada não foram configurados corretamente: 'Não foi possível obter acesso à chave. Pode estar faltando, a identidade de usuário fornecida não tem permissões GET ou o cofre de chaves não habilitou o acesso à internet pública."
Para solucionar essa situação:
- Verifique todos os requisitos da CMK.
- Provisione o cluster com a identidade gerenciada e o cofre de chaves que você verificou.
- Exclua a entidade de cluster com falha. O cluster com falha tem
clusterStatusa propriedade definida como Failed. No portal do Azure, você pode encontrar o status do cluster na folha Visão geral nas propriedades do cluster.