Řešení potíží s klíčem spravovaným zákazníkem
Tento článek je čtvrtou částí čtyřdílné série kurzů. První část obsahuje přehled klíčů spravovaných zákazníkem, jejich funkcí a důležitých informací před povolením klíče v registru. V druhé části se dozvíte, jak povolit klíč spravovaný zákazníkem pomocí Azure CLI, Azure Portal nebo šablony Azure Resource Manager. Ve třetí části se dozvíte, jak obměňovat, aktualizovat a odvolat klíč spravovaný zákazníkem. Tento článek vám pomůže vyřešit běžné problémy s klíči spravovanými zákazníkem.
Chyba při odebírání spravované identity
Pokud se pokusíte odebrat spravovanou identitu přiřazenou uživatelem nebo systémem, kterou jste použili ke konfiguraci šifrování registru, může se zobrazit chyba:
Azure resource '/subscriptions/xxxx/resourcegroups/myGroup/providers/Microsoft.ContainerRegistry/registries/myRegistry' does not have access to identity 'xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx' Try forcibly adding the identity to the registry <registry name>. For more information on bring your own key, please visit 'https://aka.ms/acr/cmk'.
Šifrovací klíč nemůžete změnit (otočit). Postup řešení závisí na typu identity, kterou jste použili k šifrování.
Odebrání identity přiřazené uživatelem
Pokud se při pokusu o odebrání identity přiřazené uživatelem zobrazí chyba, postupujte takto:
Přiřazení identity přiřazené uživatelem můžete změnit pomocí příkazu az acr identity assign .
Předejte ID prostředku identity přiřazené uživatelem nebo použijte název identity, pokud je ve stejné skupině prostředků jako registr.
Příklad:
az acr identity assign -n myRegistry \ --identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"
Změňte klíč a přiřaďte jinou identitu.
Teď můžete odebrat původní identitu přiřazenou uživatelem.
Odebrání identity přiřazené systémem
Pokud se při pokusu o odebrání identity přiřazené systémem zobrazí chyba, vytvořte lístek podpora Azure, který vám bude pomoct s obnovením identity.
Chyba po povolení brány firewall trezoru klíčů
Pokud po vytvoření šifrovaného registru povolíte bránu firewall trezoru klíčů nebo virtuální síť, může dojít k chybám HTTP 403 nebo jiným chybám při importu imagí nebo automatizované obměně klíčů. Chcete-li tento problém vyřešit, překonfigurujte spravovanou identitu a klíč, které jste původně použili k šifrování. Projděte si postup v tématu Obměna klíče spravovaného zákazníkem.
Pokud problém přetrvává, obraťte se na podporu Azure.
Chyba vypršení platnosti identity
Identita připojená k registru je nastavená pro automatické odevzdání, aby se zabránilo vypršení platnosti. Pokud zrušíte přidružení identity k registru, zobrazí se chybová zpráva s vysvětlením, že nemůžete odebrat identitu, která se používá pro CMK. Při pokusu o odebrání identity je ohroženo automatické poskytnutí identity. Operace vyžádání/nabízení artefaktů fungují, dokud nevyprší platnost identity (obvykle tři měsíce). Po vypršení platnosti identity se zobrazí http 403 s chybovou zprávou Identita přidružená k registru je neaktivní. Příčinou může být pokus o odebrání identity. Znovu přiřadit identitu ručně".
Identitu musíte explicitně přiřadit zpět do registru.
Spusťte příkaz az acr identity assign a ručně znovu přiřaďte identitu.
- Třeba
az acr identity assign -n myRegistry \ --identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"
Náhodné odstranění trezoru klíčů nebo klíče
Odstraněním trezoru klíčů nebo klíče, který se používá k šifrování registru pomocí klíče spravovaného zákazníkem, bude obsah registru nepřístupný. Pokud je v trezoru klíčů povolené obnovitelné odstranění (výchozí možnost), můžete obnovit odstraněný trezor nebo objekt trezoru klíčů a obnovit operace registru.
Další kroky
Scénáře odstranění a obnovení trezoru klíčů najdete v tématu Správa obnovení Azure Key Vault s využitím obnovitelného odstranění a ochrany před vymazáním.