Správa tajných kódů Azure Stack Edge pomocí služby Azure Key Vault

PLATÍ PRO: Azure Stack Edge Pro – GPUAzure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R

Služba Azure Key Vault je integrovaná s prostředkem Azure Stack Edge pro správu tajných kódů. Tento článek obsahuje podrobnosti o tom, jak se během aktivace zařízení vytvoří služba Azure Key Vault pro prostředek Azure Stack Edge a pak se použije ke správě tajných kódů.

Informace o trezoru klíčů a Azure Stack Edge

Cloudová služba Azure Key Vault slouží k bezpečnému ukládání a řízení přístupu k tokenům, heslům, certifikátům, klíčům rozhraní API a dalším tajným kódům. Key Vault také usnadňuje vytváření a řízení šifrovacích klíčů používaných k šifrování dat.

Integrace se službou Azure Stack Edge poskytuje následující výhody:

• Ukládá tajné kódy zákazníků. Jedním z tajných kódů používaných pro službu Azure Stack Edge je klíč CIK (Channel Integrity Key). Tento klíč umožňuje zašifrovat tajné kódy a bezpečně je uložený v trezoru klíčů. Tajné kódy zařízení, jako je obnovovací klíč nástroje BitLocker a heslo řadiče pro správu základní desky (BMC), se také ukládají do trezoru klíčů.

  Další informace najdete v tématu Bezpečné ukládání tajných kódů a klíčů.

• Předává šifrované tajné kódy zákazníků do zařízení.

• Zobrazí tajné kódy zařízení pro snadný přístup, pokud je zařízení dole.

Generování aktivačního klíče a vytvoření trezoru klíčů

Trezor klíčů se vytvoří pro prostředek Azure Stack Edge během procesu generování aktivačního klíče. Trezor klíčů se vytvoří ve stejné skupině prostředků, ve které se nachází prostředek Azure Stack Edge. Oprávnění přispěvatele se vyžaduje v trezoru klíčů.

Požadavky pro trezor klíčů

Před vytvořením trezoru klíčů během aktivace musí být splněny následující požadavky:

• Před vytvořením prostředku Azure Stack Edge zaregistrujte poskytovatele prostředků Microsoft.KeyVault. Poskytovatel prostředků se automaticky zaregistruje, pokud máte přístup vlastníka nebo přispěvatele k předplatnému. Trezor klíčů se vytvoří ve stejném předplatném a ve skupině prostředků jako prostředek Azure Stack Edge.

• Když vytvoříte prostředek Azure Stack Edge, vytvoří se také spravovaná identita přiřazená systémem, která po celou dobu života prostředku přetrvává a komunikuje s poskytovatelem prostředků v cloudu.

  Když je spravovaná identita povolená, Azure vytvoří důvěryhodnou identitu pro prostředek Azure Stack Edge.

Vytvoření trezoru klíčů

Po vytvoření prostředku je potřeba aktivovat prostředek se zařízením. Uděláte to tak, že na webu Azure Portal vygenerujete aktivační klíč.

Při vygenerování aktivačního klíče dojde k následujícím událostem:

• Na webu Azure Portal si vyžádáte aktivační klíč. Požadavek se pak odešle poskytovateli prostředků trezoru klíčů.
• Vytvoří se trezor klíčů úrovně Standard se zásadami přístupu a ve výchozím nastavení je uzamčený.

  • Tento trezor klíčů používá výchozí název nebo 3 až 24znakový vlastní název, který jste zadali. Trezor klíčů, který se už používá, nemůžete použít.

  • Podrobnosti trezoru klíčů jsou uložené ve službě. Tento trezor klíčů se používá ke správě tajných kódů a trvá, dokud prostředek Azure Stack Edge existuje.

    

• Zámek prostředku je v trezoru klíčů povolený, aby se zabránilo náhodnému odstranění. V trezoru klíčů je také povolené obnovitelné odstranění, které umožňuje obnovení trezoru klíčů do 90 dnů, pokud dojde k náhodnému odstranění. Další informace najdete v přehledu obnovitelného odstranění služby Azure Key Vault.
• Teď je povolená spravovaná identita přiřazená systémem, která byla vytvořena při vytváření prostředku Azure Stack Edge.
• Vygeneruje se a umístí do trezoru klíčů klíč integrity kanálu (CIK). Podrobnosti O CIK se zobrazí ve službě.
• Účet zónově redundantního úložiště (ZRS) se také vytvoří ve stejném oboru jako prostředek Azure Stack Edge a v účtu se umístí zámek.
  • Tento účet slouží k ukládání protokolů auditu.
  • Vytvoření účtu úložiště je dlouhotrvající proces a trvá několik minut.
  • Účet úložiště je označen názvem trezoru klíčů.
• Do trezoru klíčů se přidá nastavení diagnostiky a protokolování se povolí.
• Spravovaná identita se přidá do zásad přístupu trezoru klíčů, aby umožňovala přístup k trezoru klíčů, protože zařízení používá trezor klíčů k ukládání a načítání tajných kódů.
• Trezor klíčů ověřuje požadavek se spravovanou identitou za účelem vygenerování aktivačního klíče. Aktivační klíč se vrátí na web Azure Portal. Tento klíč pak můžete zkopírovat a použít ho v místním uživatelském rozhraní k aktivaci zařízení.

Poznámka:

• Pokud jste měli existující prostředek Azure Stack Edge před tím, než se služba Azure Key Vault integrovala s prostředkem Azure Stack Edge, nebudete ovlivněni. Stávající prostředek Azure Stack Edge můžete dál používat.
• Vytvoření trezoru klíčů a účtu úložiště se přidá do celkových nákladů na prostředky. Další informace o povolených transakcích a odpovídajících poplatcích najdete v tématu Ceny služby Azure Key Vault a ceny účtu úložiště.

Pokud narazíte na problémy související s trezorem klíčů a aktivací zařízení, přečtěte si téma Řešení potíží s aktivací zařízení.

Zobrazení vlastností trezoru klíčů

Po vygenerování aktivačního klíče a vytvoření trezoru klíčů můžete chtít získat přístup k trezoru klíčů a zobrazit tajné kódy, zásady přístupu, diagnostiku a přehledy. Následující postup popisuje každou z těchto operací.

Zobrazení tajných kódů

Po vygenerování aktivačního klíče a vytvoření trezoru klíčů můžete chtít získat přístup k trezoru klíčů.

Pokud chcete získat přístup k trezoru klíčů a zobrazit tajné kódy, postupujte takto:

1. Na webu Azure Portal pro váš prostředek Azure Stack Edge přejděte do části Zabezpečení.

2. V pravém podokně v části Zabezpečení můžete zobrazit tajné kódy.

3. Můžete také přejít k trezoru klíčů přidruženému k vašemu prostředku Azure Stack Edge. Vyberte název trezoru klíčů.

   

4. Pokud chcete zobrazit tajné kódy uložené v trezoru klíčů, přejděte na Tajné kódy. Klíč integrity kanálu, obnovovací klíč BitLockeru a uživatelská hesla řadiče pro správu základní desky jsou uložená v trezoru klíčů. Pokud zařízení přestane fungovat, portál poskytuje snadný přístup k obnovovacímu klíči BitLockeru a uživatelskému heslu řadiče pro správu základní desky.

   

Zobrazení zásad přístupu ke spravovaným identitám

Pokud chcete získat přístup k zásadám přístupu pro trezor klíčů a spravovanou identitu, postupujte takto:

1. Na webu Azure Portal pro váš prostředek Azure Stack Edge přejděte do části Zabezpečení.

2. Výběrem odkazu odpovídajícího názvu trezoru klíčů přejděte k trezoru klíčů přidruženému k vašemu prostředku Azure Stack Edge.

   

3. Pokud chcete zobrazit zásady přístupu přidružené k vašemu trezoru klíčů, přejděte na Zásady přístupu. Uvidíte, že spravovaná identita má udělený přístup. Vyberte oprávnění k tajným kódům. Uvidíte, že přístup ke spravované identitě je omezený jenom na Get a Set tajného kódu.

   

Zobrazení protokolů auditu

Pokud chcete získat přístup k trezoru klíčů a zobrazit nastavení diagnostiky a protokoly auditu, postupujte takto:

1. Na webu Azure Portal pro váš prostředek Azure Stack Edge přejděte do části Zabezpečení.

2. Výběrem odkazu odpovídajícího názvu trezoru klíčů přejděte k trezoru klíčů přidruženému k vašemu prostředku Azure Stack Edge.

   

3. Pokud chcete zobrazit nastavení diagnostiky přidružené k vašemu trezoru klíčů, přejděte do nastavení diagnostiky. Toto nastavení umožňuje sledovat, jak a kdy se k trezorům klíčů přistupuje a kdo. Uvidíte, že se vytvořilo nastavení diagnostiky. Protokoly se přetékají do účtu úložiště, který byl také vytvořen. Události auditu se také vytvářejí v trezoru klíčů.

   

Pokud jste pro protokoly v trezoru klíčů nakonfigurovali jiný cíl úložiště, můžete protokoly zobrazit přímo v daném účtu úložiště.

Zobrazení přehledů

Pokud chcete získat přístup k přehledům trezoru klíčů, včetně operací provedených v trezoru klíčů, postupujte takto:

1. Na webu Azure Portal pro váš prostředek Azure Stack Edge přejděte do části Zabezpečení.

2. Vyberte odkaz odpovídající diagnostice trezoru klíčů.

   

3. Okno Přehledy poskytuje přehled operací provedených v trezoru klíčů.

   

Zobrazení stavu spravované identity

Pokud chcete zobrazit stav spravované identity přiřazené systémem přidružené k vašemu prostředku Azure Stack Edge, postupujte takto:

1. Na webu Azure Portal pro váš prostředek Azure Stack Edge přejděte do části Zabezpečení.

2. V pravém podokně přejděte na spravovanou identitu přiřazenou systémem a zobrazte, jestli je spravovaná identita přiřazená systémem povolená nebo zakázaná.

   

Zobrazení zámků trezoru klíčů

Pokud chcete získat přístup k trezoru klíčů a zobrazit zámky, postupujte takto:

1. Na webu Azure Portal pro váš prostředek Azure Stack Edge přejděte do části Zabezpečení.

2. Výběrem odkazu odpovídajícího názvu trezoru klíčů přejděte k trezoru klíčů přidruženému k vašemu prostředku Azure Stack Edge.

   

3. Zámky v trezoru klíčů zobrazíte tak, že přejdete na Zámky. Aby se zabránilo náhodnému odstranění, je v trezoru klíčů povolený zámek prostředku.

   

Opětovné generování aktivačního klíče

V některých případech může být potřeba znovu vygenerovat aktivační klíč. Když znovu vygenerujete aktivační klíč, dojde k následujícím událostem:

1. Požadujete opětovné vygenerace aktivačního klíče na webu Azure Portal.
2. Aktivační klíč se vrátí na web Azure Portal. Pak můžete tento klíč zkopírovat a použít ho.

Trezor klíčů není při opětovném vygenerování aktivačního klíče přístupný.

Obnovení tajných kódů zařízení

Pokud se klíč CIK omylem odstranil nebo tajné kódy (například heslo uživatele řadiče pro správu základní desky) v trezoru klíčů zastaralá, budete muset odeslat tajné kódy ze zařízení, abyste mohli aktualizovat tajné kódy trezoru klíčů.

Pomocí následujícího postupu synchronizujte tajné kódy zařízení:

1. Na webu Azure Portal přejděte k prostředku Azure Stack Edge a pak přejděte na Zabezpečení.

2. V pravém podokně na horním panelu příkazů vyberte Synchronizovat tajné kódy zařízení.

3. Tajné kódy zařízení se odsílají do trezoru klíčů, aby se obnovily nebo aktualizovaly tajné kódy v trezoru klíčů. Po dokončení synchronizace se zobrazí oznámení.

   

Odstranění trezoru klíčů

Trezor klíčů přidružený k prostředku Azure Stack Edge můžete odstranit dvěma způsoby:

• Odstraňte prostředek Azure Stack Edge a zároveň se rozhodnete odstranit přidružený trezor klíčů.
• Trezor klíčů se omylem odstranil přímo.

Když se prostředek Azure Stack Edge odstraní, trezor klíčů se také odstraní s prostředkem. Zobrazí se výzva k potvrzení. Pokud ukládáte další klíče do tohoto trezoru klíčů a nemáte v úmyslu odstranit tento trezor klíčů, můžete se rozhodnout, že ho neudělíte. Odstraní se jenom prostředek Azure Stack Edge a trezor klíčů zůstane nedotčený.

Pomocí následujícího postupu odstraňte prostředek Azure Stack Edge a přidružený trezor klíčů:

1. Na webu Azure Portal přejděte k prostředku Azure Stack Edge a pak přejděte na Přehled.

2. V pravém podokně vyberte Odstranit. Tato akce odstraní prostředek Azure Stack Edge.

   

3. Zobrazí se okno potvrzení. Zadejte název prostředku Azure Stack Edge. Pokud chcete potvrdit odstranění přidruženého trezoru klíčů, zadejte Ano.

   

4. Vyberte Odstranit.

Prostředek Azure Stack Edge a trezor klíčů se odstraní.

Trezor klíčů se může omylem odstranit, když se prostředek Azure Stack Edge používá. Pokud k tomu dojde, na stránce Zabezpečení vašeho prostředku Azure Stack Edge se vyvolá kritická výstraha. Na tuto stránku můžete přejít a obnovit trezor klíčů.

Obnovení trezoru klíčů

Trezor klíčů přidružený k vašemu prostředku Azure Stack Edge můžete obnovit, pokud se omylem odstraní nebo vyprázdní. Pokud se tento trezor klíčů použil k ukládání dalších klíčů, budete je muset obnovit obnovením trezoru klíčů.

• Do 90 dnů od odstranění můžete obnovit odstraněný trezor klíčů.
• Pokud už uplynula doba vyprázdnění 90 dnů, nemůžete trezor klíčů obnovit. Místo toho budete muset vytvořit nový trezor klíčů.

Během 90 dnů od odstranění obnovte trezor klíčů následujícím postupem:

• Na webu Azure Portal přejděte na stránku Zabezpečení vašeho prostředku Azure Stack Edge. Zobrazí se oznámení, že se odstranil trezor klíčů přidružený k vašemu prostředku. Můžete vybrat oznámení nebo vybrat Možnost Překonfigurovat pro název trezoru klíčů v části Předvolby zabezpečení a obnovit trezor klíčů.

  

• V okně Obnovit trezor klíčů vyberte Konfigurovat. V rámci obnovení se provádějí následující operace:

  

  • Trezor klíčů se obnoví se stejným názvem a zámek se umístí do prostředku trezoru klíčů.

    Poznámka:

    Pokud je trezor klíčů odstraněný a období ochrany před vymazáním 90 dnů uplynulo, pak v daném časovém období se název trezoru klíčů nedá použít k vytvoření nového trezoru klíčů.

  • Vytvoří se účet úložiště pro ukládání protokolů auditu.

  • Spravovaná identita přiřazená systémem má udělený přístup k trezoru klíčů.

  • Tajné kódy zařízení se odsílají do trezoru klíčů.

  Vyberte Konfigurovat.

  

  Trezor klíčů se obnoví a po dokončení obnovení se zobrazí oznámení.

Pokud se trezor klíčů odstraní a doba ochrany před vymazáním 90 dnů uplynula, budete mít možnost vytvořit nový trezor klíčů prostřednictvím postupu obnovení klíče popsaného výše. V tomto případě zadáte nový název trezoru klíčů. Vytvoří se nový účet úložiště, spravovaná identita má udělený přístup k tomuto trezoru klíčů a tajné kódy zařízení se do tohoto trezoru klíčů nasdílí.

Obnovení přístupu ke spravované identitě

Pokud dojde k odstranění zásad přístupu spravované identity přiřazené systémem, vyvolá se upozornění, když zařízení nemůže znovu synchronizovat tajné kódy trezoru klíčů. Pokud spravovaná identita nemá přístup k trezoru klíčů, znovu se vyvolá upozornění na zařízení. Výběrem výstrahy v každém případě otevřete okno Obnovit trezor klíčů a znovu nakonfigurujte. Tento proces by měl obnovit přístup ke spravované identitě.

Další kroky

• Přečtěte si další informace o tom, jak vygenerovat aktivační klíč.
• Řešení chyb trezoru klíčů na zařízení Azure Stack Edge