Použití klíčů spravovaných zákazníkem ve službě Azure Key Vault pro Azure Data Box

  • Článek

Azure Data Box chrání klíč pro odemknutí zařízení (označovaný také jako heslo zařízení), který slouží k uzamčení zařízení, prostřednictvím šifrovacího klíče. Ve výchozím nastavení je tento šifrovací klíč spravovaný Microsoftem. Pokud chcete mít větší kontrolu, můžete použít klíč spravovaný zákazníkem.

Použití klíče spravovaného zákazníkem nemá vliv na šifrování dat v zařízení. Má vliv pouze na šifrování klíče pro odemknutí zařízení.

Pokud chcete zachovat tuto úroveň kontroly v celém procesu objednávky, použijte při vytváření objednávky klíč spravovaný zákazníkem. Další informace najdete v tématu Kurz: Objednání Azure Data Boxu.

Tento článek ukazuje, jak na webu Azure Portal povolit klíč spravovaný zákazníkem pro vaši stávající objednávku Data Boxu. Zjistíte, jak změnit trezor klíčů, klíč, verzi nebo identitu vašeho aktuálního klíče spravovaného zákazníkem nebo přepnout zpět na použití spravovaného klíče Microsoftu.

Tento článek se týká zařízení Azure Data Box a Azure Data Box Heavy.

Požadavky

Klíč spravovaný zákazníkem pro objednávku Data Boxu musí splňovat následující požadavky:

  • Klíč se musí vytvořit a uložit ve službě Azure Key Vault s povoleným obnovitelném odstraněním a nevyprázdnit . Další informace najdete v tématu Co je Azure Key Vault? Při vytváření nebo aktualizaci objednávky můžete vytvořit trezor klíčů a klíč.
  • Klíč musí být klíč RSA o velikosti 2048 nebo větší.
  • Musíte povolit Getklíč a UnwrapKeyWrapKey oprávnění pro klíč ve službě Azure Key Vault. Oprávnění musí zůstat na místě po celou dobu životnosti objednávky. V opačném případě není klíč spravovaný zákazníkem přístupný na začátku fáze kopírování dat.

Povolení klíče

Pokud chcete na webu Azure Portal povolit klíč spravovaný zákazníkem pro vaši stávající objednávku Data Boxu, postupujte takto:

  1. Přejděte na obrazovku Přehled objednávky Data Boxu.

    Overview screen of a Data Box order - 1

  2. Přejděte na Nastavení > Šifrování a vyberte Klíč spravovaný zákazníkem. Pak vyberte Vybrat klíč a trezor klíčů.

    Select the customer-managed key encryption option

    Na obrazovce Vybrat klíč ze služby Azure Key Vault se vaše předplatné vyplní automaticky.

  3. V případě trezoru klíčů můžete v rozevíracím seznamu vybrat existující trezor klíčů nebo vybrat Vytvořit nový a vytvořit nový trezor klíčů.

    Key vault options when selecting a customer-managed key

    Pokud chcete vytvořit nový trezor klíčů, zadejte předplatné, skupinu prostředků, název trezoru klíčů a další informace na obrazovce Vytvořit nový trezor klíčů. V možnostech obnovení se ujistěte, že je povolená ochrana obnovitelného odstranění a vymazání. Pak vyberte Zkontrolovat a vytvořit.

    Review and create Azure Key Vault

    Zkontrolujte informace o trezoru klíčů a vyberte Vytvořit. Počkejte několik minut, než se vytvoření trezoru klíčů dokončí.

    Create Azure Key Vault with your settings

  4. Na obrazovce Vybrat klíč ze služby Azure Key Vault můžete vybrat existující klíč z trezoru klíčů nebo vytvořit nový.

    Select key from Azure Key Vault

    Pokud chcete vytvořit nový klíč, vyberte Vytvořit nový. Musíte použít klíč RSA. Velikost může být 2048 nebo vyšší.

    Create new key in Azure Key Vault

    Zadejte název nového klíče, přijměte ostatní výchozí hodnoty a vyberte Vytvořit. Zobrazí se oznámení o vytvoření klíče v trezoru klíčů.

    Name new key

  5. Pro verzi můžete v rozevíracím seznamu vybrat existující verzi klíče.

    Select version for new key

    Pokud chcete vygenerovat novou verzi klíče, vyberte Vytvořit novou.

    Open a dialog box for creating a new key version

    Zvolte nastavení pro novou verzi klíče a vyberte Vytvořit.

    Create a new key version

  6. Pokud jste vybrali trezor klíčů, klíč a verzi klíče, zvolte Vybrat.

    A key in an Azure Key Vault

    Nastavení typu šifrování zobrazuje trezor klíčů a klíč, který jste zvolili.

    Key and key vault for a customer-managed key

  7. Vyberte typ identity, který se má použít ke správě klíče spravovaného zákazníkem pro tento prostředek. Můžete použít identitu přiřazenou systémem, která byla vygenerována při vytváření objednávky, nebo zvolit identitu přiřazenou uživatelem.

    Identita přiřazená uživatelem je nezávislý prostředek, který můžete použít ke správě přístupu k prostředkům. Další informace najdete v tématu Typy spravovaných identit.

    Select the identity type

    Pokud chcete přiřadit identitu uživatele, vyberte Přiřazený uživatel. Pak vyberte Vybrat identitu uživatele a vyberte spravovanou identitu, kterou chcete použít.

    Select an identity to use

    Tady nemůžete vytvořit novou identitu uživatele. Informace o tom, jak ho vytvořit, najdete v tématu Vytvoření, výpis, odstranění nebo přiřazení role spravované identitě přiřazené uživatelem pomocí webu Azure Portal.

    Vybraná identita uživatele se zobrazí v nastavení typu šifrování.

    A selected user identity shown in Encryption type settings

  8. Výběrem možnosti Uložit uložte aktualizované nastavení typu šifrování.

    Save your customer-managed key

    Adresa URL klíče se zobrazí pod typem šifrování.

    Customer-managed key URL

Důležité

Je nutné povolit Getklíč a UnwrapKeyWrapKey oprávnění. Pokud chcete nastavit oprávnění v Azure CLI, přečtěte si příkaz az keyvault set-policy.

Změnit klíč

Pokud chcete změnit verzi trezoru klíčů, klíče nebo klíče pro klíč spravovaný zákazníkem, který právě používáte, postupujte takto:

  1. Na obrazovce Přehled objednávky Data Boxu přejděte na Nastavení> Encryption a klikněte na Změnit klíč.

    Overview screen of a Data Box order with customer-managed key - 1

  2. Vyberte jiný trezor klíčů a klíč.

    Overview screen of a Data Box order, Select a different key and key vault option

  3. Na obrazovce Vybrat klíč z trezoru klíčů se zobrazuje předplatné, ale bez trezoru klíčů, klíče nebo verze klíče. Můžete provést některou z následujících změn:

    • Vyberte jiný klíč ze stejného trezoru klíčů. Před výběrem klíče a verze budete muset trezor klíčů vybrat.

    • Vyberte jiný trezor klíčů a přiřaďte nový klíč.

    • Změňte verzi aktuálního klíče.

    Po dokončení změn zvolte Vybrat.

    Choose encryption option - 2

  4. Zvolte Uložit.

    Save updated encryption settings - 1

Důležité

Je nutné povolit Getklíč a UnwrapKeyWrapKey oprávnění. Pokud chcete nastavit oprávnění v Azure CLI, přečtěte si příkaz az keyvault set-policy.

Změna identity

Pokud chcete změnit identitu, která se používá ke správě přístupu ke klíči spravovanému zákazníkem pro tuto objednávku, postupujte takto:

  1. Na obrazovce Přehled dokončené objednávky Data Boxu přejděte na Nastavení> Encryption.

  2. Proveďte jednu z následujících změn:

    • Pokud chcete změnit jinou identitu uživatele, klikněte na vybrat jinou identitu uživatele. Pak na panelu na pravé straně obrazovky vyberte jinou identitu a zvolte Vybrat.

      Option for changing the user-assigned identity for a customer-managed key

    • Pokud chcete přepnout na identitu přiřazenou systémem vygenerovanou při vytváření objednávky, vyberte Systém přiřazený typem identity.

      Option for changing to a system-assigned for a customer-managed key

  3. Zvolte Uložit.

    Save updated encryption settings - 2

Použití spravovaného klíče Microsoftu

Pokud chcete změnit použití klíče spravovaného zákazníkem na klíč spravovaný Microsoftem pro vaši objednávku, postupujte takto:

  1. Na obrazovce Přehled dokončené objednávky Data Boxu přejděte na Nastavení> Encryption.

  2. Podle typu Vybrat vyberte klíč spravovaný Microsoftem.

    Overview screen of a Data Box order - 5

  3. Zvolte Uložit.

    Save updated encryption settings for a Microsoft managed key

Řešení chyb

Pokud dojde k chybám souvisejícím s klíčem spravovaným zákazníkem, při řešení potíží použijte následující tabulku.

Kód chyby Podrobnosti o chybě Obnovitelné?
SsemUserErrorEncryptionKeyDisabled Nelze načíst klíč, protože klíč spravovaný zákazníkem je zakázaný. Ano, povolením verze klíče.
SsemUserErrorEncryptionKeyExpired Nelze načíst klíč, protože vypršela platnost klíče spravovaného zákazníkem. Ano, povolením verze klíče.
SsemUserErrorKeyDetailsNotFound Nelze načíst klíč, protože se nepodařilo najít klíč spravovaný zákazníkem. Pokud jste trezor klíčů odstranili, nemůžete obnovit klíč spravovaný zákazníkem. Pokud jste migrovali trezor klíčů do jiného tenanta, přečtěte si téma Změna ID tenanta trezoru klíčů po přesunu předplatného. Pokud jste odstranili trezor klíčů:
  1. Ano, pokud je v době ochrany před vymazáním, použijte postup v části Obnovení trezoru klíčů.
  2. Ne, pokud je nad rámec doby ochrany před vymazáním.

Jinak pokud trezor klíčů prošel migrací tenanta, ano, můžete ho obnovit pomocí jednoho z následujících kroků:
  1. Vraťte trezor klíčů zpět ke starému tenantovi.
  2. Nastavte Identity = None a pak nastavte hodnotu zpět na Identity = SystemAssigned. Tím se odstraní a znovu vytvoří identita po vytvoření nové identity. WrapKeyV zásadách přístupu trezoru klíčů povolte Geta UnwrapKey oprávnění k nové identitě.
SsemUserErrorKeyVaultBadRequestException Použili jste klíč spravovaný zákazníkem, ale přístup ke klíči nebyl udělen nebo byl odvolán nebo se nepodařilo získat přístup k trezoru klíčů kvůli povolení brány firewall. Přidejte do trezoru klíčů vybranou identitu, abyste povolili přístup k klíči spravovanému zákazníkem. Pokud má trezor klíčů povolenou bránu firewall, přepněte na identitu přiřazenou systémem a přidejte klíč spravovaný zákazníkem. Další informace najdete v tématu povolení klíče.
SsemUserErrorKeyVaultDetailsNotFound Nelze načíst klíč jako přidružený trezor klíčů pro klíč spravovaný zákazníkem. Pokud jste trezor klíčů odstranili, nemůžete obnovit klíč spravovaný zákazníkem. Pokud jste migrovali trezor klíčů do jiného tenanta, přečtěte si téma Změna ID tenanta trezoru klíčů po přesunu předplatného. Pokud jste odstranili trezor klíčů:
  1. Ano, pokud je v době ochrany před vymazáním, použijte postup v části Obnovení trezoru klíčů.
  2. Ne, pokud je nad rámec doby ochrany před vymazáním.

Jinak pokud trezor klíčů prošel migrací tenanta, ano, můžete ho obnovit pomocí jednoho z následujících kroků:
  1. Vraťte trezor klíčů zpět ke starému tenantovi.
  2. Nastavte Identity = None a pak nastavte hodnotu zpět na Identity = SystemAssigned. Tím se odstraní a znovu vytvoří identita po vytvoření nové identity. WrapKeyV zásadách přístupu trezoru klíčů povolte Geta UnwrapKey oprávnění k nové identitě.
SsemUserErrorSystemAssignedIdentityAbsent Nelze načíst klíč, protože se nepodařilo najít klíč spravovaný zákazníkem. Ano, zkontrolujte, jestli:
  1. Trezor klíčů stále obsahuje MSI v zásadách přístupu.
  2. Identita je typu Systém přiřazen.
  3. WrapKeyUnwrapKey Povolte Geta oprávnění k identitě v zásadách přístupu trezoru klíčů. Tato oprávnění musí zůstat po celou dobu životnosti objednávky. Používají se při vytváření objednávek a na začátku fáze kopírování dat.
SsemUserErrorUserAssignedLimitReached Přidání nové identity přiřazené uživatelem selhalo, protože jste dosáhli limitu celkového počtu identit přiřazených uživatelem, které je možné přidat. Zkuste operaci zopakovat s menším počtem identit uživatelů nebo před opakováním odeberte z prostředku některé identity přiřazené uživatelem.
SsemUserErrorCrossTenantIdentityAccessForbidden Operace přístupu ke spravované identitě se nezdařila.
Poznámka: K této chybě může dojít, když se předplatné přesune do jiného tenanta. Zákazník musí identitu ručně přesunout do nového tenanta.		 Zkuste do trezoru klíčů přidat jinou identitu přiřazenou uživatelem, abyste povolili přístup ke klíči spravovanému zákazníkem. Nebo přesuňte identitu do nového tenanta, pod kterým se předplatné nachází. Další informace najdete v tématu povolení klíče.
SsemUserErrorKekUserIdentityNotFound Použili jste klíč spravovaný zákazníkem, ale identitu přiřazenou uživatelem, která má přístup k klíči, nebyla v active directory nalezena.
Poznámka: K této chybě může dojít při odstranění identity uživatele z Azure.		 Zkuste do trezoru klíčů přidat jinou identitu přiřazenou uživatelem, abyste povolili přístup ke klíči spravovanému zákazníkem. Další informace najdete v tématu povolení klíče.
SsemUserErrorUserAssignedIdentityAbsent Nelze načíst klíč, protože se nepodařilo najít klíč spravovaný zákazníkem. Nelze získat přístup k klíči spravovanému zákazníkem. Buď je odstraněna identita přiřazená uživatelem (UAI) přidružená k klíči, nebo se změnil typ UAI.
SsemUserErrorKeyVaultBadRequestException Použili jste klíč spravovaný zákazníkem, ale přístup ke klíči nebyl udělen nebo byl odvolán, nebo se k trezoru klíčů nepodařilo získat přístup, protože je povolená brána firewall. Přidejte do trezoru klíčů vybranou identitu, abyste povolili přístup k klíči spravovanému zákazníkem. Pokud má trezor klíčů povolenou bránu firewall, přepněte na identitu přiřazenou systémem a přidejte klíč spravovaný zákazníkem. Další informace najdete v tématu povolení klíče.
SsemUserErrorEncryptionKeyTypeNotSupported Typ šifrovacího klíče není pro operaci podporovaný. Povolte u klíče podporovaný typ šifrování , například RSA nebo RSA-HSM. Další informace najdete v tématu Typy klíčů, algoritmy a operace.
SsemUserErrorSoftDeleteAndPurgeProtectionNotEnabled Trezor klíčů nemá povolenou obnovitelné odstranění ani ochranu před vymazáním. Ujistěte se, že je v trezoru klíčů povolená ochrana proti obnovitelnému odstranění i vymazání.
SsemUserErrorInvalidKeyVaultUrl
(Pouze příkazový řádek)		 Byl použit neplatný identifikátor URI trezoru klíčů. Získejte správný identifikátor URI trezoru klíčů. Pokud chcete získat identifikátor URI trezoru klíčů, použijte rutinu Get-AzKeyVault v PowerShellu.
SsemUserErrorKeyVaultUrlWithInvalidScheme Pro předávání identifikátoru URI trezoru klíčů se podporuje jenom HTTPS. Předejte identifikátor URI trezoru klíčů přes PROTOKOL HTTPS.
SsemUserErrorKeyVaultUrlInvalidHost Hostitel identifikátoru URI trezoru klíčů není povoleným hostitelem v geografické oblasti. Ve veřejném cloudu by měl identifikátor URI trezoru klíčů končit vault.azure.net. V cloudu Azure Government by měl identifikátor URI trezoru klíčů končit vault.usgovcloudapi.net.
Obecná chyba Nelze načíst klíč. Tato chyba je obecná chyba. Pokud chcete tuto chybu vyřešit, obraťte se na podpora Microsoftu a zjistěte další kroky.

Další kroky