Použití klíčů spravovaných zákazníkem v Azure Key Vault pro službu Import/Export

  • Článek
  • 4 min ke čtení

Azure Import/Export chrání klíče nástroje BitLocker používané k uzamčení jednotek prostřednictvím šifrovacího klíče. Ve výchozím nastavení se klíče BitLockeru šifrují pomocí klíčů spravovaných Microsoft. Pokud chcete získat další kontrolu nad šifrovacími klíči, můžete také poskytnout klíče spravované zákazníkem.

Klíče spravované zákazníkem musí být vytvořené a uložené v azure Key Vault. Další informace o Azure Key Vault najdete v tématu Co je Azure Key Vault?

Tento článek ukazuje, jak používat klíče spravované zákazníkem se službou Import/Export v Azure Portal.

Požadavky

Než začnete, ujistěte se, že:

  1. Vytvořili jste úlohu importu nebo exportu podle pokynů v tématu:

  2. Máte existující Key Vault Azure s klíčem, který můžete použít k ochraně klíče nástroje BitLocker. Informace o vytvoření trezoru klíčů pomocí Azure Portal najdete v tématu Rychlý start: Vytvoření Key Vault Azure pomocí Azure Portal.

    • U existujícího Key Vault jsou nastavené obnovitelné odstranění a Nevyprázdnit. Tyto vlastnosti nejsou ve výchozím nastavení povolené. Pokud chcete tyto vlastnosti povolit, přečtěte si části s názvem Povolení obnovitelného odstranění a Povolení ochrany před vymazáním v jednom z následujících článků:

    • Existující trezor klíčů by měl mít klíč RSA o velikosti 2048 nebo větší. Další informace o klíčích najdete v tématu Informace o klíčích.

    • Trezor klíčů musí být ve stejné oblasti jako účet úložiště pro vaše data.

    • Pokud ještě nemáte azure Key Vault, můžete ho také vytvořit vloženě, jak je popsáno v následující části.

Povolit klíče

Konfigurace klíče spravovaného zákazníkem pro službu Import/Export je volitelná. Služba Import/Export ve výchozím nastavení používá k ochraně klíče nástroje BitLocker Microsoft spravovaný klíč. Pokud chcete povolit klíče spravované zákazníkem v Azure Portal, postupujte takto:

  1. Přejděte do okna Přehled pro úlohu importu.

  2. V pravém podokně vyberte Zvolit způsob šifrování klíčů nástroje BitLocker.

    Snímek obrazovky s oknem Přehled pro úlohu Azure Import/Export Položka nabídky Přehled a odkaz, který otevírá možnosti klíče Nástroje BitLocker, jsou zvýrazněné.

  3. V okně Šifrování můžete zobrazit a zkopírovat klíč nástroje BitLocker zařízení. V části Typ šifrování můžete zvolit, jak chcete chránit klíč nástroje BitLocker. Ve výchozím nastavení se používá Microsoft spravovaný klíč.

    Snímek obrazovky s oknem Šifrování pro objednávku azure importu/exportu Položka nabídky Šifrování je zvýrazněná.

  4. Máte možnost zadat klíč spravovaný zákazníkem. Po výběru klíče spravovaného zákazníkem vyberte trezor klíčů a klíč.

    Snímek obrazovky s oknem Šifrování pro úlohu Azure Import/Export Je vybraná možnost Klíč spravovaný zákazníkem. Odkaz na Možnost Vybrat klíč a trezor klíčů je zvýrazněný.

  5. V okně Vybrat klíč z Azure Key Vault se předplatné vyplní automaticky. V části Key Vault můžete z rozevíracího seznamu vybrat existující trezor klíčů.

    Snímek obrazovky s výběrem klíče z Azure Key Vault Odkaz Vytvořit nový pro trezor klíčů je zvýrazněný.

  6. Můžete také vybrat Vytvořit nový a vytvořit nový trezor klíčů. V okně Vytvořit trezor klíčů zadejte skupinu prostředků a název trezoru klíčů. Přijměte všechny ostatní výchozí hodnoty. Vyberte Zkontrolovat a vytvořit.

    Snímek obrazovky vytvoření trezoru klíčů pro Azure Key Vault s ukázkovým nastavením Tlačítko Zkontrolovat a vytvořit je zvýrazněné.

  7. Zkontrolujte informace přidružené k vašemu trezoru klíčů a vyberte Vytvořit. Počkejte několik minut, než se vytvoření trezoru klíčů dokončí.

    Snímek obrazovky Kontrola a vytvoření nového trezoru klíčů Azure Tlačítko Vytvořit je zvýrazněné.

  8. V části Vybrat klíč z Azure Key Vault můžete vybrat klíč v existujícím trezoru klíčů.

  9. Pokud jste vytvořili nový trezor klíčů, vyberte Vytvořit nový a vytvořte klíč. Velikost klíče RSA může být 2048 nebo vyšší.

    Snímek obrazovky s výběrem klíče z Azure Key Vault Tlačítko Vytvořit nový pro možnost Klíč je zvýrazněné.

    Pokud při vytváření trezoru klíčů není povolená ochrana proti obnovitelnému odstranění a vymazání, trezor klíčů se aktualizuje tak, aby měl povolenou ochranu proti obnovitelnému odstranění a vymazání.

  10. Zadejte název klíče, přijměte ostatní výchozí hodnoty a vyberte Vytvořit.

    Snímek obrazovky s vytvořením klíče pro Azure Key Vault Tlačítko Vytvořit je zvýrazněné.

  11. Vyberte Verzi a pak zvolte Vybrat. Zobrazí se oznámení, že se ve vašem trezoru klíčů vytvořil klíč.

    Snímek obrazovky s výběrem klíče z Azure Key Vault s ukázkovým nastavením Tlačítko Vybrat je zvýrazněné.

V okně Šifrování uvidíte trezor klíčů a klíč vybraný pro klíč spravovaný zákazníkem.

Důležité

Microsoft spravované klíče a přechod na klíče spravované zákazníkem můžete zakázat pouze v jakékoli fázi úlohy importu/exportu. Jakmile ale klíč spravovaný zákazníkem vytvoříte, nemůžete ho zakázat.

Řešení chyb klíčů spravovaných zákazníkem

Pokud dojde k chybám souvisejícím s klíčem spravovaným zákazníkem, použijte k řešení potíží následující tabulku:

Kód chyby Podrobnosti Obnovitelné?
CmkErrorAccessRevoked Přístup ke klíči spravovanému zákazníkem se odvolá. Ano, zkontrolujte, jestli:
  1. Trezor klíčů stále obsahuje MSI v zásadách přístupu.
  2. Zásady přístupu mají povolená oprávnění Get, Wrap a Unwrap.
  3. Pokud je trezor klíčů ve virtuální síti za bránou firewall, zkontrolujte, jestli je povolená možnost Povolit Microsoft důvěryhodných služeb.
  4. Zkontrolujte, jestli se msi prostředku úlohy resetovala na None pomocí rozhraní API.
    Pokud ano, nastavte hodnotu zpět na Identity = SystemAssigned. Tím se znovu vytvoří identita prostředku úlohy.
    Po vytvoření nové identity povolte Getoprávnění , Wrapa Unwrap pro novou identitu v zásadách přístupu trezoru klíčů.
CmkErrorKeyDisabled Klíč spravovaný zákazníkem je zakázaný. Ano, povolením verze klíče
CmkErrorKeyNotFound Nelze najít klíč spravovaný zákazníkem. Ano, pokud se klíč odstranil, ale stále je v době trvání vyprázdnění, použijte příkaz Vrátit zpět odebrání klíče trezoru klíčů.
Jiného
  1. Ano, pokud má zákazník zálohovaný klíč a obnoví ho.
  2. Ne, jinak.
CmkErrorVaultNotFound Nejde najít trezor klíčů klíče spravovaného zákazníkem. Pokud došlo k odstranění trezoru klíčů:
  1. Ano, pokud je v době trvání ochrany před vymazáním, použijte postup v tématu Obnovení trezoru klíčů.
  2. Ne, pokud je delší než doba trvání ochrany před vymazáním.

Jinak pokud se trezor klíčů migroval do jiného tenanta, ano, můžete ho obnovit jedním z následujících kroků:
  1. Vraťte trezor klíčů zpět do původního tenanta.
  2. Nastavte Identity = None a pak nastavte hodnotu zpět na Identity = SystemAssigned. Tím se identita odstraní a znovu vytvoří po vytvoření nové identity. Povolte Getoprávnění , Wrapa Unwrap pro novou identitu v zásadách přístupu trezoru klíčů.

Další kroky