Sdílet prostřednictvím

Použití klíčů spravovaných zákazníkem ve službě Azure Key Vault pro službu Import/Export

  • Článek

Azure Import/Export chrání klíče BitLockeru používané k uzamčení jednotek prostřednictvím šifrovacího klíče. Ve výchozím nastavení jsou klíče Nástroje BitLocker šifrované pomocí klíčů spravovaných Microsoftem. Pro další kontrolu nad šifrovacími klíči můžete také poskytnout klíče spravované zákazníkem.

Klíče spravované zákazníkem musí být vytvořené a uložené ve službě Azure Key Vault. Další informace o službě Azure Key Vault najdete v tématu Co je Azure Key Vault?

Tento článek ukazuje, jak používat klíče spravované zákazníkem se službou Import/Export na webu Azure Portal.

Požadavky

Než začnete, ujistěte se, že:

  1. Vytvořili jste úlohu importu nebo exportu podle pokynů v tématu:

  2. Máte existující službu Azure Key Vault s klíčem, který můžete použít k ochraně klíče BitLockeru. Informace o vytvoření trezoru klíčů pomocí webu Azure Portal najdete v tématu Rychlý start: Vytvoření služby Azure Key Vault pomocí webu Azure Portal.

    • Obnovitelné odstranění a nevyprázdnění se nastavuje ve stávající službě Key Vault. Tyto vlastnosti nejsou ve výchozím nastavení povoleny. Pokud chcete tyto vlastnosti povolit, přečtěte si oddíly s názvem Povolení obnovitelného odstranění a povolení ochrany před vymazáním v jednom z následujících článků:

    • Existující trezor klíčů by měl mít klíč RSA o velikosti 2048 nebo více. Další informace o klíčích najdete v tématu O klíčích.

    • Trezor klíčů musí být ve stejné oblasti jako účet úložiště pro vaše data.

    • Pokud nemáte existující službu Azure Key Vault, můžete ji také vytvořit přímo, jak je popsáno v následující části.

Povolení klíčů

Konfigurace klíče spravovaného zákazníkem pro službu Import/Export je volitelná. Ve výchozím nastavení služba Import/Export používá ke ochraně klíče Nástroje BitLocker spravovaný Microsoftem. Pokud chcete na webu Azure Portal povolit klíče spravované zákazníkem, postupujte takto:

  1. Přejděte do okna Přehled pro úlohu Import.

  2. V pravém podokně vyberte Zvolit způsob šifrování klíčů BitLockeru.

    Snímek obrazovky s oknem Přehled pro úlohu Azure Import/Export Položka nabídky Přehled a odkaz, který otevře možnosti klíče Nástroje BitLocker, jsou zvýrazněné.

  3. V okně Šifrování můžete zobrazit a zkopírovat klíč nástroje BitLocker pro zařízení. V části Typ šifrování můžete zvolit, jak chcete chránit klíč Nástroje BitLocker. Ve výchozím nastavení se používá spravovaný klíč Microsoftu.

    Snímek obrazovky s oknem Šifrování pro objednávku Azure Import/Export Položka nabídky Šifrování je zvýrazněná.

  4. Máte možnost zadat klíč spravovaný zákazníkem. Po výběru klíče spravovaného zákazníkem vyberte trezor klíčů a klíč.

    Snímek obrazovky s oknem Šifrování pro úlohu Azure Import/Export Je vybrán klíč spravovaný zákazníkem. Odkaz na Výběr klíče a trezoru klíčů je zvýrazněný.

  5. V okně Vybrat klíč ze služby Azure Key Vault se předplatné vyplní automaticky. V případě trezoru klíčů můžete z rozevíracího seznamu vybrat existující trezor klíčů.

    Snímek obrazovky Výběr klíče ze služby Azure Key Vault Zvýrazněný odkaz Vytvořit nový pro službu Key Vault.

  6. Můžete také vybrat vytvořit nový trezor klíčů. V okně Vytvořit trezor klíčů zadejte skupinu prostředků a název trezoru klíčů. Přijměte všechny ostatní výchozí hodnoty. Vyberte Zkontrolovat a vytvořit.

    Snímek obrazovky Vytvořit trezor klíčů pro Azure Key Vault s ukázkovým nastavením Tlačítko Zkontrolovat plus vytvořit je zvýrazněné.

  7. Zkontrolujte informace přidružené k trezoru klíčů a vyberte Vytvořit. Počkejte několik minut, než se vytvoření trezoru klíčů dokončí.

    Snímek obrazovky zkontrolovat plus vytvořit pro nový trezor klíčů Azure Tlačítko Vytvořit je zvýrazněné.

  8. Ve službě Azure Key Vault můžete vybrat klíč v existujícím trezoru klíčů.

  9. Pokud jste vytvořili nový trezor klíčů, vyberte Vytvořit nový a vytvořte klíč. Velikost klíče RSA může být 2048 nebo vyšší.

    Snímek obrazovky Výběr klíče ze služby Azure Key Vault Tlačítko Vytvořit nový pro možnost Klíč je zvýrazněné.

    Pokud při vytváření trezoru klíčů není povolená ochrana obnovitelného odstranění a vymazání, bude trezor klíčů aktualizován tak, aby měl povolenou obnovitelné odstranění a ochranu před vymazáním.

  10. Zadejte název klíče, přijměte ostatní výchozí hodnoty a vyberte Vytvořit.

    Snímek obrazovky Vytvořit klíč pro Azure Key Vault Tlačítko Vytvořit je zvýrazněné.

  11. Vyberte verzi a pak zvolte Vybrat. Zobrazí se oznámení o vytvoření klíče v trezoru klíčů.

    Snímek obrazovky Výběr klíče ze služby Azure Key Vault s ukázkovým nastavením Tlačítko Vybrat je zvýrazněné.

V okně Šifrování uvidíte trezor klíčů a klíč vybraný pro klíč spravovaný zákazníkem.

Důležité

Spravované klíče Microsoftu můžete zakázat a přejít na klíče spravované zákazníkem v libovolné fázi úlohy importu a exportu. Po vytvoření klíče spravovaného zákazníkem ale nemůžete klíč spravovaný zákazníkem zakázat.

Řešení chyb klíčů spravovaných zákazníkem

Pokud se zobrazí nějaké chyby související s klíčem spravovaným zákazníkem, při řešení potíží použijte následující tabulku:

Kód chyby Detaily Dobytný?
CmkErrorAccessRevolat Přístup k klíči spravovanému zákazníkem je odvolán. Ano, zkontrolujte, jestli:
  1. Trezor klíčů stále obsahuje MSI v zásadách přístupu.
  2. Zásady přístupu mají povolená oprávnění Get, Wrap a Unwrap.
  3. Pokud je trezor klíčů ve virtuální síti za bránou firewall, zkontrolujte, jestli je povolená možnost Povolit důvěryhodné služby Microsoftu.
  4. Zkontrolujte, jestli se MSI prostředku úlohy resetovala na None používání rozhraní API.
    Pokud ano, nastavte hodnotu zpět na Identity = SystemAssigned. Tím se znovu vytvoří identita prostředku úlohy.
    Po vytvoření nové identity povolte GetWrapa Unwrap oprávnění k nové identitě v zásadách přístupu trezoru klíčů.
CmkErrorKeyDisabled Klíč spravovaný zákazníkem je zakázaný. Ano, povolením verze klíče
CmkErrorKeyNotFound Nelze najít klíč spravovaný zákazníkem. Ano, pokud byl klíč odstraněn, ale je stále v době vyprázdnění, pomocí odebrání klíče trezoru klíčů zpět.
Jiný
  1. Ano, pokud má zákazník zálohovaný klíč a obnoví ho.
  2. Ne, jinak.
CmkErrorVaultNotFound Trezor klíčů spravovaného zákazníkem nebyl nalezen. Pokud se trezor klíčů odstranil:
  1. Ano, pokud je v době ochrany před vymazáním, použijte postup v části Obnovení trezoru klíčů.
  2. Ne, pokud je nad rámec doby ochrany před vymazáním.

Jinak pokud se trezor klíčů migroval do jiného tenanta, ano, můžete ho obnovit jedním z následujících kroků:
  1. Vraťte trezor klíčů zpět ke starému tenantovi.
  2. Nastavte Identity = None a pak nastavte hodnotu zpět na Identity = SystemAssigned. Tím se odstraní a znovu vytvoří identita po vytvoření nové identity. WrapV zásadách přístupu trezoru klíčů povolte Geta Unwrap oprávnění k nové identitě.

Další kroky