Sdílet prostřednictvím

Použití klíčů spravovaných zákazníkem ve službě Azure Key Vault pro službu Import/Export

Azure Import/Export chrání klíče BitLockeru používané k uzamčení jednotek prostřednictvím šifrovacího klíče. Ve výchozím nastavení jsou klíče Nástroje BitLocker šifrované pomocí klíčů spravovaných Microsoftem. Pro další kontrolu nad šifrovacími klíči můžete také poskytnout klíče spravované zákazníkem.

Klíče spravované zákazníkem musí být vytvořené a uložené ve službě Azure Key Vault. Další informace o službě Azure Key Vault najdete v tématu Co je Azure Key Vault?

Tento článek ukazuje, jak používat klíče spravované zákazníkem se službou Import/Export na webu Azure Portal.

Požadavky

Než začnete, ujistěte se, že:

  1. Vytvořili jste úlohu importu nebo exportu podle pokynů.

  2. Máte existující službu Azure Key Vault s klíčem, který můžete použít k ochraně klíče BitLockeru. Informace o vytvoření trezoru klíčů pomocí webu Azure Portal najdete v tématu Rychlý start: Vytvoření služby Azure Key Vault pomocí webu Azure Portal.

    • Měkké odstranění a neodstraňovat natrvalo jsou nastaveny ve stávající službě Key Vault. Tyto vlastnosti nejsou ve výchozím nastavení povoleny. Pokud chcete tyto vlastnosti povolit, přečtěte si oddíly s názvem Povolení obnovitelného odstranění a povolení ochrany před vymazáním v jednom z následujících článků:

    • Existující trezor klíčů by měl mít klíč RSA o velikosti 2048 nebo více. Další informace o klíčích najdete v tématu O klíčích.

    • Trezor klíčů musí být ve stejné oblasti jako účet úložiště pro vaše data.

    • Pokud nemáte existující službu Azure Key Vault, můžete ji také vytvořit přímo, jak je popsáno v následující části.

Povolení klíčů

Konfigurace klíče spravovaného zákazníkem pro službu Import/Export je volitelná. Ve výchozím nastavení služba Import/Export používá k ochraně vašeho klíče BitLocker klíč spravovaný Microsoftem. Pokud chcete na webu Azure Portal povolit klíče spravované zákazníkem, postupujte takto:

  1. Přejděte do okna Přehled pro úlohu Import.

  2. V pravém podokně vyberte Zvolit způsob šifrování klíčů BitLockeru.

    Snímek obrazovky s oknem Přehled pro úlohu Azure Import/Export Položka nabídky Přehled a odkaz, který otevře možnosti klíče Nástroje BitLocker, jsou zvýrazněné.

  3. V okně Šifrování můžete zobrazit a zkopírovat klíč nástroje BitLocker pro zařízení. V části Typ šifrování můžete zvolit, jak chcete chránit klíč Nástroje BitLocker. Ve výchozím nastavení se používá spravovaný klíč Microsoftu.

    Snímek obrazovky s oknem Šifrování pro objednávku Azure Import/Export Položka nabídky Šifrování je zvýrazněná.

  4. Máte možnost zadat klíč spravovaný zákazníkem. Po výběru klíče spravovaného zákazníkem vyberte trezor klíčů a klíč.

    Snímek obrazovky s oknem Šifrování pro úlohu Azure Import/Export Je vybrán klíč spravovaný zákazníkem. Odkaz na Výběr klíče a trezoru klíčů je zvýrazněný.

  5. V okně Vybrat klíč ze služby Azure Key Vault se předplatné vyplní automaticky. V případě trezoru klíčů můžete z rozevíracího seznamu vybrat existující trezor klíčů.

    Snímek obrazovky s obrazovkou „Vyberte klíč ze služby Azure Key Vault“. Zvýrazněn odkaz „Vytvořit nový“ pro Key Vault.

  6. Můžete také vybrat vytvořit nový trezor klíčů. V okně Vytvořit trezor klíčů zadejte skupinu prostředků a název trezoru klíčů. Přijměte všechny ostatní výchozí hodnoty. Vyberte Zkontrolovat a vytvořit.

    Snímek obrazovky Vytvořit trezor klíčů pro Azure Key Vault s ukázkovým nastavením Tlačítko Zkontrolovat plus vytvořit je zvýrazněné.

  7. Zkontrolujte informace přidružené k trezoru klíčů a vyberte Vytvořit. Počkejte několik minut, než se vytvoření trezoru klíčů dokončí.

    Snímek obrazovky obrazovky s názvem

  8. Ve službě Azure Key Vault můžete vybrat klíč v existujícím trezoru klíčů.

  9. Pokud jste vytvořili nový trezor klíčů, vyberte Vytvořit nový a vytvořte klíč. Velikost klíče RSA může být 2048 nebo vyšší.

    Snímek obrazovky Výběr klíče ze služby Azure Key Vault Tlačítko Vytvořit nový pro možnost Klíč je zvýrazněné.

    Pokud při vytváření trezoru klíčů není povolená ochrana obnovitelného odstranění a vymazání, bude trezor klíčů aktualizován tak, aby měl povolenou obnovitelné odstranění a ochranu před vymazáním.

  10. Zadejte název klíče, přijměte ostatní výchozí hodnoty a vyberte Vytvořit.

    Snímek obrazovky Vytvořit klíč pro Azure Key Vault Tlačítko Vytvořit je zvýrazněné.

  11. Vyberte verzi a pak zvolte Vybrat. Zobrazí se oznámení o vytvoření klíče v trezoru klíčů.

    Snímek obrazovky Výběr klíče ze služby Azure Key Vault s ukázkovým nastavením Tlačítko Vybrat je zvýrazněné.

V okně Šifrování uvidíte trezor klíčů a klíč vybraný pro klíč spravovaný zákazníkem.

Důležité

Spravované klíče Microsoftu můžete zakázat a přejít na klíče spravované zákazníkem v libovolné fázi úlohy importu a exportu. Po vytvoření klíče spravovaného zákazníkem ale nemůžete klíč spravovaný zákazníkem zakázat.

Řešení chyb klíčů spravovaných zákazníkem

Pokud se zobrazí nějaké chyby související s klíčem spravovaným zákazníkem, při řešení potíží použijte následující tabulku:

Kód chyby Detaily Obnovitelný?
CmkErrorAccessOdvolán Přístup k klíči spravovanému zákazníkem je odvolán. Ano, zkontrolujte, jestli:
  1. Key Vault stále obsahuje MSI v zásadách přístupu.
  2. Zásady přístupu mají povolená oprávnění Get, Wrap a Unwrap.
  3. Pokud je trezor klíčů ve virtuální síti za bránou firewall, zkontrolujte, jestli je povolená možnost Povolit důvěryhodné služby Microsoftu.
  4. Zkontrolujte, jestli se MSI prostředku úlohy resetovala na None pomocí rozhraní API.
    Pokud ano, nastavte hodnotu zpět na Identity = SystemAssigned. Tím se znovu vytvoří identita prostředku úlohy.
    Po vytvoření nové identity povolte GetWrapa Unwrap oprávnění k nové identitě v zásadách přístupu trezoru klíčů.
ChybaKlíčZakázán Klíč spravovaný zákazníkem je zakázaný. Ano, povolením klíčové verze
CmkErrorKeyNotFound Nelze najít klíč spravovaný zákazníkem. Ano, pokud byl klíč odstraněn, ale je stále v období vyprázdnění, pomocí Zrušit odstranění klíče v trezoru.
Jiný
  1. Ano, pokud má zákazník zálohovaný klíč a obnoví ho.
  2. Ne, spíš naopak.
CmkErrorVaultNenalezeno Trezor klíčů spravovaného zákazníkem nebyl nalezen. Pokud se trezor klíčů odstranil:
  1. Ano, pokud je v době ochrany před vymazáním, postupujte podle kroků v Obnovení trezoru klíčů.
  2. Ne, pokud je nad rámec doby ochrany před vymazáním.

Pokud však byl trezor klíčů migrován do jiného nájemce, ano, lze jej obnovit jedním z následujících kroků:
  1. Vraťte trezor klíčů zpět ke starému tenantovi.
  2. Nastavte Identity = None a pak nastavte hodnotu zpět na Identity = SystemAssigned. Tím se odstraní a znovu vytvoří identita, jakmile je vytvořena nová identita. Povolte Get, Wrap a Unwrap oprávnění k nové identitě v zásadách přístupu trezoru klíčů.

Další kroky

  • Last updated on