Použití klíčů spravovaných zákazníkem ve službě Azure Key Vault pro službu Import/Export

  • Článek

Azure Import/Export chrání klíče BitLockeru používané k uzamčení jednotek prostřednictvím šifrovacího klíče. Ve výchozím nastavení jsou klíče Nástroje BitLocker šifrované pomocí klíčů spravovaných Microsoftem. Pro další kontrolu nad šifrovacími klíči můžete také poskytnout klíče spravované zákazníkem.

Klíče spravované zákazníkem musí být vytvořené a uložené ve službě Azure Key Vault. Další informace o službě Azure Key Vault najdete v tématu Co je Azure Key Vault?

Tento článek ukazuje, jak používat klíče spravované zákazníkem se službou Import/Export na webu Azure Portal.

Předpoklady

Než začnete, ujistěte se, že:

  1. Vytvořili jste úlohu importu nebo exportu podle pokynů v tématu:

  2. Máte existující službu Azure Key Vault s klíčem, který můžete použít k ochraně klíče BitLockeru. Informace o vytvoření trezoru klíčů pomocí webu Azure Portal najdete v tématu Rychlý start: Vytvoření služby Azure Key Vault pomocí webu Azure Portal.

    • Obnovitelné odstranění a nevyprázdnění se nastavuje ve stávající službě Key Vault. Tyto vlastnosti nejsou ve výchozím nastavení povoleny. Pokud chcete tyto vlastnosti povolit, přečtěte si oddíly s názvem Povolení obnovitelného odstranění a povolení ochrany před vymazáním v jednom z následujících článků:

    • Existující trezor klíčů by měl mít klíč RSA o velikosti 2048 nebo více. Další informace o klíčích najdete v tématu O klíčích.

    • Trezor klíčů musí být ve stejné oblasti jako účet úložiště pro vaše data.

    • Pokud nemáte existující službu Azure Key Vault, můžete ji také vytvořit přímo, jak je popsáno v následující části.

Povolení klíčů

Konfigurace klíče spravovaného zákazníkem pro službu Import/Export je volitelná. Ve výchozím nastavení služba Import/Export používá ke ochraně klíče Nástroje BitLocker spravovaný Microsoftem. Pokud chcete na webu Azure Portal povolit klíče spravované zákazníkem, postupujte takto:

  1. Přejděte do okna Přehled pro úlohu Import.

  2. V pravém podokně vyberte Zvolit způsob šifrování klíčů BitLockeru.

    Screenshot of Overview blade for Azure Import/Export job. Overview menu item and link that opens BitLocker key options are highlighted.

  3. V okně Šifrování můžete zobrazit a zkopírovat klíč nástroje BitLocker pro zařízení. V části Typ šifrování můžete zvolit, jak chcete chránit klíč Nástroje BitLocker. Ve výchozím nastavení se používá spravovaný klíč Microsoftu.

    Screenshot of Encryption blade for an Azure Import/Export order. Encryption menu item is highlighted.

  4. Máte možnost zadat klíč spravovaný zákazníkem. Po výběru klíče spravovaného zákazníkem vyberte trezor klíčů a klíč.

    Screenshot of Encryption blade for Azure Import/Export job.

  5. V okně Vybrat klíč ze služby Azure Key Vault se předplatné vyplní automaticky. V případě trezoru klíčů můžete z rozevíracího seznamu vybrat existující trezor klíčů.

    Screenshot of the

  6. Můžete také vybrat vytvořit nový trezor klíčů. V okně Vytvořit trezor klíčů zadejte skupinu prostředků a název trezoru klíčů. Přijměte všechny ostatní výchozí hodnoty. Vyberte Zkontrolovat a vytvořit.

    Screenshot of

  7. Zkontrolujte informace přidružené k trezoru klíčů a vyberte Vytvořit. Počkejte několik minut, než se vytvoření trezoru klíčů dokončí.

    Screenshot of the Review Plus Create screen for a new Azure key vault. The Create button is highlighted.

  8. Ve službě Azure Key Vault můžete vybrat klíč v existujícím trezoru klíčů.

  9. Pokud jste vytvořili nový trezor klíčů, vyberte Vytvořit nový a vytvořte klíč. Velikost klíče RSA může být 2048 nebo vyšší.

    Screenshot of the

    Pokud při vytváření trezoru klíčů není povolená ochrana obnovitelného odstranění a vymazání, bude trezor klíčů aktualizován tak, aby měl povolenou obnovitelné odstranění a ochranu před vymazáním.

  10. Zadejte název klíče, přijměte ostatní výchozí hodnoty a vyberte Vytvořit.

    Screenshot of the

  11. Vyberte verzi a pak zvolte Vybrat. Zobrazí se oznámení o vytvoření klíče v trezoru klíčů.

    Screenshot of the

V okně Šifrování uvidíte trezor klíčů a klíč vybraný pro klíč spravovaný zákazníkem.

Důležité

Spravované klíče Microsoftu můžete zakázat a přejít na klíče spravované zákazníkem v libovolné fázi úlohy importu a exportu. Po vytvoření klíče spravovaného zákazníkem ale nemůžete klíč spravovaný zákazníkem zakázat.

Řešení chyb klíčů spravovaných zákazníkem

Pokud se zobrazí nějaké chyby související s klíčem spravovaným zákazníkem, při řešení potíží použijte následující tabulku:

Kód chyby Detaily Obnovitelné?
CmkErrorAccessRevolat Přístup k klíči spravovanému zákazníkem je odvolán. Ano, zkontrolujte, jestli:
  1. Trezor klíčů stále obsahuje MSI v zásadách přístupu.
  2. Zásady přístupu mají povolená oprávnění Get, Wrap a Unwrap.
  3. Pokud je trezor klíčů ve virtuální síti za bránou firewall, zkontrolujte, jestli je povolená možnost Povolit důvěryhodné služby Microsoftu.
  4. Zkontrolujte, jestli se MSI prostředku úlohy resetovala na None používání rozhraní API.
    Pokud ano, nastavte hodnotu zpět na Identity = SystemAssigned. Tím se znovu vytvoří identita prostředku úlohy.
    Po vytvoření nové identity povolte GetWrapa Unwrap oprávnění k nové identitě v zásadách přístupu trezoru klíčů.
CmkErrorKeyDisabled Klíč spravovaný zákazníkem je zakázaný. Ano, povolením verze klíče
CmkErrorKeyNotFound Nelze najít klíč spravovaný zákazníkem. Ano, pokud byl klíč odstraněn, ale je stále v době vyprázdnění, pomocí odebrání klíče trezoru klíčů zpět.
Jiného
  1. Ano, pokud má zákazník zálohovaný klíč a obnoví ho.
  2. Ne, jinak.
CmkErrorVaultNotFound Trezor klíčů spravovaného zákazníkem nebyl nalezen. Pokud se trezor klíčů odstranil:
  1. Ano, pokud je v době ochrany před vymazáním, použijte postup v části Obnovení trezoru klíčů.
  2. Ne, pokud je nad rámec doby ochrany před vymazáním.

Jinak pokud se trezor klíčů migroval do jiného tenanta, ano, můžete ho obnovit jedním z následujících kroků:
  1. Vraťte trezor klíčů zpět ke starému tenantovi.
  2. Nastavte Identity = None a pak nastavte hodnotu zpět na Identity = SystemAssigned. Tím se odstraní a znovu vytvoří identita po vytvoření nové identity. WrapV zásadách přístupu trezoru klíčů povolte Geta Unwrap oprávnění k nové identitě.

Další kroky