Teilen über


Problembehandlung für kundenseitig verwaltete Schlüssel

Dieser Artikel ist der vierte Teil einer vierteiligen Tutorialserie. Im ersten Teil erhalten Sie eine Übersicht über kundenseitig verwaltete Schlüssel, ihre Features und die Überlegungen, die Sie anstellen sollten, bevor Sie solche Schlüssel in Ihrer Registrierung aktivieren. Im zweiten Teil erfahren Sie, wie Sie kundenseitig verwaltete Schlüssel mithilfe der Azure CLI, mit dem Azure-Portal oder einer Azure Resource Manager-Vorlage aktivieren. Im dritten Teil erfahren Sie, wie Sie einen kundenseitig verwalteten Schlüssel rotieren, aktualisieren und widerrufen. Dieser Artikel hilft Ihnen beim Beheben häufiger Probleme mit kundenseitig verwalteten Schlüsseln.

Fehler beim Entfernen einer verwalteten Identität

Wenn Sie versuchen, eine benutzerseitig oder systemseitig zugewiesene verwaltete Identität zu entfernen, die Sie zur Konfiguration der Verschlüsselung für Ihre Registrierung verwendet haben, wird möglicherweise ein Fehler angezeigt:

Azure resource '/subscriptions/xxxx/resourcegroups/myGroup/providers/Microsoft.ContainerRegistry/registries/myRegistry' does not have access to identity 'xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx' Try forcibly adding the identity to the registry <registry name>. For more information on bring your own key, please visit 'https://aka.ms/acr/cmk'.

Sie können den Verschlüsselungsschlüssel nicht ändern (rotieren). Die Lösungsschritte hängen davon ab, welche Art von Identität für die Verschlüsselung verwendet wurde.

Entfernen einer benutzerseitig zugewiesenen Identität:

Wenn Sie den Fehler beim Entfernen einer benutzerseitig zugewiesenen Identität erhalten, führen Sie die folgenden Schritte aus:

  1. Weisen Sie die benutzerseitig zugewiesene Identität mithilfe des Befehls az acr identity assign neu zu.

  2. Übergeben Sie die Ressourcen-ID der benutzerseitig zugewiesenen Identität, oder verwenden Sie den Namen der Identität, wenn sie sich in derselben Ressourcengruppe wie die Registrierung befindet.

    Beispiel:

    az acr identity assign -n myRegistry \
        --identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"
    
  3. Ändern Sie den Schlüssel, und weisen Sie eine andere Identität zu.

  4. Jetzt können Sie die ursprüngliche, benutzerseitig zugewiesene Identität entfernen.

Entfernen einer systemseitig zugewiesenen Identität

Wenn der Fehler auftritt, während Sie versuchen, eine systemseitig zugewiesene Identität zu entfernen, erstellen Sie ein Azure-Support Ticket zur Unterstützung beim Wiederherstellen der Identität.

Fehler, nachdem Sie eine Schlüsseltresorfirewall aktiviert haben

Wenn Sie nach dem Erstellen einer verschlüsselten Registrierung eine Key Vault-Firewall oder ein virtuelles Netzwerk aktivieren, werden möglicherweise HTTP 403- oder andere Fehler beim Imageimport oder der automatisierten Schlüsselrotation angezeigt. Um dieses Problem zu beheben, konfigurieren Sie die verwaltete Identität und den Schlüssel neu, die Sie ursprünglich für die Verschlüsselung verwendet haben. Folgen Sie den Schritten in Rotieren eines kundenseitig verwalteten Schlüssels.

Sollte das Problem weiterhin bestehen, wenden Sie sich an den Azure-Support.

Fehler beim Ablauf der Identität

Die einer Registrierung zugeordnete Identität ist auf die automatische Verlängerung festgelegt, damit sie nicht abläuft. Wenn Sie die Zuordnung zwischen einer Identität und einer Registrierung aufheben, wird eine Fehlermeldung angezeigt, in der erklärt wird, dass Sie die für CMK verwendete Identität nicht entfernen können. Der Versuch, die Identität zu entfernen, gefährdet die automatische Verlängerung der Identität. Die Artefakt-Pull-/Push-Vorgänge funktionieren, bis die Identität abläuft (in der Regel nach drei Monaten). Nach Ablauf der Identität wird ein HTTP 403-Fehler mit der folgenden Fehlermeldung angezeigt: „Die der Registrierung zugeordnete Identität ist inaktiv. Dies kann auf den Versuch zurückzuführen sein, die Identität zu entfernen. Weisen Sie die Identität manuell neu zu.“

Sie müssen die Identität explizit wieder der Registrierung zuweisen.

  1. Führen Sie den Befehl az acr identity assign aus, um die Identität manuell neu zuzuweisen.

    • Beispiel:
    az acr identity assign -n myRegistry \
    --identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"
    

Versehentliches Löschen des Schlüsseltresors oder Schlüssels

Wenn Sie den Schlüsseltresor oder den Schlüssel löschen, der zum Verschlüsseln einer Registrierung mit einem kundenseitig verwalteten Schlüssel verwendet wird, ist der Zugriff auf den Inhalt der Registrierung nicht mehr möglich. Wenn das vorläufige Löschen im Schlüsseltresor aktiviert ist (Standardoption), können Sie einen gelöschten Tresor oder ein Schlüsseltresorobjekt wiederherstellen und Registrierungsvorgänge fortsetzen.

Nächste Schritte

Informationen zum Löschen und Wiederherstellen von Schlüsseltresoren finden Sie unter Azure Key Vault-Wiederherstellungsverwaltung mit Schutz durch vorläufiges Löschen und Bereinigungsschutz.