Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieses Handbuch soll Ihnen helfen, häufige Probleme bei der Verwendung von kundenverwaltetem Schlüssel (CMK) für die ruhende Datenverschlüsselung mit Azure DocumentDB zu beheben. Er bietet praktische Lösungen für die Problembehandlung verschiedener Komponenten, die an der CMK-Einrichtung beteiligt sind.
Eine verwaltete Identität, ein Schlüsseltresor, ein Verschlüsselungsschlüssel im Schlüsseltresor und die entsprechenden Berechtigungen, die der verwalteten Identität gewährt werden, sind erforderlich , um CMK in einem Azure DocumentDB-Cluster zu konfigurieren.
Wenn die verwaltete Identität, der Schlüsseltresor, der Schlüssel oder Berechtigungen nicht gemäß den Anforderungen konfiguriert sind, können Sie CMK während der Clusterbereitstellung möglicherweise nicht aktivieren. Wenn die ordnungsgemäße Einrichtung in einem CMK-fähigen Cluster ungültig wird, sind Daten in diesem Cluster aufgrund der grundlegenden Sicherheitsanforderung der Verschlüsselung mit dem kundenseitig verwalteten Schlüssel nicht mehr verfügbar.
Führen Sie die Schritte in diesem Abschnitt aus, um eine Problembehandlung für alle Komponenten auszuführen, die für die ordnungsgemäße CMK-Einrichtung erforderlich sind.
Gründe für die Sperrung des Schlüsselzugriffs über Azure Key Vault
Eine Person mit ausreichenden Zugriffsrechten für Key Vault können den Clusterzugriff auf den Schlüssel durch folgende Aktionen versehentlich deaktivieren:
- Aufheben der Zuweisung der RBAC-Benutzerrolle Kryptografiedienstsverschlüsselung für Schlüsseltresore oder Widerrufen der Berechtigungen der Identität, die zum Abrufen des Schlüssels in Key Vault verwendet wird
- Löschen des Schlüssels.
- Löschen der Key Vault-Instanz.
- Ändern der Key Vault-Firewallregeln oder sonstige Fehlkonfiguration der Netzwerkeinstellungen von Key Vault
- Löschen der verwalteten Identität des Clusters in Microsoft Entra ID
Diese Aktionen führen dazu, dass auf den kundenseitig verwalteten Schlüssel, der für die Datenverschlüsselung verwendet wird, nicht mehr zugegriffen werden kann.
Problembehandlung, wenn der Zugriff auf den kundenseitig verwalteten Schlüssel nicht möglich ist
Wenn Sie die Datenverschlüsselung mit einem kundenseitig verwalteten Schlüssel konfigurieren, der in Key Vault gespeichert ist, wird fortlaufender Zugriff auf diesen Schlüssel benötigt, damit der Cluster online bleiben kann. Wenn dies nicht der Fall ist, ändert der Cluster seinen Status in Kein Zugriff. Der Cluster beginnt dann, alle Verbindungen zu verweigern.
Dies sind einige der möglichen Gründe, warum der Clusterstatus in Kein Zugriff geändert wurde:
| Ursache | Beschluss |
|---|---|
| Für den vom Cluster angegebenen Verschlüsselungsschlüssel sind ein Ablaufdatum und eine Ablaufuhrzeit konfiguriert, und dieses Datum und diese Uhrzeit wurden erreicht. | Sie müssen das Ablaufdatum des Schlüssels verlängern. Anschließend müssen Sie warten, bis der Dienst den Schlüssel erneut überprüft und den Clusterstatus automatisch auf Bereit umstellt. Erst wenn sich der Cluster wieder im Status Bereit befindet, können Sie den Schlüssel zu einer neueren Version rotieren oder einen neuen Schlüssel erstellen und den Cluster so aktualisieren, dass er sich auf diese neue Version desselben Schlüssels oder auf den neuen Schlüssel bezieht. |
| Sie löschen die Key Vault-Instanz, die Azure DocumentDB-Instanz kann nicht auf den Schlüssel zugreifen und wechselt in einen nicht zugänglichen Zustand. | Stellen Sie die Key Vault-Instanz wieder her, und warten Sie, bis der Dienst den Schlüssel planmäßig neu überprüft und den Clusterstatus automatisch in Bereit ändert. |
| Sie löschen aus Microsoft Entra ID eine verwaltete Identität, die zum Abrufen eines der im Schlüsseltresor gespeicherten Verschlüsselungsschlüssel verwendet wird. | Stellen Sie die Identität wieder her, und warten Sie, bis der Dienst den Schlüssel planmäßig neu überprüft und den Clusterstatus automatisch in Bereit ändert. |
| Das Schlüsseltresor-Berechtigungsmodell ist für die rollenbasierte Zugriffssteuerung konfiguriert. Sie entfernen die RBAC-Rollenzuweisung Benutzer für Key Vault-Kryptodienstverschlüsselung aus den verwalteten Identitäten, die zum Abrufen eines der Schlüssel konfiguriert sind. | Weisen Sie der verwalteten Identität erneut die RBAC-Rolle zu, und warten Sie, bis der Dienst den Schlüssel planmäßig neu überprüft und den Clusterstatus automatisch in Bereit ändert. Alternativ können Sie die Rolle im Schlüsseltresor einer anderen verwalteten Identität zuweisen und den Cluster so aktualisieren, dass er diese andere verwaltete Identität für den Zugriff auf den Schlüssel verwendet. |
| Das Schlüsseltresor-Berechtigungsmodell ist für Zugriffsrichtlinien konfiguriert. Sie widerrufen die list, get, wrapKey oder unwrapKey-Zugriffsrichtlinien aus den verwalteten Identitäten, die zum Abrufen von Schlüsseln konfiguriert sind. | Weisen Sie der verwalteten Identität die RBAC-Rolle zu, und warten Sie, bis der Dienst den Schlüssel planmäßig neu überprüft und den Clusterstatus automatisch in Bereit ändert. Alternativ können Sie die erforderlichen Zugriffsrichtlinien für den Schlüsseltresor einer anderen verwalteten Identität zuzuweisen und den Cluster so aktualisieren, dass er diese andere verwaltete Identität für den Zugriff auf den Schlüssel verwendet. |
| Sie richten übermäßig restriktive Firewallregeln für den Schlüsseltresor ein, damit Ihr Azure DocumentDB-Cluster nicht mit dem Schlüsseltresor kommunizieren kann, um Ihre Schlüssel abzurufen. | Stellen Sie beim Konfigurieren einer Schlüsseltresorfirewall sicher, dass Sie entweder den öffentlichen Zugriff deaktiviert und die Option zum Zulassen vertrauenswürdiger Microsoft-Dienste ausgewählt haben oder den öffentlichen Zugriff aus allen Netzwerken zugelassen haben. Mit öffentlichem Zugriff über alle Netzwerke kann Ihr Azure DocumentDB-Cluster auf den Schlüsseltresor zugreifen. Mit deaktiviertem öffentlichem Zugriff und der Option zum Zulassen des Zugriffs auf den Schlüsselwert für vertrauenswürdige Microsoft-Dienste kann Ihr Cluster die Firewall umgehen. |
Hinweis
Wenn ein Schlüssel deaktiviert oder gelöscht wurde bzw. abgelaufen oder nicht erreichbar ist, wird ein Cluster, der Daten über diesen Schlüssel verschlüsselt hat, in den Zustand Kein Zugriff versetzt – wie bereits erwähnt. Der Clusterstatus ändert sich erst wieder in Bereit, wenn der Server die Verschlüsselungsschlüssel neu überprüfen kann.
Im Allgemeinen erreicht ein Cluster den Zustand Kein Zugriff innerhalb von 60 Minuten nach dem Deaktivieren, Löschen, Ablaufen oder nicht Erreichen eines Schlüssels. Nachdem der Schlüssel verfügbar geworden ist, kann es bis zu 60 Minuten dauern, bis der Clusterstatus wieder Bereit lautet.
Wiederherstellung nach der Löschung von verwalteten Identitäten
Wenn die benutzerseitig zugewiesene verwaltete Identität, die für den Zugriff auf den im Schlüsseltresor gespeicherten Verschlüsselungsschlüssel verwendet wird, in Microsoft Entra ID gelöscht wird, sollten Sie diese Schritte für die Wiederherstellung ausführen:
- Stellen Sie die Identität wieder her, oder erstellen Sie eine neue verwaltete Entra ID-Identität.
- Wenn Sie eine neue Identität erstellt haben und der Name dieser Identität identisch ist mit dem Namen der gelöschten Identität, aktualisieren Sie die Eigenschaften für die Azure-Datenbank für flexible Cluster, damit sie weiß, dass diese neue Identität für den Zugriff auf den Verschlüsselungsschlüssel verwendet werden soll.
- Vergewissern Sie sich, dass diese Identität über die richtigen Berechtigungen für Vorgänge auf dem Schlüssel in Azure Key Vault (AKV) verfügt.
- Warten Sie ca. eine Stunde, bis der Cluster den Schlüssel neu überprüft.
Von Bedeutung
Das Erstellen einer neuen Entra ID-Identität mit demselben Namen wie die gelöschte Identität führt nicht zur Wiederherstellung der verwalteten Identität.
Problembehandlung bei einer fehlerhaften CMK-fähigen Clusterbereitstellung
Wenn eine der CMK-Anforderungennicht erfüllt wird, tritt beim Versuch, einen Cluster mit aktiviertem CMK bereitzustellen, ein Fehler auf. Der folgende Fehler während der Clusterbereitstellung weist darauf hin, dass der Schlüsseltresor, der Verschlüsselungsschlüssel oder die Berechtigungen für verwaltete Identität nicht ordnungsgemäß eingerichtet wurde bzw. wurden: „Der Zugriff auf den Schlüssel war nicht möglich. Möglicherweise ist er nicht vorhanden, die bereitgestellte Benutzeridentität verfügt nicht über GET-Berechtigungen dafür, oder für den Schlüsseltresor ist der Zugriff auf das öffentliche Internet nicht aktiviert.“
So beheben Sie dieses Problem:
- Überprüfen Sie alle CMK-Anforderungen.
- Stellen Sie Cluster mit der verwalteten Identität und dem von Ihnen überprüften Schlüsseltresor bereit.
- Löschen Sie die fehlerhafte Clusterentität. Für den fehlerhaften Cluster ist die
clusterStatus-Eigenschaft auf Fehlerhaft festgelegt. Im Azure-Portal finden Sie den Clusterstatus auf dem Blatt Übersicht in den Clustereigenschaften.
Verwandte Inhalte
- Informieren Sie sich ausführlicher über die Grundlagen der Verschlüsselung ruhender Daten.
- Sehen Sie sich die bewährten Methoden zum Konfigurieren des Schlüsseltresors für CMK an.
- Führen Sie die folgenden Schritte aus, um die ruhende Datenverschlüsselung mit vom Kunden verwaltetem Schlüssel in Azure DocumentDB zu aktivieren