Solución de problemas de una clave administrada por el cliente

Este artículo es la cuarta parte de una serie de tutoriales de cuatro partes. La primera parte ofrece una introducción a las claves administradas por el cliente, sus características y las consideraciones que hay que tener en cuenta antes de habilitar una en su registro. En la segunda parte, aprenderá a habilitar una clave administrada por el cliente mediante la CLI de Azure, Azure Portal o una plantilla de Azure Resource Manager. En la tercera parte, aprenderá a rotar, actualizar y revocar una clave administrada por el cliente. Este artículo le ayuda a solucionar problemas comunes con claves administradas por el cliente.

Error al quitar una identidad administrada

Si intenta quitar una identidad asignada por el usuario o una asignada por el sistema que se usa para configurar el cifrado para su registro, es posible que vea un error:

Azure resource '/subscriptions/xxxx/resourcegroups/myGroup/providers/Microsoft.ContainerRegistry/registries/myRegistry' does not have access to identity 'xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx' Try forcibly adding the identity to the registry <registry name>. For more information on bring your own key, please visit 'https://aka.ms/acr/cmk'.

Tampoco puede cambiar (girar) la clave de cifrado. Los pasos de resolución dependen del tipo de identidad que se usa para el cifrado.

Eliminación de una identidad asignada por el usuario

Si recibe el error al intentar quitar una identidad asignada por el usuario, siga estos pasos:

1. Reasigne la identidad asignada por el usuario mediante el comando az acr identity assign.

2. Pase el id. de recurso de la identidad asignada por el usuario o use el nombre de la identidad cuando esté en el mismo grupo de recursos que el registro.

   Por ejemplo:

   az acr identity assign -n myRegistry \
       --identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"
   

3. Cambie la clave y asigne una identidad diferente.

4. Ahora, puede eliminar la identidad asignada por el usuario original.

Eliminación de una identidad asignada por el sistema

Si recibe el error al intentar quitar una identidad asignada por el sistema, cree una incidencia de soporte técnico de Azure para obtener ayuda para restaurar la identidad.

Error después de habilitar un firewall del almacén de claves

Si habilita una red virtual o un firewall del almacén de claves después de crear un registro cifrado, es posible que vea HTTP 403 u otros errores con la importación de imágenes o la rotación de claves automatizada. Para corregir este problema, vuelva a configurar la identidad administrada y la clave que usó inicialmente para el cifrado. Consulte los pasos descritos en Rotación de una clave administrada por el cliente.

Si el problema persiste, póngase en contacto con el servicio de soporte técnico de Azure.

Error de expiración de identidad

La identidad adjunta a un registro se configura para la renovación automática con el fin de evitar que expire. Si desasocia una identidad de un registro, se produce un mensaje de error que explica que no se puede quitar la identidad en uso para la CMK. Si se intenta quitar la identidad, se pone en peligro la renovación automática de la identidad. Las operaciones de extracción/inserción del artefacto funcionan hasta que expira la identidad (normalmente a los tres meses). Tras la expiración de la identidad, verá el error HTTP 403 con el siguiente mensaje de error: "La identidad asociada al registro está inactiva". Esto podría deberse a un intento de eliminación de la identidad. Reasigne manualmente la identidad".

Tiene que volver a asignar la identidad al registro de forma explícita.

1. Ejecute el comando az acr identity assign para reasignar la identidad manualmente.

   • Por ejemplo,

   az acr identity assign -n myRegistry \
   --identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"
   

Eliminación accidental de un almacén de claves o una clave

La eliminación del almacén de claves, o de la clave, que se usa para cifrar un registro con una clave administrada por el cliente hace que el contenido del registro sea inaccesible. Si la eliminación temporal está habilitada en el almacén de claves (la opción predeterminada), puede recuperar un almacén o un objeto del almacén de claves eliminados y reanudar las operaciones del Registro.

Pasos siguientes

Para ver los escenarios de eliminación y recuperación del almacén de claves, consulte Administración de la recuperación de Azure Key Vault con eliminación temporal y protección contra purga.