Uso de claves administradas por el cliente en Azure Key Vault para el servicio de importación y exportación

  • Artículo

Azure Import/Export protege las claves de BitLocker que se usan para bloquear las unidades mediante una clave de cifrado. De manera predeterminada, las claves de BitLocker se cifran con claves administradas por Microsoft. Para tener un mayor control sobre las claves de cifrado, puede proporcionar también claves administradas por el cliente.

Las claves administradas por el cliente se deben crear y almacenar en una instancia de Azure Key Vault. Para obtener más información sobre Azure Key Vault, consulte ¿Qué es Azure Key Vault?

En este artículo se muestra cómo usar las claves administradas por el cliente con el servicio Import/Export en Azure Portal.

Requisitos previos

Antes de comenzar, asegúrese de que:

  1. Ha creado un trabajo de importación o de exportación en función de las instrucciones de:

  2. Tiene una instancia existente de Azure Key Vault con una clave en ella, que puede usar para proteger su clave de BitLocker. Para obtener información sobre cómo crear un almacén de claves mediante Azure Portal, consulte Inicio rápido: Creación de una instancia de Azure Key Vault mediante Azure Portal.

    • Eliminación temporal y No purgar se han establecido en la instancia existente de Key Vault. Estas propiedades no están habilitadas de forma predeterminada. Para habilitar estas propiedades, consulte las secciones Habilitación de la eliminación temporal y Habilitación de la protección de purgas en cualquiera de los siguientes artículos:

    • El almacén de claves existente debe tener una clave RSA con un tamaño de 2048 o más. Para obtener más información sobre las claves, consulte Acerca de las claves.

    • El almacén de claves debe estar en la misma región que la cuenta de almacenamiento para los datos.

    • Si no tiene una instancia existente de Azure Key Vault, también puede crearla insertada, como se describe en la sección siguiente.

Habilitación de claves

La configuración de la clave administrada por el cliente para el servicio Import/Export es opcional. De forma predeterminada, el servicio Import/Export usa una clave administrada por Microsoft para proteger la clave de BitLocker. Para habilitar claves administradas del cliente en Azure Portal, siga estos pasos:

  1. Vaya a la hoja Información general del trabajo de importación.

  2. En el panel derecho, seleccione Elija cómo se cifran las claves de BitLocker.

    Screenshot of Overview blade for Azure Import/Export job. Overview menu item and link that opens BitLocker key options are highlighted.

  3. En la hoja Cifrado, puede ver y copiar la clave de BitLocker del dispositivo. En Tipo de cifrado, puede elegir cómo desea proteger la clave de BitLocker. De forma predeterminada, se usa una clave administrada por Microsoft.

    Screenshot of Encryption blade for an Azure Import/Export order. Encryption menu item is highlighted.

  4. Tiene la opción de especificar una clave administrada por el cliente. Después de seleccionar la clave administrada por el cliente, Seleccione un almacén de claves y una clave.

    Screenshot of Encryption blade for Azure Import/Export job.

  5. En la hoja Seleccionar clave en Azure Key Vault, la suscripción se rellena automáticamente. Para Almacén de claves, puede seleccionar un almacén de claves existente de la lista desplegable.

    Screenshot of the

  6. También puede seleccionar Crear nuevo para crear un nuevo almacén de claves. En la hoja Crear el almacén de claves, escriba el grupo de recursos y el nombre del almacén de claves. Acepte todos los otros valores predeterminados. Seleccione Revisar + crear.

    Screenshot of

  7. Revise la información asociada con el almacén de claves y seleccione Crear. Espere un par de minutos hasta que se complete la creación del almacén de claves.

    Screenshot of the Review Plus Create screen for a new Azure key vault. The Create button is highlighted.

  8. En la hoja Seleccionar clave en Azure Key Vault, puede seleccionar una clave del almacén de claves existente.

  9. Si creó un nuevo almacén de claves, seleccione Crear nuevo para crear una clave. El tamaño de la clave RSA puede ser de 2048 o superior.

    Screenshot of the

    Si la eliminación temporal y la protección de purga no están habilitadas al crear el almacén de claves, este se actualizará para que tenga habilitada la eliminación temporal y la protección de purga.

  10. Proporcione el nombre de la clave, acepte los otros valores predeterminados y seleccione Crear.

    Screenshot of the

  11. Seleccione la Versión y, a continuación, elija Seleccionar. Se le notificará que se ha creado una clave en el almacén de claves.

    Screenshot of the

En la hoja Cifrado, puede ver el almacén de claves y la clave seleccionados para la clave administrada por el cliente.

Importante

Solo puede deshabilitar las claves administradas por Microsoft y pasar a claves administradas por el cliente en cualquier fase del trabajo de importación y exportación. Sin embargo, no se puede deshabilitar la clave administrada por el cliente una vez que la ha creado.

Solución de errores de claves administradas por el cliente

Si recibe errores relacionados con la clave administrada por el cliente, use la tabla siguiente para solucionar los problemas:

Código de error Detalles ¿Recuperable?
CmkErrorAccessRevoked Se revoca el acceso a la clave que administra el cliente. Sí, compruebe si:
  1. Key Vault todavía tiene el MSI en la directiva de acceso.
  2. La directiva de acceso tiene habilitados los permisos Get, Wrap y Unwrap.
  3. Si el almacén de claves está en una red virtual detrás del firewall, compruebe si la opción Permitir servicios de confianza de Microsoft está habilitada.
  4. Compruebe si la característica MSI del recurso de trabajo se restableció en None mediante las API.
    Si es así, vuelva a establecer el valor en Identity = SystemAssigned. Esto vuelve a crear la identidad para el recurso de trabajo.
    Una vez creada la nueva identidad, habilite los permisos Get, Wrap y Unwrap en la identidad nueva de la directiva de acceso del almacén de claves.
CmkErrorKeyDisabled Se deshabilitó la clave administrada por el cliente. Sí, habilitando la versión de la clave.
CmkErrorKeyNotFound No se encuentra la clave administrada por el cliente. Sí, si la clave se ha eliminado, pero todavía está dentro de la duración de la purga, mediante Deshacer la eliminación de la clave del almacén de claves.
Más
  1. Sí, si el cliente tiene una copia de seguridad de la clave y la restaura.
  2. De lo contrario, no.
CmkErrorVaultNotFound No se encuentra el almacén de claves de la clave administrada por el cliente. Si se ha eliminado el almacén de claves:
  1. Sí, si está dentro de la duración de la protección de purga, con los pasos descritos en Recuperación de un almacén de claves.
  2. No, si está fuera de la duración de la protección de purga.

De lo contrario, si el almacén de claves se migró a otro inquilino, sí, se puede recuperar con uno de estos pasos:
  1. Revierta el almacén de claves de vuelta al inquilino anterior.
  2. Establezca Identity = None y, a continuación, vuelva a establecer el valor en Identity = SystemAssigned. Esto elimina y vuelve a crear la identidad una vez que se crea la identidad nueva. Habilite los permisos Get, Wrap y Unwrap a la identidad nueva en la directiva de acceso del almacén de claves.

Pasos siguientes