Ügyfél által felügyelt kulcsok konfigurálása az Azure Cosmos DB-fiókhoz az Azure Key Vault

A KÖVETKEZŐKRE VONATKOZIK: Nosql MongoDB Cassandra Gremlin Táblázat

Az Azure Cosmos DB-fiókban tárolt adatok automatikusan és zökkenőmentesen titkosítva lesznek a Microsoft által kezelt kulcsokkal (szolgáltatás által felügyelt kulcsokkal). Másik lehetőségként hozzáadhat egy második titkosítási réteget az Ön által kezelt kulcsokkal (ügyfél által felügyelt kulcsokkal vagy CMK-val ).

A titkosítás rétegei az ügyféladatok körül

Az ügyfél által felügyelt kulcsokat az Azure Key Vault kell tárolnia, és minden olyan Azure Cosmos DB-fiókhoz meg kell adnia egy kulcsot, amely engedélyezve van az ügyfél által felügyelt kulcsokkal. Ez a kulcs az adott fiókban tárolt összes adat titkosítására szolgál.

Megjegyzés

Jelenleg az ügyfél által felügyelt kulcsok csak az új Azure Cosmos DB-fiókokhoz érhetők el. A fiók létrehozásakor konfigurálnia kell őket.

Az Azure Cosmos DB-erőforrás-szolgáltató regisztrálása az Azure-előfizetéshez

  1. Jelentkezzen be a Azure Portal, lépjen az Azure-előfizetésére, és válassza az Erőforrás-szolgáltatók lehetőséget a Beállítások lapon:

    Erőforrás-szolgáltatók bejegyzése a bal oldali menüből

  2. Keresse meg a Microsoft. DocumentDB erőforrás-szolgáltató. Ellenőrizze, hogy az erőforrás-szolgáltató már regisztráltként van-e megjelölve. Ha nem, válassza ki az erőforrás-szolgáltatót, és válassza a Regisztráció lehetőséget:

    A Microsoft regisztrálása. DocumentDB erőforrás-szolgáltató

Az Azure Key Vault-példány konfigurálása

Fontos

Az Azure Key Vault-példánynak nyilvános hálózati hozzáféréssel kell elérhetőnek lennie, vagy engedélyeznie kell a megbízható Microsoft szolgáltatások számára a tűzfal megkerülését. A kizárólag privát végpontokon keresztül elérhető példányok nem használhatók az ügyfél által felügyelt kulcsok üzemeltetésére.

Ha ügyfél által felügyelt kulcsokat használ az Azure Cosmos DB-vel, két tulajdonságot kell beállítania az Azure Key Vault-példányon, amelyeket a titkosítási kulcsok üzemeltetésére kíván használni: Helyreállítható törlés és törlés elleni védelem.

Ha új Azure Key Vault-példányt hoz létre, engedélyezze ezeket a tulajdonságokat a létrehozás során:

Helyreállítható törlési és törlési védelem engedélyezése egy új Azure Key Vault-példányhoz

Ha meglévő Azure Key Vault-példányt használ, a tulajdonságok engedélyezését a Azure Portal Tulajdonságok szakaszában ellenőrizheti. Ha ezen tulajdonságok bármelyike nincs engedélyezve, tekintse meg a következő cikkek "Helyreállítható törlés engedélyezése" és "Végleges törlés elleni védelem engedélyezése" című szakaszát:

Hozzáférési szabályzat hozzáadása az Azure Key Vault-példányhoz

  1. A Azure Portal lépjen arra az Azure Key Vault-példányra, amelyet a titkosítási kulcsok üzemeltetésére kíván használni. A bal oldali menüben válassza a Hozzáférési szabályzatok lehetőséget:

    Hozzáférési szabályzatok a bal oldali menüből

  2. Válassza a + Hozzáférési szabályzat hozzáadása lehetőséget.

  3. A Kulcsengedélyek legördülő menüben válassza a Kulcs lekérése, a Kulcs kibontása és a Kulcs körbefuttatása engedélyek elemet:

    A megfelelő engedélyek kiválasztása

  4. Az Egyszerű kiválasztása területen válassza a Nincs kijelölve lehetőséget.

  5. Keresse meg az Azure Cosmos DB-tagot, és válassza ki (a könnyebb keresés érdekében az alkalmazásazonosító alapján is kereshet: a232010e-820c-4083-83bb-3ace5fc29d0b bármely Azure-régióban, kivéve Azure Government olyan régiókat, ahol az alkalmazásazonosító ).57506a73-e302-42a9-b869-6f12d9ec29e9 Ha az Azure Cosmos DB-tag nem szerepel a listában, előfordulhat, hogy újra regisztrálnia kell a Microsoft. DocumentDB erőforrás-szolgáltató a cikk Erőforrás-szolgáltató regisztrálása szakaszában leírtak szerint.

    Megjegyzés

    Ez regisztrálja az Azure Cosmos DB belső identitását az Azure Key Vault hozzáférési szabályzatában. Ha ezt a belső identitást az Azure Cosmos DB-fiók felügyelt identitására szeretné cserélni, olvassa el a Felügyelt identitás használata az Azure Key Vault hozzáférési szabályzatában című témakört.

  6. Válassza a Kiválasztás elemet az alján.

    Válassza ki az Azure Cosmos DB-tagot

  7. Válassza a Hozzáadás lehetőséget az új hozzáférési szabályzat hozzáadásához.

  8. Az összes módosítás mentéséhez válassza a Mentés lehetőséget a Key Vault példányon.

Kulcs létrehozása az Azure Key Vault

  1. A Azure Portal lépjen a titkosítási kulcsok üzemeltetéséhez használni kívánt Azure Key Vault-példányra. Ezután válassza a bal oldali menü Kulcsok elemét:

    Kulcsok bejegyzése a bal oldali menüből

  2. Válassza a Létrehozás/importálás lehetőséget, adja meg az új kulcs nevét, majd válasszon egy RSA-kulcsméretet. A legjobb biztonság érdekében legalább 3072 ajánlott. Ezután válassza a Létrehozás lehetőséget:

    Új kulcs létrehozása

  3. A kulcs létrehozása után válassza ki az újonnan létrehozott kulcsot, majd annak aktuális verzióját.

  4. Másolja ki a kulcs kulcsazonosítóját, kivéve az utolsó perjel utáni részt:

    A kulcs kulcsazonosítójának másolása

Új Azure Cosmos DB-fiók létrehozása

Az Azure Portal használata

Amikor új Azure Cosmos DB-fiókot hoz létre a Azure Portal, válassza az Ügyfél által felügyelt kulcsot a Titkosítás lépésben. A Kulcs URI mezőjébe illessze be az Előző lépésből másolt Azure Key Vault kulcs URI/kulcsazonosítóját:

CMK-paraméterek beállítása a Azure Portal

Az Azure PowerShell használata

Amikor új Azure Cosmos DB-fiókot hoz létre a PowerShell-lel:

  • Adja át a PropertyObjectkeyVaultKeyUri tulajdonsága alatt korábban másolt Azure Key Vault kulcs URI-ját.

  • Használja a 2019-12-12-es vagy újabb verziót API-verzióként.

Fontos

A tulajdonságot explicit módon kell beállítania locations ahhoz, hogy a fiók sikeresen létrejönjön az ügyfél által felügyelt kulcsokkal.

$resourceGroupName = "myResourceGroup"
$accountLocation = "West US 2"
$accountName = "mycosmosaccount"

$failoverLocations = @(
    @{ "locationName"="West US 2"; "failoverPriority"=0 }
)

$CosmosDBProperties = @{
    "databaseAccountOfferType"="Standard";
    "locations"=$failoverLocations;
    "keyVaultKeyUri" = "https://<my-vault>.vault.azure.net/keys/<my-key>";
}

New-AzResource -ResourceType "Microsoft.DocumentDb/databaseAccounts" `
    -ApiVersion "2019-12-12" -ResourceGroupName $resourceGroupName `
    -Location $accountLocation -Name $accountName -PropertyObject $CosmosDBProperties

A fiók létrehozása után az Azure Key Vault kulcs URI-jának beolvasásával ellenőrizheti, hogy engedélyezve lettek-e az ügyfél által felügyelt kulcsok:

Get-AzResource -ResourceGroupName $resourceGroupName -Name $accountName `
    -ResourceType "Microsoft.DocumentDb/databaseAccounts" `
    | Select-Object -ExpandProperty Properties `
    | Select-Object -ExpandProperty keyVaultKeyUri

Azure Resource Manager-sablon használata

Amikor új Azure Cosmos DB-fiókot hoz létre egy Azure Resource Manager sablonon keresztül:

  • Adja át a tulajdonságobjektumkeyVaultKeyUri tulajdonsága alatt korábban másolt Azure Key Vault kulcs URI-ját.

  • Használja a 2019-12-12-es vagy újabb verziót API-verzióként.

Fontos

A tulajdonságot explicit módon kell beállítania locations ahhoz, hogy a fiók sikeresen létrejönjön az ügyfél által felügyelt kulcsokkal.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {
        "accountName": {
            "type": "string"
        },
        "location": {
            "type": "string"
        },
        "keyVaultKeyUri": {
            "type": "string"
        }
    },
    "resources": 
    [
        {
            "type": "Microsoft.DocumentDB/databaseAccounts",
            "name": "[parameters('accountName')]",
            "apiVersion": "2019-12-12",
            "kind": "GlobalDocumentDB",
            "location": "[parameters('location')]",
            "properties": {
                "locations": [ 
                    {
                        "locationName": "[parameters('location')]",
                        "failoverPriority": 0,
                        "isZoneRedundant": false
                    }
                ],
                "databaseAccountOfferType": "Standard",
                "keyVaultKeyUri": "[parameters('keyVaultKeyUri')]"
            }
        }
    ]
}

Helyezze üzembe a sablont a következő PowerShell-szkripttel:

$resourceGroupName = "myResourceGroup"
$accountName = "mycosmosaccount"
$accountLocation = "West US 2"
$keyVaultKeyUri = "https://<my-vault>.vault.azure.net/keys/<my-key>"

New-AzResourceGroupDeployment `
    -ResourceGroupName $resourceGroupName `
    -TemplateFile "deploy.json" `
    -accountName $accountName `
    -location $accountLocation `
    -keyVaultKeyUri $keyVaultKeyUri

Az Azure CLI-vel

Amikor új Azure Cosmos DB-fiókot hoz létre az Azure CLI-vel, adja át a paraméter alatt --key-uri korábban másolt Azure Key Vault kulcs URI-ját.

resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'
keyVaultKeyUri = 'https://<my-vault>.vault.azure.net/keys/<my-key>'

az cosmosdb create \
    -n $accountName \
    -g $resourceGroupName \
    --locations regionName='West US 2' failoverPriority=0 isZoneRedundant=False \
    --key-uri $keyVaultKeyUri

A fiók létrehozása után az Azure Key Vault kulcs URI-jának beolvasásával ellenőrizheti, hogy engedélyezve lettek-e az ügyfél által felügyelt kulcsok:

az cosmosdb show \
    -n $accountName \
    -g $resourceGroupName \
    --query keyVaultKeyUri

Felügyelt identitás használata az Azure Key Vault hozzáférési szabályzatában

Ez a hozzáférési szabályzat biztosítja, hogy a titkosítási kulcsok elérhetők legyenek az Azure Cosmos DB-fiókban. A hozzáférési szabályzat egy adott Azure Active Directory- (AD-) identitáshoz való hozzáférés biztosításával valósítható meg. Az identitások két típusa támogatott:

  • Az Azure Cosmos DB belső identitásával hozzáférést biztosíthat az Azure Cosmos DB szolgáltatáshoz.
  • Az Azure Cosmos DB-fiók felügyelt identitása kifejezetten a fiókhoz való hozzáférés megadására használható.

Rendszer által hozzárendelt felügyelt identitás használata

Mivel a rendszer által hozzárendelt felügyelt identitást csak a fiók létrehozása után lehet lekérni, továbbra is létre kell hoznia a fiókját a fent leírtak szerint a belső identitás használatával. Ezután:

  1. Ha a rendszer által hozzárendelt felügyelt identitás nincs konfigurálva a fiók létrehozásakor, engedélyezze a rendszer által hozzárendelt felügyelt identitást a fiókjában, és másolja ki a principalId hozzárendelt identitást.

  2. Adjon hozzá egy új hozzáférési szabályzatot az Azure Key Vault-fiókjához a fent leírtak szerint, de az principalId előző lépésben másolt házirendet használja az Azure Cosmos DB belső identitása helyett.

  3. Frissítse az Azure Cosmos DB-fiókját, és adja meg, hogy a rendszer által hozzárendelt felügyelt identitást szeretné használni a titkosítási kulcsok elérésekor az Azure Key Vault. Erre két lehetősége van:

    • Adja meg a tulajdonságot a fiók Azure Resource Manager-sablonjában:

      {
          "type": " Microsoft.DocumentDB/databaseAccounts",
          "properties": {
              "defaultIdentity": "SystemAssignedIdentity",
              // ...
          },
          // ...
      }
      
    • Frissítse fiókját az Azure CLI-vel:

          resourceGroupName='myResourceGroup'
          accountName='mycosmosaccount'
      
          az cosmosdb update --resource-group $resourceGroupName --name $accountName --default-identity "SystemAssignedIdentity"
      
  4. Ha szeretné, eltávolíthatja az Azure Cosmos DB belső identitását az Azure Key Vault hozzáférési szabályzatából.

Felhasználó által hozzárendelt felügyelt identitás használata

  1. Amikor a fent leírt módon hozza létre az új hozzáférési szabályzatot az Azure Key Vault-fiókjában, az Azure Cosmos DB belső identitása helyett használja a Object ID használni kívánt felügyelt identitást.

  2. Az Azure Cosmos DB-fiók létrehozásakor engedélyeznie kell a felhasználó által hozzárendelt felügyelt identitást, és meg kell adnia, hogy ezt az identitást szeretné használni az Azure Key Vault titkosítási kulcsainak elérésekor. A lehetőségek a következők:

    • Azure Resource Manager-sablon használata:

      {
          "type": "Microsoft.DocumentDB/databaseAccounts",
          "identity": {
              "type": "UserAssigned",
              "userAssignedIdentities": {
                  "<identity-resource-id>": {}
              }
          },
          // ...
          "properties": {
              "defaultIdentity": "UserAssignedIdentity=<identity-resource-id>",
              "keyVaultKeyUri": "<key-vault-key-uri>"
              // ...
          }
      }
      
    • Az Azure CLI használata:

      resourceGroupName='myResourceGroup'
      accountName='mycosmosaccount'
      keyVaultKeyUri = 'https://<my-vault>.vault.azure.net/keys/<my-key>'
      
      az cosmosdb create \
          -n $accountName \
          -g $resourceGroupName \
          --key-uri $keyVaultKeyUri
          --assign-identity <identity-resource-id>
          --default-identity "UserAssignedIdentity=<identity-resource-id>"  
      

A CMK használata folyamatos biztonsági mentéssel

Folyamatos biztonsági mentési fiókot az Azure CLI vagy egy Azure Resource Manager sablon használatával hozhat létre.

Jelenleg csak a felhasználó által hozzárendelt felügyelt identitások támogatottak a folyamatos biztonsági mentési fiókok létrehozásához.

Folyamatos biztonsági mentési fiók létrehozása az Azure CLI használatával

resourceGroupName='myResourceGroup'
accountName='mycosmosaccount'
keyVaultKeyUri = 'https://<my-vault>.vault.azure.net/keys/<my-key>'

az cosmosdb create \
    -n $accountName \
    -g $resourceGroupName \
    --key-uri $keyVaultKeyUri \
    --locations regionName=<Location> \
    --assign-identity <identity-resource-id> \
    --default-identity "UserAssignedIdentity=<identity-resource-id>" \
    --backup-policy-type Continuous 

Folyamatos biztonsági mentési fiók létrehozása Azure Resource Manager-sablonnal

Amikor új Azure Cosmos DB-fiókot hoz létre egy Azure Resource Manager-sablonon keresztül:

  • Adja át a korábban a properties objektum keyVaultKeyUri tulajdonsága alá másolt Azure Key Vault kulcs URI-ját.
  • Api-verzióként használja a 2021-11-15-ös vagy újabb verziót.

Fontos

A tulajdonságot explicit módon kell beállítania locations ahhoz, hogy a fiók sikeresen létre legyen hozva ügyfél által kezelt kulcsokkal, ahogy az előző példában is látható.

 {
    "type": "Microsoft.DocumentDB/databaseAccounts",
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "<identity-resource-id>": {}
        }
    },
    // ...
    "properties": {
        "backupPolicy": { "type": "Continuous" },
        "defaultIdentity": "UserAssignedIdentity=<identity-resource-id>",
        "keyVaultKeyUri": "<key-vault-key-uri>"
        // ...
    }
}

Ügyfél által kezelt kulcsok és dupla titkosítás

Az Ügyfél által felügyelt kulcsok használatakor az Azure Cosmos DB-fiókban tárolt adatok kétszer lesznek titkosítva:

  • A Microsoft által felügyelt kulcsokkal végrehajtott alapértelmezett titkosítást követően.
  • Egyszer az ügyfél által felügyelt kulcsokkal végrehajtott extra titkosításon keresztül.

A dupla titkosítás csak a fő Azure Cosmos DB tranzakciós tárolóra vonatkozik. Egyes funkciók magukban foglalják az adatok belső replikálását egy második tárolási szintre, ahol nincs biztosítva kettős titkosítás, még az ügyfél által felügyelt kulcsokkal sem. Ezek a funkciók a következők:

Kulcsrotálás

Az Azure Cosmos DB-fiók által használt ügyfél által kezelt kulcs rotálása kétféleképpen végezhető el.

  • Hozza létre az Azure-ból jelenleg használt kulcs új verzióját Key Vault:

    Képernyőkép az új verzió lehetőségről a Azure Portal Verziók lapján.

  • Cserélje le a jelenleg használt kulcsot egy másikkal a fiók kulcs URI-jának frissítésével. A Azure Portal lépjen az Azure Cosmos DB-fiókjába, és válassza az Adattitkosítás lehetőséget a bal oldali menüben:

    Képernyőkép a Azure Portal Adattitkosítás menüpontról.

    Ezután cserélje le a kulcs URI-ját a használni kívánt új kulcsra, majd válassza a Mentés lehetőséget:

    Képernyőkép a Mentés lehetőségről a Azure Portal Kulcs lapján.

    Így érheti el ugyanezt az eredményt a PowerShellben:

    $resourceGroupName = "myResourceGroup"
    $accountName = "mycosmosaccount"
    $newKeyUri = "https://<my-vault>.vault.azure.net/keys/<my-new-key>"
    
    $account = Get-AzResource -ResourceGroupName $resourceGroupName -Name $accountName `
        -ResourceType "Microsoft.DocumentDb/databaseAccounts"
    
    $account.Properties.keyVaultKeyUri = $newKeyUri
    
    $account | Set-AzResource -Force
    

Az előző kulcs- vagy kulcsverzió le van tiltva, miután az Azure Key Vault auditnaplókban már nem jelenik meg az Azure Cosmos DB azon a kulcs- vagy kulcsverzión végzett tevékenysége. 24 óra kulcsváltás után nem szabad több tevékenységet végezni az előző kulcson vagy kulcsverzión.

Hibakezelés

Ha az Azure Cosmos DB ügyfél által felügyelt kulcsaival kapcsolatos hibák merülnek fel, az Azure Cosmos DB a hiba részleteit és egy HTTP-alállapotkódot adja vissza a válaszban. A HTTP-alállapotkóddal hibakeresést végezhet a probléma kiváltó okán. A támogatott HTTP-alállapotkódok listájának megtekintéséhez tekintse meg az Azure Cosmos DB HTTP-állapotkódjait ismertető cikket.

Gyakori kérdések

Vannak további díjak az ügyfél által felügyelt kulcsok engedélyezéséhez?

Nem, a funkció engedélyezése díjmentes.

Hogyan befolyásolják az ügyfél által kezelt kulcsok a kapacitástervezést?

Az adatbázis-műveletek által felhasznált kérelemegységek növekedése azt jelzi, hogy az ügyfél által felügyelt kulcsok használata esetén az adatok titkosításához és visszafejtéséhez szükséges további feldolgozásra van szükség. Az extra kérelemegység-használat a kiosztott kapacitás valamivel magasabb kihasználtságához vezethet. Útmutatásért használja az alábbi táblázatot:

Művelettípus Kérelemegység növelése
Pontolvasások (elemek beolvasása az azonosítójuk alapján) + 5% műveletenként
Bármilyen írási művelet + 6% műveletenként
Indexelt tulajdonságonként körülbelül + 0,06 RU
Lekérdezések, változáscsatorna olvasása vagy ütközéscsatorna + 15% műveletenként

Milyen adatok lesznek titkosítva az ügyfél által kezelt kulcsokkal?

Az Azure Cosmos DB-fiókban tárolt összes adat az ügyfél által kezelt kulcsokkal van titkosítva, a következő metaadatok kivételével:

Támogatottak az ügyfél által kezelt kulcsok a meglévő Azure Cosmos DB-fiókok esetében?

Ez a funkció jelenleg csak új fiókokhoz érhető el.

Lehetséges az ügyfél által felügyelt kulcsok használata az Azure Cosmos DB elemzési tárával?

Igen, Azure Synapse Link csak az Azure Cosmos DB-fiók felügyelt identitásával támogatja az ügyfél által felügyelt kulcsok konfigurálását. A Azure Synapse Link engedélyezése előtt az Azure Cosmos DB-fiók felügyelt identitását kell használnia az Azure Key Vault hozzáférési szabályzatában. A felügyelt identitás engedélyezésével és hozzáférési szabályzatban való használatával kapcsolatos útmutatóért lásd: Azure Key Vault elérése az Azure Cosmos DB-ből felügyelt identitás használatával.

Létezik olyan terv, amely a fiókszintű kulcsoknál finomabb részletességet támogat?

Jelenleg nem, de a tárolószintű kulcsok figyelembevétele folyamatban van.

Hogyan állapíthatom meg, hogy az ügyfél által kezelt kulcsok engedélyezve vannak-e az Azure Cosmos DB-fiókomban?

A Azure Portal lépjen az Azure Cosmos DB-fiókjába, és figyelje meg az Adattitkosítás bejegyzést a bal oldali menüben. Ha ez a bejegyzés létezik, az ügyfél által kezelt kulcsok engedélyezve vannak a fiókjában:

Az Adattitkosítás menübejegyzés

Az Azure Cosmos DB-fiók adatait programozott módon is lekérheti, és megkeresheti a keyVaultKeyUri tulajdonság jelenlétét. A powershell-lel és az Azure CLI használatával kapcsolatos lehetőségekért lásd fentebb.

Hogyan befolyásolják az ügyfél által kezelt kulcsok az időszakos biztonsági mentéseket?

Az Azure Cosmos DB rendszeres és automatikus biztonsági másolatot készít a fiókjában tárolt adatokról. Ez a művelet biztonsági másolatot készít a titkosított adatokról.

Az időszakos biztonsági mentés sikeres visszaállításához a következő feltételek szükségesek:

  • A biztonsági mentéskor használt titkosítási kulcs szükséges, és elérhetőnek kell lennie az Azure Key Vault. Ehhez a feltételhez nem szükséges visszavonás, és a biztonsági mentéskor használt kulcs verziója továbbra is engedélyezve van.
  • Ha rendszer által hozzárendelt felügyelt identitást használt a hozzáférési szabályzatban, ideiglenesen adjon hozzáférést az Azure Cosmos DB belső identitásához az adatok visszaállítása előtt. Ez a követelmény azért van, mert a rendszer által hozzárendelt felügyelt identitás egy fiókra jellemző, és nem használható fel újra a célfiókban. Miután az adatok teljes mértékben visszaálltak a célfiókra, beállíthatja a kívánt identitáskonfigurációt, és eltávolíthatja a belső identitást a Key Vault hozzáférési szabályzatból.

Hogyan befolyásolják az ügyfél által felügyelt kulcsok a folyamatos biztonsági mentéseket?

Az Azure Cosmos DB lehetővé teszi a folyamatos biztonsági mentések konfigurálását a fiókjában. A folyamatos biztonsági mentésekkel az elmúlt 30 nap bármely időpontjára visszaállíthatja az adatokat. Ha folyamatos biztonsági mentést szeretne használni egy olyan fiókon, ahol az ügyfél által felügyelt kulcsok engedélyezve vannak, felhasználó által hozzárendelt felügyelt identitást kell használnia a Key Vault hozzáférési szabályzatban. Az Azure Cosmos DB belső identitásai vagy a rendszer által hozzárendelt felügyelt identitások jelenleg nem támogatottak a folyamatos biztonsági mentést használó fiókok esetében.

Az időponthoz kötött visszaállítás sikeres végrehajtásához a következő feltételek szükségesek:

  • A biztonsági mentéskor használt titkosítási kulcs szükséges, és elérhetőnek kell lennie az Azure Key Vault. Ez a követelmény azt jelenti, hogy nem történt visszavonás, és a biztonsági mentéskor használt kulcs verziója továbbra is engedélyezve van.
  • Győződjön meg arról, hogy a forrásfiókban eredetileg használt felhasználó által hozzárendelt felügyelt identitás továbbra is deklarálva van a Key Vault hozzáférési szabályzatban.

Fontos

Ha a fiók törlése előtt visszavonja a titkosítási kulcsot, előfordulhat, hogy a fiók biztonsági másolata nem veszi figyelembe a visszavonás előtt 1 órával írt adatokat.

Hogyan visszavonni egy titkosítási kulcsot?

A kulcs visszavonásához tiltsa le a kulcs legújabb verzióját:

Kulcs verziójának letiltása

Ha egy Azure Key Vault-példány összes kulcsát vissza szeretné vonni, törölheti az Azure Cosmos DB-tagnak biztosított hozzáférési szabályzatot:

Az Azure Cosmos DB-rendszernév hozzáférési szabályzatának törlése

Milyen műveletek érhetők el az ügyfél által felügyelt kulcs visszavonása után?

A titkosítási kulcs visszavonása esetén az egyetlen lehetséges művelet a fiók törlése.

Következő lépések