Ügyfél által felügyelt kulcsok konfigurálása az Azure NetApp Files kötettitkosításához

Az Azure NetApp Files mennyiségi titkosításának ügyfél által felügyelt kulcsai lehetővé teszik, hogy platform által felügyelt kulcs helyett saját kulcsokat használjon új kötetek létrehozásakor. Az ügyfél által felügyelt kulcsokkal teljes mértékben kezelheti a kulcs életciklusa, a kulcshasználati engedélyek és a kulcsok naplózási műveletei közötti kapcsolatot.

Az alábbi ábra bemutatja, hogyan működnek az ügyfél által felügyelt kulcsok az Azure NetApp Filesszal:

1. Az Azure NetApp Files engedélyeket ad a felügyelt identitás titkosítási kulcsaihoz. A felügyelt identitás egy felhasználó által hozzárendelt felügyelt identitás, amelyet Ön hoz létre és kezel, vagy a NetApp-fiókhoz társított rendszer által hozzárendelt felügyelt identitás.

2. A titkosítást ügyfél által felügyelt kulccsal konfigurálhatja a NetApp-fiókhoz.

3. Azt a felügyelt identitást használja, amelyhez az Azure Key Vault rendszergazdája engedélyt adott az 1. lépésben az Azure Key Vaulthoz való hozzáférés Microsoft Entra-azonosítón keresztüli hitelesítéséhez.

4. Az Azure NetApp Files a fióktitkosítási kulcsot az ügyfél által felügyelt kulccsal burkolja az Azure Key Vaultban.

   Az ügyfél által felügyelt kulcsok nincsenek hatással az Azure NetApp Files teljesítményére. Az egyetlen különbség a platform által felügyelt kulcsoktól a kulcs kezelése.

5. Olvasási/írási műveletek esetén az Azure NetApp Files kéréseket küld az Azure Key Vaultnak a fiók titkosítási kulcsának feloldásához a titkosítási és visszafejtési műveletek végrehajtásához.

Megfontolások

• Az ügyfél által felügyelt kulcsok csak új köteteken konfigurálhatók. A meglévő kötetek nem migrálhatók az ügyfél által felügyelt kulcstitkosításba.
• Ha ügyfél által felügyelt kulcsokkal szeretne kötetet létrehozni, ki kell választania a Standard hálózati funkciókat. Az ügyfél által felügyelt kulcskötetek nem használhatók alapszintű hálózati funkciókkal konfigurált kötettel. Kövesse az utasításokat a Hálózati szolgáltatások beállítás beállításához a kötetlétrehozás lapon.
• A nagyobb biztonság érdekében válassza a Nyilvános hozzáférés letiltása lehetőséget a kulcstartó hálózati beállításai között. Ha ezt a lehetőséget választja, a tűzfal megkerüléséhez a megbízható Microsoft-szolgáltatások engedélyezése lehetőséget is meg kell adnia, hogy az Azure NetApp Files szolgáltatás hozzáférhessen a titkosítási kulcshoz.
• Az ügyfél által felügyelt kulcsok támogatják az MSI-tanúsítványok automatikus megújítását. Ha a tanúsítvány érvényes, nem kell manuálisan frissítenie.
• Az Azure NetApp Files ügyfél által felügyelt kulcsai nem támogatják az Azure-hálózati biztonsági csoportokat a privát kapcsolat alhálózatán az Azure Key Vaultra. A hálózati biztonsági csoportok csak akkor befolyásolják a privát kapcsolattal való kapcsolatot, ha Private endpoint network policy engedélyezve vannak az alhálózaton. Ezt a beállítást le kell tiltani.
• Ha az Azure NetApp Files nem tud ügyfél által felügyelt kulcskötetet létrehozni, hibaüzenetek jelennek meg. További információért tekintse meg a Hibaüzenetek és hibaelhárítás szakaszt .
• Ha az Azure Key Vault elérhetetlenné válik, az Azure NetApp Files elveszíti a titkosítási kulcsokhoz való hozzáférését, valamint az adatok olvasási és írási képességét az ügyfél által kezelt kulcsokkal engedélyezett kötetekre. Ebben az esetben hozzon létre egy támogatási jegyet, amely manuálisan visszaállítja a hozzáférést az érintett kötetekhez.
• Az Azure NetApp Files támogatja az ügyfél által felügyelt kulcsokat a forrás- és adatreplikációs köteteken régiók közötti replikációval vagy zónák közötti replikációs kapcsolatokkal.

Támogatott régiók

Az Azure NetApp Files ügyfél által felügyelt kulcsai a következő régiókban támogatottak:

• Ausztrália középső régiója
• Ausztrália 2. középső régiója
• Kelet-Ausztrália
• Délkelet-Ausztrália
• Dél-Brazília
• Délkelet-Brazília
• Közép-Kanada
• Kelet-Kanada
• Közép-India
• Az USA középső régiója
• Kelet-Ázsia
• USA keleti régiója
• USA 2. keleti régiója
• Közép-Franciaország
• Észak-Németország
• Középnyugat-Németország
• Kelet-Japán
• Nyugat-Japán
• Dél-Korea középső régiója
• Dél-Korea déli régiója
• USA északi középső régiója
• Észak-Európa
• Kelet-Norvégia
• Nyugat-Norvégia
• Közép-Katar
• Dél-Afrika északi régiója
• USA déli középső régiója
• Dél-India
• Délkelet-Ázsia
• Közép-Svédország
• Észak-Svájc
• Nyugat-Svájc
• Egyesült Arab Emírségek középső régiója
• Egyesült Arab Emírségek északi régiója
• Az Egyesült Királyság déli régiója
• Az Egyesült Királyság nyugati régiója
• Nyugat-Európa
• USA nyugati régiója
• USA 2. nyugati régiója
• USA 3. nyugati régiója

Követelmények

Az első ügyfél által felügyelt kulcskötet létrehozása előtt be kell állítania a következőt:

• Legalább egy kulcsot tartalmazó Azure Key Vault.
  • A kulcstartónak engedélyezve kell lennie a helyreállítható törlési és törlési védelemnek.
  • A kulcsnak RSA típusúnak kell lennie.
• A kulcstartónak azure-beli privát végpontot kell tartalmaznia.
  • A privát végpontnak az Azure NetApp Fileshoz delegált alhálózattól eltérő alhálózaton kell lennie. Az alhálózatnak ugyanabban a virtuális hálózaton kell lennie, mint az Azure NetAppba delegáltnak.

Az Azure Key Vaultról és az Azure Private Endpointről az alábbiakban talál további információt:

• Rövid útmutató: Kulcstartó létrehozása
• Kulcs létrehozása vagy importálása a tárolóba
• Privát végpont létrehozása
• További információ a kulcsokról és a támogatott kulcstípusokról
• Hálózati biztonsági csoportok
• Hálózati szabályzatok kezelése privát végpontokhoz

NetApp-fiók konfigurálása ügyfél által felügyelt kulcsok használatára

Portál

1. Az Azure Portalon és az Azure NetApp Files alatt válassza a Titkosítás lehetőséget.

   A Titkosítás lap lehetővé teszi a NetApp-fiók titkosítási beállításainak kezelését. Lehetővé teszi, hogy a NetApp-fiókját saját titkosítási kulcs használatára állítsa be, amelyet az Azure Key Vault tárol. Ez a beállítás egy rendszer által hozzárendelt identitást biztosít a NetApp-fiókhoz, és hozzáad egy hozzáférési szabályzatot az identitáshoz a szükséges kulcsengedélyekkel.

   

2. Ha a NetApp-fiókját ügyfél által felügyelt kulcs használatára állítja be, kétféleképpen adhatja meg a kulcs URI-ját:

   • A Kiválasztás a kulcstartóból beállítással kiválaszthat egy kulcstartót és egy kulcsot.

   • Az Enter billentyű URI-ja lehetővé teszi a kulcs URI manuális megadását.

3. Válassza ki az Azure Key Vaulton való hitelesítéshez használni kívánt identitástípust. Ha az Azure Key Vault úgy van konfigurálva, hogy a Tároló hozzáférési szabályzatát használja engedélymodellként, mindkét lehetőség elérhető. Ellenkező esetben csak a felhasználó által hozzárendelt beállítás érhető el.

   • Ha a Rendszer által hozzárendelt lehetőséget választja, válassza a Mentés gombot. Az Azure Portal automatikusan konfigurálja a NetApp-fiókot a következő eljárással: A rendszer által hozzárendelt identitás hozzáadódik a NetApp-fiókhoz. Hozzáférési szabályzatot kell létrehozni az Azure Key Vaultban a Get, Encrypt, Decrypt kulcsengedélyekkel.

   

   • Ha a Felhasználó által hozzárendelt lehetőséget választja, ki kell választania egy identitást. Az Identitás kiválasztása lehetőséget választva megnyithat egy környezeti panelt, ahol kiválaszt egy felhasználó által hozzárendelt felügyelt identitást.

   

   Ha konfigurálta az Azure Key Vaultot a Vault hozzáférési szabályzatának használatára, az Azure Portal automatikusan konfigurálja a NetApp-fiókot a következő folyamattal: A felhasználó által hozzárendelt identitás, amelyet kiválasztott, hozzáadódik a NetApp-fiókhoz. Hozzáférési szabályzat jön létre az Azure Key Vaultban a Get, Encrypt, Decrypt kulcsengedélyekkel.

   Ha úgy konfigurálta az Azure Key Vaultot, hogy azure-beli szerepköralapú hozzáférés-vezérlést használjon, akkor meg kell győződnie arról, hogy a kiválasztott felhasználó által hozzárendelt identitás rendelkezik szerepkör-hozzárendeléssel a kulcstartóban a műveletekhez szükséges engedélyekkel:

   • Microsoft.KeyVault/vaults/keys/read
   • Microsoft.KeyVault/vaults/keys/encrypt/action
   • Microsoft.KeyVault/vaults/keys/decrypt/action A kiválasztott felhasználó által hozzárendelt identitás hozzá lesz adva a NetApp-fiókjához. A szerepköralapú hozzáférés-vezérlés (RBAC) testreszabható jellege miatt az Azure Portal nem konfigurálja a kulcstartóhoz való hozzáférést. Az Azure Key Vault konfigurálásával kapcsolatos részletekért tekintse meg a Key Vault kulcsainak, tanúsítványainak és titkos kulcsainak hozzáférését azure-beli szerepköralapú hozzáférés-vezérléssel .

4. Válassza a Mentés lehetőséget, majd figyelje meg a művelet állapotát jelző értesítést. Ha a művelet nem sikerült, hibaüzenet jelenik meg. A hiba elhárításához tekintse meg a hibaüzeneteket és a hibaelhárítást.

Azure CLI

A NetApp-fiók ügyfél által felügyelt kulcsokkal való konfigurálása az Azure CLI-vel függ attól, hogy rendszer által hozzárendelt identitást vagy felhasználó által hozzárendelt identitást használ-e.

Rendszer által hozzárendelt identitás használata

1. Frissítse NetApp-fiókját egy rendszer által hozzárendelt identitás használatára.

   az netappfiles account update \
       --name <account_name> \
       --resource-group <resource_group> \
       --identity-type SystemAssigned
   

2. Hozzáférési szabályzat használatához hozzon létre egy változót, amely tartalmazza a fiók identitásának egyszerű azonosítóját, majd futtassa az keyvault set-policy és rendelje hozzá a "Get", a "Encrypt" és a "Decrypt" engedélyeket.

   netapp_account_principal=$(az netappfiles account show \
       --name <account_name> \
       --resource-group <resource_group> \
       --query identity.principalId \
       --output tsv)
   
   az keyvault set-policy \
       --name <key_vault_name> \
       --resource-group <resource-group> \
       --object-id $netapp_account_principal \
       --key-permissions get encrypt decrypt
   

3. Frissítse a NetApp-fiókot a kulcstartóval.

   key_vault_uri=$(az keyvault show \
       --name <key-vault> \
       --resource-group <resource_group> \
       --query properties.vaultUri \
       --output tsv)
   az netappfiles account update --name <account_name> \  
       --resource-group <resource_group> \
       --key-source Microsoft.Keyvault \
       --key-vault-uri $key_vault_uri \
       --key-name <key>
   

Új felhasználó által hozzárendelt identitás használata

1. Hozzon létre egy új, felhasználó által hozzárendelt identitást.

   az identity create \
       --name <identity_name> \
       --resource-group <resource_group>
   

2. Állítson be egy hozzáférési szabályzatot a kulcstartóhoz.

   user_assigned_identity_principal=$(az identity show \
       --name <identity_name> \
       --resource-group <resource_group> \
       --query properties.principalId \
       -output tsv)
   az keyvault set-policy \
       --name <key_vault_name> \
       --resource-group <resource-group> \
       --object-id $user_assigned_identity_principal \
       --key-permissions get encrypt decrypt
   

   Feljegyzés

   A szerepköralapú hozzáférés-vezérlést alternatív módon is használhatja a kulcstartóhoz való hozzáférés biztosításához.

3. Rendelje hozzá a felhasználó által hozzárendelt identitást a NetApp-fiókhoz, és frissítse a kulcstartó titkosítását.

   key_vault_uri=$(az keyvault show \
       --name <key-vault> \
       --resource-group <resource_group> \
       --query properties.vaultUri \
       --output tsv)
   user_assigned_identity=$(az identity show \
       --name <identity_name> \
       --resource-group <resource_group> \
       --query id \
       -output tsv)
   az netappfiles account update --name <account_name> \  
       --resource-group <resource_group> \
       --identity-type UserAssigned \
       --key-source Microsoft.Keyvault \
       --key-vault-uri $key_vault_uri \
       --key-name <key> \
       --keyvault-resource-id <key-vault> \   
       --user-assigned-identity $user_assigned_identity
   

Azure PowerShell

A NetApp-fiók ügyfél által felügyelt kulcsokkal való konfigurálása az Azure CLI-ben attól függ, hogy rendszer által hozzárendelt identitást vagy felhasználó által hozzárendelt identitást használ-e.

Hozzáférés engedélyezése a rendszer által hozzárendelt identitáshoz

1. Frissítse NetApp-fiókját a rendszer által hozzárendelt identitás használatára.

   $netappAccount = Update-AzNetAppFilesAccount -ResourceGroupName <resource_group> -Name <account_name> -AssignIdentity
   

2. Hozzáférési szabályzat használatához futtassa Set-AzKeyVaultAccessPolicy a kulcstartó nevét, a fiók identitásának egyszerű azonosítóját, valamint a "Get", a "Encrypt" és a "Decrypt" engedélyeket.

   Set-AzKeyVaultAccessPolicy -VaultName <key_vault_name> -ResourceGroupname <resource_group> -ObjectId $netappAccount.Identity.PrincipalId -PermissionsToKeys get,encrypt,decrypt
   

3. Frissítse NetApp-fiókját a kulcstartó adataival.

   Update-AzNetAppFilesAccount -ResourceGroupName $netappAccount.ResourceGroupName -AccountName $netappAccount.ResourceGroupName   -KeyVaultEncryption -KeyVaultUri <keyVaultUri> -KeyName <keyName>
   

Hozzáférés engedélyezése a felhasználó által hozzárendelt identitáshoz

1. Hozzon létre egy új, felhasználó által hozzárendelt identitást.

   $userId = New-AzUserAssignedIdentity -ResourceGroupName <resourceGroupName> -Name $userIdName
   

2. Rendelje hozzá a hozzáférési szabályzatot a kulcstartóhoz.

   Set-AzKeyVaultAccessPolicy -VaultName <key_vault_name> `
       -ResourceGroupname <resource_group> `
       -ObjectId $userId.PrincipalId `
       -PermissionsToKeys get,encrypt,decrypt `
       -BypassObjectIdValidation
   

   Feljegyzés

   A szerepköralapú hozzáférés-vezérlést alternatív módon is használhatja a kulcstartóhoz való hozzáférés biztosításához.

3. Rendelje hozzá a felhasználó által hozzárendelt identitást a NetApp-fiókhoz, és frissítse a kulcstartó titkosítását.

   $netappAccount = Update-AzNetAppFilesAccount -ResourceGroupName <resource_group> `
       -Name <account_name> `
       -IdentityType UserAssigned `
       -UserAssignedIdentityId $userId.Id `
       -KeyVaultEncryption `
       -KeyVaultUri <keyVaultUri> `
       -KeyName <keyName> `
       -EncryptionUserAssignedIdentity $userId.Id
   

Szerepköralapú hozzáférés-vezérlés alkalmazása

Használhat azure-beli szerepköralapú hozzáférés-vezérlésre konfigurált Azure Key Vaultot. Ha ügyfél által felügyelt kulcsokat szeretne konfigurálni az Azure Portalon, meg kell adnia egy felhasználó által hozzárendelt identitást.

1. Az Azure-fiókjában lépjen a Key Vaultokra, majd az Access-szabályzatokra.

2. Hozzáférési szabályzat létrehozásához az Engedélymodell területen válassza az Azure szerepköralapú hozzáférés-vezérlést.

3. A felhasználó által hozzárendelt szerepkör létrehozásakor három engedély szükséges az ügyfél által felügyelt kulcsokhoz:

   1. Microsoft.KeyVault/vaults/keys/read
   2. Microsoft.KeyVault/vaults/keys/encrypt/action
   3. Microsoft.KeyVault/vaults/keys/decrypt/action

   Bár vannak előre definiált szerepkörök, amelyek tartalmazzák ezeket az engedélyeket, ezek a szerepkörök a szükségesnél több jogosultságot biztosítanak. Javasoljuk, hogy hozzon létre egy egyéni szerepkört, amely csak a minimálisan szükséges engedélyekkel rendelkezik. További információ: Azure egyéni szerepkörök.

   {
       "id": "/subscriptions/<subscription>/Microsoft.Authorization/roleDefinitions/<roleDefinitionsID>",
       "properties": {
           "roleName": "NetApp account",
           "description": "Has the necessary permissions for customer-managed key encryption: get key, encrypt and decrypt",
           "assignableScopes": [
               "/subscriptions/<subscriptionID>/resourceGroups/<resourceGroup>"
           ],
           "permissions": [
             {
               "actions": [],
               "notActions": [],
               "dataActions": [
                   "Microsoft.KeyVault/vaults/keys/read",
                   "Microsoft.KeyVault/vaults/keys/encrypt/action",
                   "Microsoft.KeyVault/vaults/keys/decrypt/action"
               ],
               "notDataActions": []
               }
           ]
         }
   }
   

4. Miután létrehozta az egyéni szerepkört, és elérhetővé válik a kulcstartóval való használatra, alkalmazza azt a felhasználó által hozzárendelt identitásra.

Azure NetApp Files-kötet létrehozása ügyfél által felügyelt kulcsokkal

1. Az Azure NetApp Filesban válassza a Kötetek , majd a + Kötet hozzáadása lehetőséget.

2. Kövesse az Azure NetApp Files-kötet hálózati funkcióinak konfigurálása című témakör utasításait:

   • Állítsa be a Hálózati szolgáltatások lehetőséget a kötetlétrehozás lapon.
   • A kötet delegált alhálózatának hálózati biztonsági csoportjának engedélyeznie kell a bejövő forgalmat a NetApp tároló virtuális gépéről.

3. Az ügyfél által felügyelt kulcs használatára konfigurált NetApp-fiók esetén a Kötet létrehozása lap tartalmaz egy titkosítási kulcsforrás lehetőséget.

   A kötet kulcssal való titkosításához válassza az Ügyfél által felügyelt kulcsot a Titkosítási kulcs forrása legördülő menüben.

   Ha ügyfél által felügyelt kulccsal hoz létre kötetet, a Hálózati funkciók beállításhoz a Standard lehetőséget is ki kell választania. Az alapszintű hálózati funkciók nem támogatottak.

   A key vault privát végpontot is ki kell választania. A legördülő menü privát végpontokat jelenít meg a kijelölt virtuális hálózaton. Ha a kiválasztott virtuális hálózaton nincs privát végpont a kulcstartóhoz, akkor a legördülő lista üres, és nem fog tudni továbblépni. Ha igen, tekintse meg az Azure Privát végpontot.

   

4. Folytassa a kötetlétrehozás folyamatát. Lásd:

   • NFS-kötet létrehozása
   • SMB-kötet létrehozása
   • Kettős protokollú kötet létrehozása

Az összes kötet újrakulcsa egy NetApp-fiókban

Ha már konfigurálta a NetApp-fiókját az ügyfél által felügyelt kulcsokhoz, és egy vagy több kötetet ügyfél által felügyelt kulcsokkal titkosított, módosíthatja a NetApp-fiók összes kötetének titkosításához használt kulcsot. Kiválaszthatja az ugyanabban a kulcstartóban lévő kulcsokat. A kulcstartók módosítása nem támogatott.

1. A NetApp-fiók alatt keresse meg a Titkosítás menüt. Az Aktuális kulcs beviteli mezője alatt válassza az Újrakulcs hivatkozást.

2. Az Újrakulcs menüben válassza ki a legördülő menüben elérhető kulcsok egyikét. A kiválasztott kulcsnak különböznie kell az aktuális kulcstól.

3. A mentéshez kattintson az OK gombra. Az újrakulcsosítási művelet több percet is igénybe vehet.

Váltás a rendszer által hozzárendelt identitásról a felhasználó által hozzárendelt identitásra

A rendszer által hozzárendelt identitásról a felhasználó által hozzárendelt identitásra való váltáshoz hozzáférést kell adnia a cél identitásnak az olvasási/lekérési, titkosítási és visszafejtési engedélyekkel használt kulcstartóhoz.

1. Frissítse a NetApp-fiókot egy PATCH-kérés elküldésével a az rest következő paranccsal:

   az rest -m PATCH -u <netapp-account-resource-id>?api-versions=2022-09-01 -b @path/to/payload.json
   

   A hasznos adatnak a következő struktúrát kell használnia:

   {
     "identity": {
       "type": "UserAssigned",
       "userAssignedIdentities": {
        "<identity-resource-id>": {}
       }
     },
     "properties": {
       "encryption": {
         "identity": {
           "userAssignedIdentity": "<identity-resource-id>"
         }
       }
     }
   }
   

2. Ellenőrizze, hogy a művelet sikeresen befejeződött-e a az netappfiles account show paranccsal. A kimenet a következő mezőket tartalmazza:

       "id": "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.NetApp/netAppAccounts/account",
       "identity": {
           "principalId": null,
           "tenantId": null,
           "type": "UserAssigned",
           "userAssignedIdentities": {
               "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity>": {
                   "clientId": "<client-id>",
                   "principalId": "<principalId>",
                   "tenantId": <tenantId>"
               }
           }
       },
   

   Győződjön meg a következőkről:

   • encryption.identity.principalId megegyezik a következőben megadott értékkel: identity.userAssignedIdentities.principalId
   • encryption.identity.userAssignedIdentity megegyezik a következőben megadott értékkel: identity.userAssignedIdentities[]

   "encryption": {
       "identity": {
           "principalId": "<principal-id>",
           "userAssignedIdentity": "/subscriptions/<subscriptionId>/resourceGroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity>"
       },
       "KeySource": "Microsoft.KeyVault",
   },
   

Hibaüzenetek és hibaelhárítás

Ez a szakasz a hibaüzeneteket és a lehetséges megoldásokat sorolja fel, ha az Azure NetApp Files nem konfigurálja az ügyfél által felügyelt kulcstitkosítást, vagy nem hoz létre kötetet egy ügyfél által felügyelt kulccsal.

Hibák az ügyfél által felügyelt kulcstitkosítás netApp-fiókon való konfigurálásával kapcsolatban

Hibafeltétel	Resolution (Osztás)
The operation failed because the specified key vault key was not found	A kulcs URI manuális megadásakor győződjön meg arról, hogy az URI helyes.
Azure Key Vault key is not a valid RSA key	Győződjön meg arról, hogy a kijelölt kulcs RSA típusú.
Azure Key Vault key is not enabled	Győződjön meg arról, hogy a kijelölt kulcs engedélyezve van.
Azure Key Vault key is expired	Győződjön meg arról, hogy a kijelölt kulcs nem járt le.
Azure Key Vault key has not been activated	Győződjön meg arról, hogy a kijelölt kulcs aktív.
Key Vault URI is invalid	A kulcs URI manuális megadásakor győződjön meg arról, hogy az URI helyes.
Azure Key Vault is not recoverable. Make sure that Soft-delete and Purge protection are both enabled on the Azure Key Vault	Frissítse a Key Vault helyreállítási szintjét a következőre: “Recoverable/Recoverable+ProtectedSubscription/CustomizedRecoverable/CustomizedRecoverable+ProtectedSubscription”
Account must be in the same region as the Vault	Győződjön meg arról, hogy a kulcstartó ugyanabban a régióban található, mint a NetApp-fiók.

Hibák az ügyfél által felügyelt kulcsokkal titkosított kötet létrehozásakor

Hibafeltétel	Resolution (Osztás)
Volume cannot be encrypted with Microsoft.KeyVault, NetAppAccount has not been configured with KeyVault encryption	A NetApp-fiókban nincs engedélyezve a felhasználó által kezelt kulcstitkosítás. Konfigurálja a NetApp-fiókot az ügyfél által felügyelt kulcs használatára.
EncryptionKeySource cannot be changed	Nincs megoldás. A kötet EncryptionKeySource tulajdonsága nem módosítható.
Unable to use the configured encryption key, please check if key is active	Ellenőrizze, hogy: -Helyesek a hozzáférési szabályzatok a kulcstartón: Get, Encrypt, Decrypt? -Létezik privát végpont a kulcstartóhoz? -Van virtuális hálózati NAT a virtuális hálózatban, és engedélyezve van a delegált Azure NetApp Files alhálózat?
Could not connect to the KeyVault	Győződjön meg arról, hogy a privát végpont megfelelően van beállítva, és a tűzfalak nem blokkolják a virtuális hálózat és a KeyVault közötti kapcsolatot.

Következő lépések

• Azure NetApp Files API