Ügyfél által felügyelt kulcsok használata az Azure Data Boxhoz készült Azure Key Vaultban

  • Cikk

Az Azure Data Box titkosítási kulccsal védi az eszközzárolás-feloldási kulcsot (más néven az eszközjelszót), amely az eszköz zárolására szolgál. Ez a titkosítási kulcs alapértelmezés szerint a Microsoft által kezelt kulcs. A kiterjedtebb vezérlés érdekében használhat ügyfél által kezelt kulcsot.

Az ügyfél által kezelt kulcsok használata nincs hatással arra, hogyan történik az eszközön található adatok titkosítása. Csak az eszközzárolás-feloldási kulcs titkosítására van hatással.

Ha a rendelési folyamat során meg szeretné tartani ezt a szintű vezérlést, használjon ügyfél által kezelt kulcsot a rendelés létrehozásakor. További információ: Oktatóanyag: Az Azure Data Box megrendelése.

Ez a cikk bemutatja, hogyan engedélyezheti az ügyfél által felügyelt kulcsot a meglévő Data Box-rendeléshez az Azure Portalon. Megtudhatja, hogyan módosíthatja az aktuális ügyfél által felügyelt kulcs kulcstartóját, kulcsát, verzióját vagy identitását, vagy válthat vissza a Microsoft által felügyelt kulcs használatára.

Ez a cikk az Azure Data Box és az Azure Data Box Heavy eszközökre vonatkozik.

Requirements

A Data Box-rendelés ügyfél által felügyelt kulcsának meg kell felelnie a következő követelményeknek:

  • A kulcsot olyan Azure Key Vaultban kell létrehozni és tárolni, amely helyreállítható törléssel rendelkezik, és nincs engedélyezve a törlés. További információ: Mi az Azure Key Vault? A rendelés létrehozásakor vagy frissítésekor kulcstartót és kulcsot is létrehozhat.
  • A kulcsnak 2048-ra vagy annál nagyobb MÉRETŰ RSA-kulcsnak kell lennie.
  • Engedélyeznie kell a Getkulcsot az Azure Key Vaultban, UnwrapKeyés WrapKey engedélyeznie kell az engedélyeket. Az engedélyeknek a rendelés teljes élettartama alatt érvényben kell maradniuk. Ellenkező esetben az ügyfél által felügyelt kulcs nem érhető el az adatmásolási fázis elején.

Kulcs engedélyezése

Ha engedélyezni szeretné a meglévő Data Box-rendelés ügyfél által felügyelt kulcsát az Azure Portalon, kövesse az alábbi lépéseket:

  1. Nyissa meg a Data Box-rendelés áttekintési képernyőjét.

    Overview screen of a Data Box order - 1

  2. Lépjen a Gépház > Titkosítás elemre, és válassza az Ügyfél által kezelt kulcs lehetőséget. Ezután válassza a Kulcs és kulcstartó kiválasztása lehetőséget.

    Select the customer-managed key encryption option

    A Select key from Azure Key Vault képernyőn az előfizetés automatikusan fel lesz töltve.

  3. A Key Vault esetében kiválaszthat egy meglévő kulcstartót a legördülő listából, vagy választhatja az Új létrehozása lehetőséget, és létrehozhat egy új kulcstartót.

    Key vault options when selecting a customer-managed key

    Új kulcstartó létrehozásához adja meg az előfizetést, az erőforráscsoportot, a kulcstartó nevét és egyéb adatait az Új kulcstartó létrehozása képernyőn. A helyreállítási beállításokban győződjön meg arról, hogy engedélyezve van a helyreállítható törlés és a törlés elleni védelem . Ezután válassza a Véleményezés + Létrehozás lehetőséget.

    Review and create Azure Key Vault

    Tekintse át a kulcstartó adatait, és válassza a Létrehozás lehetőséget. Várjon néhány percet, amíg befejeződik a Key Vault létrehozása.

    Create Azure Key Vault with your settings

  4. A Kulcs kiválasztása az Azure Key Vault képernyőn kiválaszthat egy meglévő kulcsot a kulcstartóból, vagy létrehozhat egy újat.

    Select key from Azure Key Vault

    Ha új kulcsot szeretne létrehozni, válassza az Új létrehozása lehetőséget. RSA-kulcsot kell használnia. A méret 2048 vagy nagyobb lehet.

    Create new key in Azure Key Vault

    Adja meg az új kulcs nevét, fogadja el a többi alapértelmezett beállítást, és válassza a Létrehozás lehetőséget. Értesítést kap arról, hogy egy kulcs lett létrehozva a kulcstartóban.

    Name new key

  5. Verzió esetén kiválaszthat egy meglévő kulcsverziót a legördülő listából.

    Select version for new key

    Ha új kulcsverziót szeretne létrehozni, válassza az Új létrehozása lehetőséget.

    Open a dialog box for creating a new key version

    Válassza ki az új kulcsverzió beállításait, és válassza a Létrehozás lehetőséget.

    Create a new key version

  6. Amikor kiválasztott egy kulcstartót, kulcsot és kulcsverziót, válassza a Kiválasztás lehetőséget.

    A key in an Azure Key Vault

    A titkosítási típus beállításai a kiválasztott kulcstartót és kulcsot jelenítik meg.

    Key and key vault for a customer-managed key

  7. Válassza ki az erőforrás ügyfél által felügyelt kulcsának kezeléséhez használni kívánt identitástípust. Használhatja a rendszer által hozzárendelt identitást, amely a rendelés létrehozásakor jött létre, vagy választhat egy felhasználó által hozzárendelt identitást.

    A felhasználó által hozzárendelt identitás egy független erőforrás, amellyel kezelheti az erőforrásokhoz való hozzáférést. További információ: Felügyelt identitástípusok.

    Select the identity type

    Felhasználói identitás hozzárendeléséhez válassza a Hozzárendelt felhasználó lehetőséget. Ezután válassza a Felhasználói identitás kiválasztása lehetőséget, és válassza ki a használni kívánt felügyelt identitást.

    Select an identity to use

    Itt nem hozhat létre új felhasználói identitást. Ha szeretné megtudni, hogyan hozhat létre egy szerepkört, olvassa el a Szerepkör létrehozása, listázása, törlése vagy hozzárendelése egy felhasználó által hozzárendelt felügyelt identitáshoz az Azure Portal használatával című témakört.

    A kiválasztott felhasználói identitás megjelenik a Titkosítás típusa beállításban.

    A selected user identity shown in Encryption type settings

  8. Válassza a Mentés lehetőséget a frissített titkosítási típusbeállítások mentéséhez.

    Save your customer-managed key

    A kulcs URL-címe titkosítási típus alatt jelenik meg.

    Customer-managed key URL

Fontos

Engedélyeznie kell a Getkulcsot és UnwrapKeyWrapKey az engedélyeket. Az engedélyek Azure CLI-ben való beállításához tekintse meg az az keyvault set-policyt.

Kulcs módosítása

A jelenleg használt ügyfél által felügyelt kulcs kulcstartójának, kulcsának és/vagy kulcsverziójának módosításához kövesse az alábbi lépéseket:

  1. A Data Box-rendelés áttekintési képernyőjén lépjen a Gépház> Encryption elemre, és kattintson a Kulcs módosítása elemre.

    Overview screen of a Data Box order with customer-managed key - 1

  2. Válassza a Másik kulcstartó és kulcs kiválasztása lehetőséget.

    Overview screen of a Data Box order, Select a different key and key vault option

  3. A Kulcstartó kiválasztása képernyőn megjelenik az előfizetés, de nincs kulcstartó, kulcs vagy kulcsverzió. Az alábbi módosítások bármelyikét elvégezheti:

    • Válasszon másik kulcsot ugyanabból a kulcstartóból. A kulcs és a verzió kiválasztása előtt ki kell választania a kulcstartót.

    • Válasszon egy másik kulcstartót, és rendeljen hozzá egy új kulcsot.

    • Módosítsa az aktuális kulcs verzióját.

    Amikor befejezte a módosításokat, válassza a Kiválasztás lehetőséget.

    Choose encryption option - 2

  4. Válassza a Mentés parancsot.

    Save updated encryption settings - 1

Fontos

Engedélyeznie kell a Getkulcsot és UnwrapKeyWrapKey az engedélyeket. Az engedélyek Azure CLI-ben való beállításához tekintse meg az az keyvault set-policyt.

Identitás módosítása

Az ügyfél által kezelt kulcshoz való hozzáférés kezeléséhez használt identitás módosításához kövesse az alábbi lépéseket:

  1. A befejezett Data Box-rendelés áttekintési képernyőjén lépjen a Gépház> Encryption elemre.

  2. Végezze el az alábbi módosítások valamelyikét:

    • Ha másik felhasználói identitásra szeretne váltani, kattintson a Másik felhasználói identitás kiválasztása elemre. Ezután válasszon egy másik identitást a képernyő jobb oldalán lévő panelen, és válassza a Kiválasztás lehetőséget.

      Option for changing the user-assigned identity for a customer-managed key

    • Ha a rendelés létrehozása során létrehozott rendszer által hozzárendelt identitásra szeretne váltani, válassza az Identitástípus kiválasztása által hozzárendelt rendszert.

      Option for changing to a system-assigned for a customer-managed key

  3. Válassza a Mentés parancsot.

    Save updated encryption settings - 2

A Microsoft által felügyelt kulcs használata

Az ügyfél által felügyelt kulcsról a Microsoft által kezelt kulcsra való váltáshoz kövesse az alábbi lépéseket:

  1. A befejezett Data Box-rendelés áttekintési képernyőjén lépjen a Gépház> Encryption elemre.

  2. Válassza ki a típust, és válassza a Microsoft által kezelt kulcsot.

    Overview screen of a Data Box order - 5

  3. Válassza a Mentés parancsot.

    Save updated encryption settings for a Microsoft managed key

Troubleshoot errors

Ha az ügyfél által felügyelt kulccsal kapcsolatos hibákat kap, az alábbi táblázat segítségével háríthatja el a problémát.

Hibakód A hiba részletei Visszaszerezhető?
SsemUserErrorEncryptionKeyDisabled Nem sikerült lekérni a jelszót, mert az ügyfél által felügyelt kulcs le van tiltva. Igen, a kulcsverzió engedélyezésével.
SsemUserErrorEncryptionKeyExpired Nem sikerült lekérni a jelszót, mert az ügyfél által felügyelt kulcs lejárt. Igen, a kulcsverzió engedélyezésével.
SsemUserErrorKeyDetailsNotFound Nem sikerült lekérni a jelszót, mert az ügyfél által felügyelt kulcs nem található. Ha törölte a kulcstartót, nem tudja helyreállítani az ügyfél által kezelt kulcsot. Ha a kulcstartót egy másik bérlőre migrálta, olvassa el a Kulcstartó bérlőazonosítójának módosítása az előfizetés áthelyezése után című témakört. Ha törölte a kulcstartót:
  1. Igen, ha a törlés elleni védelem időtartama alatt van, a kulcstartó helyreállítása című lépésekkel.
  2. Nem, ha meghaladja a törlés elleni védelem időtartamát.

Ha a kulcstartó egy bérlői migráláson esett át, igen, az alábbi lépések egyikével helyreállítható:
  1. Állítsa vissza a kulcstartót a régi bérlőre.
  2. Állítsa be Identity = None , majd állítsa vissza az értéket a következőre Identity = SystemAssigned: . Ez törli és újra létrehozza az identitást az új identitás létrehozása után. WrapKeyEngedélyezze Getaz új identitást és UnwrapKey engedélyeket a kulcstartó hozzáférési szabályzatában.
SsemUserErrorKeyVaultBadRequestException Ügyfél által felügyelt kulcsot alkalmazott, de a kulcshozzáférést nem adták meg, nem vonták vissza, vagy nem sikerült elérni a kulcstartót, mert a tűzfal engedélyezve van. Adja hozzá a kulcstartóhoz kiválasztott identitást az ügyfél által felügyelt kulcshoz való hozzáférés engedélyezéséhez. Ha a Key Vault tűzfala engedélyezve van, váltson egy rendszer által hozzárendelt identitásra, majd adjon hozzá egy ügyfél által felügyelt kulcsot. További információ: A kulcs engedélyezése.
SsemUserErrorKeyVaultDetailsNotFound Nem sikerült lekérni a jelszót, mert az ügyfél által felügyelt kulcshoz társított kulcstartó nem található. Ha törölte a kulcstartót, nem tudja helyreállítani az ügyfél által kezelt kulcsot. Ha a kulcstartót egy másik bérlőre migrálta, olvassa el a Kulcstartó bérlőazonosítójának módosítása az előfizetés áthelyezése után című témakört. Ha törölte a kulcstartót:
  1. Igen, ha a törlés elleni védelem időtartama alatt van, a kulcstartó helyreállítása című lépésekkel.
  2. Nem, ha meghaladja a törlés elleni védelem időtartamát.

Ha a kulcstartó egy bérlői migráláson esett át, igen, az alábbi lépések egyikével helyreállítható:
  1. Állítsa vissza a kulcstartót a régi bérlőre.
  2. Állítsa be Identity = None , majd állítsa vissza az értéket a következőre Identity = SystemAssigned: . Ez törli és újra létrehozza az identitást az új identitás létrehozása után. WrapKeyEngedélyezze Getaz új identitást és UnwrapKey engedélyeket a kulcstartó hozzáférési szabályzatában.
SsemUserErrorSystemAssignedIdentityAbsent Nem sikerült lekérni a jelszót, mert az ügyfél által felügyelt kulcs nem található. Igen, ellenőrizze, hogy:
  1. A Key Vault továbbra is rendelkezik az MSI-sel a hozzáférési szabályzatban.
  2. Az identitás a rendszer által hozzárendelt típusú.
  3. WrapKeyEngedélyezze Geta kulcstartó hozzáférési szabályzatában szereplő identitást és UnwrapKey engedélyeket. Ezeknek az engedélyeknek a rendelés teljes élettartama alatt meg kell maradniuk. Ezeket a rendszer a rendelés létrehozásakor és az adatmásolási fázis elején használja.
SsemUserErrorUserAssignedLimitReached Az új felhasználó által hozzárendelt identitás hozzáadása nem sikerült, mivel elérte a hozzáadható felhasználó által hozzárendelt identitások teljes számának korlátját. Az újrapróbálkozás előtt próbálkozzon újra a művelettel kevesebb felhasználói identitással, vagy távolítsa el a felhasználó által hozzárendelt identitásokat az erőforrásból.
SsemUserErrorCrossTenantIdentityAccessForbidden A felügyelt identitáselérési művelet nem sikerült.
Megjegyzés: Ez a hiba akkor fordulhat elő, ha egy előfizetést áthelyeznek egy másik bérlőbe. Az ügyfélnek manuálisan kell áthelyeznie az identitást az új bérlőbe.		 Próbáljon meg egy másik felhasználó által hozzárendelt identitást hozzáadni a kulcstartóhoz az ügyfél által felügyelt kulcshoz való hozzáférés engedélyezéséhez. Vagy helyezze át az identitást arra az új bérlőre, amely alatt az előfizetés található. További információ: A kulcs engedélyezése.
SsemUserErrorKekUserIdentityNotFound Ügyfél által felügyelt kulcsot alkalmazott, de a kulcshoz hozzáféréssel rendelkező felhasználó által hozzárendelt identitás nem található az Active Directoryban.
Megjegyzés: Ez a hiba akkor fordulhat elő, ha egy felhasználói identitást törölnek az Azure-ból.		 Próbáljon meg egy másik felhasználó által hozzárendelt identitást hozzáadni a kulcstartóhoz az ügyfél által felügyelt kulcshoz való hozzáférés engedélyezéséhez. További információ: A kulcs engedélyezése.
SsemUserErrorUserAssignedIdentityAbsent Nem sikerült lekérni a jelszót, mert az ügyfél által felügyelt kulcs nem található. Nem sikerült elérni az ügyfél által kezelt kulcsot. A kulcshoz társított felhasználó által hozzárendelt identitás (UAI) törlődik, vagy az UAI típusa megváltozott.
SsemUserErrorKeyVaultBadRequestException Ügyfél által felügyelt kulcsot alkalmazott, de a kulcshozzáférést nem adták meg vagy vonták vissza, vagy a kulcstartó nem érhető el, mert engedélyezve van a tűzfal. Adja hozzá a kulcstartóhoz kiválasztott identitást az ügyfél által felügyelt kulcshoz való hozzáférés engedélyezéséhez. Ha a kulcstartó tűzfala engedélyezve van, váltson egy rendszer által hozzárendelt identitásra, majd adjon hozzá egy ügyfél által felügyelt kulcsot. További információ: A kulcs engedélyezése.
SsemUserErrorEncryptionKeyTypeNotSupported A titkosítási kulcs típusa nem támogatott a művelethez. Engedélyezzen egy támogatott titkosítási típust a kulcson – például RSA vagy RSA-HSM. További információ: Kulcstípusok, algoritmusok és műveletek.
SsemUserErrorSoftDeleteAndPurgeProtectionNotEnabled A Key Vault nem rendelkezik engedélyezve a helyreállítható törlési vagy törlési védelemmel. Győződjön meg arról, hogy a helyreállítható törlés és a törlés elleni védelem is engedélyezve van a kulcstartóban.
SsemUserErrorInvalidKeyVaultUrl
(Csak parancssori)		 Érvénytelen kulcstartó URI-t használt. Szerezze be a megfelelő key vault URI-t. A Key Vault URI beszerzéséhez használja a Get-AzKeyVaultot a PowerShellben.
SsemUserErrorKeyVaultUrlWithInvalidScheme Csak a HTTPS támogatott a key vault URI-jának átadásához. Adja át a key vault URI-t HTTPS-en keresztül.
SsemUserErrorKeyVaultUrlInvalidHost A Key Vault URI-gazdagépe nem engedélyezett gazdagép a földrajzi régióban. A nyilvános felhőben a key vault URI-jának a következővel kell végződnie vault.azure.net: . Az Azure Government-felhőben a Key Vault URI-jának a következővel kell végződnie vault.usgovcloudapi.net: .
Általános hiba Nem sikerült lekérni a jelszót. Ez a hiba általános hiba. Lépjen kapcsolatba Microsoft ügyfélszolgálata a hiba elhárításához és a következő lépések meghatározásához.

Következő lépések