Ügyfél által felügyelt kulcsok használata az Azure Key Vault importálási/exportálási szolgáltatásban

  • Cikk

Az Azure Import/Export titkosítási kulccsal védi a meghajtók zárolásához használt BitLocker-kulcsokat. A BitLocker-kulcsok alapértelmezés szerint Microsoft által felügyelt kulcsokkal vannak titkosítva. A titkosítási kulcsok további szabályozásához ügyfél által felügyelt kulcsokat is megadhat.

Az ügyfél által felügyelt kulcsokat egy Azure Key Vaultban kell létrehozni és tárolni. További információ az Azure Key Vaultról: Mi az Az Azure Key Vault?

Ez a cikk bemutatja, hogyan használhat ügyfél által felügyelt kulcsokat az Import/Export szolgáltatással az Azure Portalon.

Előfeltételek

Mielőtt hozzákezd, győződjön meg az alábbiakról:

  1. Az alábbi utasításoknak megfelelően létrehozott egy importálási vagy exportálási feladatot:

  2. Rendelkezik egy meglévő Azure Key Vaulttal, benne egy kulccsal, amellyel megvédheti BitLocker-kulcsát. A kulcstartók Azure Portallal történő létrehozásáról a rövid útmutatóban olvashat : Azure Key Vault létrehozása az Azure Portal használatával.

    • A helyreállítható törlés és a Törlés törlése beállítás a meglévő Key Vaulton van beállítva. Ezek a tulajdonságok alapértelmezés szerint nincsenek engedélyezve. A tulajdonságok engedélyezéséhez tekintse meg a helyreállítható törlés engedélyezése és a törlés elleni védelem engedélyezése című szakaszt az alábbi cikkek egyikében:

    • A meglévő kulcstartónak legalább 2048 méretű RSA-kulccsal kell rendelkeznie. További információ a kulcsokról: Tudnivalók a kulcsokról.

    • A kulcstartónak ugyanabban a régióban kell lennie, mint az adatok tárfiókja.

    • Ha nem rendelkezik meglévő Azure Key Vault-tárlal, a következő szakaszban leírtak szerint beágyazottan is létrehozhatja.

Kulcsok engedélyezése

Az ügyfél által felügyelt kulcs konfigurálása az Import/Export szolgáltatáshoz nem kötelező. Alapértelmezés szerint az Import/Export szolgáltatás egy Microsoft által felügyelt kulccsal védi a BitLocker-kulcsot. Ha engedélyezni szeretné az ügyfél által felügyelt kulcsokat az Azure Portalon, kövesse az alábbi lépéseket:

  1. Nyissa meg az Importálási feladat Áttekintés paneljét.

  2. A jobb oldali panelen válassza a BitLocker-kulcsok titkosításának kiválasztása lehetőséget.

    Screenshot of Overview blade for Azure Import/Export job. Overview menu item and link that opens BitLocker key options are highlighted.

  3. A Titkosítás panelen megtekintheti és másolhatja az eszköz BitLocker-kulcsát. A Titkosítás típusa területen kiválaszthatja, hogyan szeretné védeni a BitLocker-kulcsot. Alapértelmezés szerint a rendszer egy Microsoft által felügyelt kulcsot használ.

    Screenshot of Encryption blade for an Azure Import/Export order. Encryption menu item is highlighted.

  4. Lehetősége van egy ügyfél által felügyelt kulcs megadására. Miután kiválasztotta az ügyfél által kezelt kulcsot, válassza ki a kulcstartót és a kulcsot.

    Screenshot of Encryption blade for Azure Import/Export job.

  5. A Select key from Azure Key Vault (Kulcs kiválasztása az Azure Key Vaultból ) panelen az előfizetés automatikusan fel lesz töltve. A Key Vault esetében kiválaszthat egy meglévő kulcstartót a legördülő listából.

    Screenshot of the

  6. Új kulcstartó létrehozásához az Új létrehozása lehetőséget is választhatja. A Kulcstartó létrehozása panelen adja meg az erőforráscsoportot és a kulcstartó nevét. Fogadja el az összes többi alapértelmezett beállítást. Válassza a Felülvizsgálat és létrehozás lehetőséget.

    Screenshot of

  7. Tekintse át a kulcstartóhoz társított információkat, és válassza a Létrehozás lehetőséget. Várjon néhány percet, amíg a kulcstartó létrehozása befejeződik.

    Screenshot of the Review Plus Create screen for a new Azure key vault. The Create button is highlighted.

  8. Az Azure Key Vault Kulcs kiválasztása elemében kiválaszthat egy kulcsot a meglévő kulcstartóban.

  9. Ha új kulcstartót hozott létre, a kulcs létrehozásához válassza az Új létrehozása lehetőséget. Az RSA-kulcs mérete 2048 vagy nagyobb lehet.

    Screenshot of the

    Ha a kulcstartó létrehozásakor nincs engedélyezve a helyreállítható törlés és törlés elleni védelem, a key vault frissül, hogy engedélyezve legyen a helyreállítható törlés és a törlés elleni védelem.

  10. Adja meg a kulcs nevét, fogadja el a többi alapértelmezett beállítást, és válassza a Létrehozás lehetőséget.

    Screenshot of the

  11. Válassza ki a Verzió, majd a Kiválasztás lehetőséget. Értesítést kap arról, hogy egy kulcs jön létre a kulcstartóban.

    Screenshot of the

A Titkosítás panelen láthatja a kulcstartót és az ügyfél által felügyelt kulcshoz kiválasztott kulcsot.

Fontos

Csak a Microsoft által felügyelt kulcsokat tilthatja le, és az importálási/exportálási feladat bármely szakaszában áttérhet az ügyfél által felügyelt kulcsra. Az ügyfél által kezelt kulcs azonban nem tiltható le a létrehozása után.

Ügyfél által felügyelt kulcshibák elhárítása

Ha az ügyfél által kezelt kulccsal kapcsolatos hibákat kap, a következő táblázat segítségével háríthatja el a problémát:

Error code Részletek Visszaszerezhető?
CmkErrorAccessRevoked Az ügyfél által kezelt kulcshoz való hozzáférés visszavonásra kerül. Igen, ellenőrizze, hogy:
  1. A Key Vault továbbra is rendelkezik az MSI-sel a hozzáférési szabályzatban.
  2. Az access szabályzatban engedélyezve van a Get, Wrap és Unwrap engedély.
  3. Ha a Key Vault egy tűzfal mögötti virtuális hálózaton található, ellenőrizze, hogy engedélyezve van-e a Microsoft Megbízható szolgáltatások engedélyezése.
  4. Ellenőrizze, hogy a feladat-erőforrás MSI-jének alaphelyzetbe állítása None API-k használatával történt-e.
    Ha igen, akkor állítsa vissza az értéket a következőre Identity = SystemAssigned: . Ez újra létrehozza a feladat-erőforrás identitását.
    Az új identitás létrehozása után engedélyezze GetWrapaz új identitást és Unwrap engedélyeket a kulcstartó hozzáférési szabályzatában
CmkErrorKeyDisabled Az ügyfél által kezelt kulcs le van tiltva. Igen, a kulcsverzió engedélyezésével
CmkErrorKeyNotFound Az ügyfél által kezelt kulcs nem található. Igen, ha a kulcs törölve lett, de még a törlési időtartamon belül van, a Kulcstartó kulcs eltávolításának visszavonása használatával.
Más
  1. Igen, ha az ügyfél biztonsági másolatot készít a kulcsról, és visszaállítja azt.
  2. Nem, máskülönben.
CmkErrorVaultNotFound Az ügyfél által felügyelt kulcs kulcstartója nem található. Ha a kulcstartót törölték:
  1. Igen, ha a törlés elleni védelem időtartama alatt van, a kulcstartó helyreállítása című lépésekkel.
  2. Nem, ha meghaladja a törlés elleni védelem időtartamát.

Ha a kulcstartó másik bérlőbe lett migrálva, igen, az alábbi lépések egyikével helyreállítható:
  1. Állítsa vissza a kulcstartót a régi bérlőre.
  2. Állítsa be Identity = None , majd állítsa vissza az értéket a következőre Identity = SystemAssigned: . Ez törli és újra létrehozza az identitást az új identitás létrehozása után. WrapEngedélyezze Getaz új identitást és Unwrap engedélyeket a kulcstartó hozzáférési szabályzatában.

Következő lépések