Menggunakan kunci terkelola pelanggan di Azure Key Vault untuk Azure Data Box

  • Artikel

Azure Data Box melindungi pembuka kunci perangkat (juga dikenal sebagai kata sandi perangkat), yang digunakan untuk mengunci perangkat melalui kunci enkripsi. Secara default, kunci enkripsi ini adalah kunci terkelola Microsoft. Untuk kontrol lainnya, Anda dapat menggunakan kunci yang dikelola pelanggan.

Kunci yang dikelola pelanggan tidak mempengaruhi cara data pada perangkat dienkripsi. Ini hanya mempengaruhi bagaimana pembuka kunci perangkat dienkripsi.

Untuk menjaga tingkat kontrol ini selama proses pesanan, gunakan kunci yang dikelola pelanggan saat Anda membuat pesanan Anda. Selengkapnya, lihat Tutorial: Memesan Azure Data Box.

Artikel ini memperlihatkan cara mengaktifkan kunci yang dikelola pelanggan untuk pesanan Data Box yang sudah ada di portal Microsoft Azure. Anda akan mengetahui cara mengubah brankas kunci, kunci, versi, atau identitas untuk kunci yang dikelola pelanggan saat ini, atau beralih kembali menggunakan kunci terkelola Microsoft.

Artikel ini berlaku untuk perangkat Azure Data Box dan Azure Data Box Heavy.

Persyaratan

Kunci yang dikelola pelanggan untuk pesanan Azure Data Box harus memenuhi persyaratan berikut:

  • Kunci harus dibuat dan disimpan dalam Azure Key Vault yang memiliki Penghapusan sementara dan Jangan hapus menyeluruh yang diaktifkan. Untuk informasi selengkapnya, lihat Apa itu Azure Key Vault?. Anda dapat membuat brankas kunci dan kunci saat membuat atau memperbarui pesanan Anda.
  • Kuncinya harus kunci RSA berukuran 2048 atau lebih besar.
  • Anda harus mengaktifkan Getizin , UnwrapKey, dan WrapKey untuk kunci di Azure Key Vault. Izin harus tetap ada selama masa pakai pesanan. Jika tidak, kunci yang dikelola pelanggan tidak dapat diakses di awal fase Salinan Data.

Mengaktifkan kunci

Untuk mengaktifkan kunci yang dikelola pelanggan untuk pesanan Data Box yang sudah ada di portal Microsoft Azure, ikuti langkah-langkah berikut:

  1. Masuk ke layar Gambaran Umum untuk pesanan Data Box Anda.

    Overview screen of a Data Box order - 1

  2. Buka enkripsi Pengaturan>, dan pilih Kunci yang dikelola pelanggan. Lalu pilih Pilih kunci dan brankas kunci.

    Select the customer-managed key encryption option

    Pada layar Pilih kunci dari Azure Key Vault, langganan akan diisi secara otomatis.

  3. Untuk Brankas kunci, Anda dapat memilih brankas kunci yang ada dari daftar dropdown atau pilih Buat baru dan buat brankas kunci baru.

    Key vault options when selecting a customer-managed key

    Untuk membuat brankas kunci baru, masukkan langganan, grup sumber daya, nama brankas kunci, dan info lainnya di layar Buat brankas kunci baru. Pada Opsi pemulihan, pastikan Penghapusan sementara dan Perlindungan penghapusan menyeluruh diaktifkan. Pilih Tinjau + Buat.

    Review and create Azure Key Vault

    Tinjau informasi untuk brankas kunci Anda, dan pilih Buat. Tunggu beberapa menit agar pembuatan brankas kunci selesai.

    Create Azure Key Vault with your settings

  4. Pada layar Pilih kunci dari Azure Key Vault, Anda dapat memilih kunci yang ada di brankas kunci atau membuat yang baru.

    Select key from Azure Key Vault

    Jika Anda ingin membuat kunci baru, pilih Buat baru. Anda harus menggunakan kunci RSA. Ukurannya bisa 2048 atau lebih besar.

    Create new key in Azure Key Vault

    Masukkan nama untuk kunci baru Anda, terima default lainnya, dan pilih Buat. Anda akan diberi tahu ketika kunci telah dibuat di brankas kunci Anda.

    Name new key

  5. Untuk Versi, Anda dapat memilih versi kunci yang sudah ada dari daftar dropdown.

    Select version for new key

    Jika Anda ingin membuat versi kunci baru, pilih Buat baru.

    Open a dialog box for creating a new key version

    Pilih pengaturan untuk versi kunci baru, dan pilih Buat.

    Create a new key version

  6. Saat Anda telah memilih brankas kunci, kunci, dan versi kunci, pilih Pilih.

    A key in an Azure Key Vault

    Pengaturan jenis Enkripsi memperlihatkan brankas kunci dan kunci yang Anda pilih.

    Key and key vault for a customer-managed key

  7. Pilih jenis identitas yang akan digunakan untuk mengelola kunci yang dikelola pelanggan untuk sumber daya ini. Anda dapat menggunakan identitas yang ditetapkan sistem yang dihasilkan selama pembuatan pesanan atau memilih identitas yang ditetapkan pengguna.

    Identitas yang ditetapkan pengguna adalah sumber daya independen yang dapat Anda gunakan untuk mengelola akses ke sumber daya. Untuk informasi selengkapnya, lihat Jenis identitas terkelola.

    Select the identity type

    Untuk menetapkan identitas pengguna, pilih Pengguna yang ditetapkan. Lalu pilih Pilih identitas pengguna , dan pilih identitas terkelola yang ingin Anda gunakan.

    Select an identity to use

    Anda tidak dapat membuat identitas pengguna baru di sini. Untuk informasi selengkapnya, lihat Membuat, mencantumkan, menghapus, atau menetapkan peran ke identitas terkelola pengguna yang tetapkan menggunakan portal Microsoft Azure.

    Identitas pengguna yang dipilih ditampilkan dalam pengaturan jenis Enkripsi.

    A selected user identity shown in Encryption type settings

  8. Pilih Simpan untuk menyimpan pengaturan jenis Enkripsi yang diperbarui.

    Save your customer-managed key

    URL kunci ditampilkan di bawah jenis Enkripsi.

    Customer-managed key URL

Penting

Anda harus mengaktifkan Getizin , UnwrapKey, dan WrapKey pada kunci . Untuk mengatur izin di Azure CLI, lihat az keyvault set-policy.

Mengubah kunci

Untuk mengubah brankas kunci, kunci, dan/atau versi kunci untuk kunci yang dikelola pelanggan yang saat ini Anda gunakan, ikuti langkah-langkah berikut:

  1. Pada layar Gambaran Umum untuk pesanan Data Box Anda, masuk ke Pengaturan>Enkripsi, dan klik Ubah kunci.

    Overview screen of a Data Box order with customer-managed key - 1

  2. Pilih Pilih brankas kunci dan kunci yang berbeda.

    Overview screen of a Data Box order, Select a different key and key vault option

  3. Layar Pilih kunci dari brankas kunci memperlihatkan langganan tetapi tidak ada brankas kunci, kunci, atau versi kunci. Anda dapat membuat salah satu perubahan berikut:

    • Memilih kunci yang berbeda dari brankas kunci yang sama. Anda harus memilih brankas kunci sebelum memilih kunci dan versi.

    • Pilih brankas kunci yang berbeda dan tetapkan kunci baru.

    • Ubah versi untuk kunci saat ini.

    Saat Anda menyelesaikan perubahan Anda, pilih Pilih.

    Choose encryption option - 2

  4. Pilih Simpan.

    Save updated encryption settings - 1

Penting

Anda harus mengaktifkan Getizin , UnwrapKey, dan WrapKey pada kunci . Untuk mengatur izin di Azure CLI, lihat az keyvault set-policy.

Mengubah identitas

Untuk mengubah identitas yang digunakan untuk mengelola akses ke kunci yang dikelola pelanggan untuk pesanan ini, ikuti langkah-langkah berikut:

  1. Pada layar Gambaran Umum untuk pesanan Azure Data Box Anda yang lengkap, masuk ke Pengaturan>Enkripsi.

  2. Buat salah satu perubahan berikut:

    • Untuk mengubah ke identitas pengguna lain, klik Pilih identitas pengguna yang berbeda. Kemudian pilih identitas yang berbeda di panel di sisi kanan layar, dan pilih Pilih.

      Option for changing the user-assigned identity for a customer-managed key

    • Untuk beralih ke identitas yang ditetapkan sistem yang dihasilkan selama pembuatan pesanan, pilih Sistem yang ditetapkan oleh Pilih jenis identitas.

      Option for changing to a system-assigned for a customer-managed key

  3. Pilih Simpan.

    Save updated encryption settings - 2

Menggunakan kunci yang dikelola Microsoft

Untuk mengubah dari menggunakan kunci yang dikelola pelanggan ke kunci yang dikelola Microsoft untuk pesanan Anda, ikuti langkah-langkah berikut:

  1. Pada layar Gambaran Umum untuk pesanan Azure Data Box Anda yang lengkap, masuk ke Pengaturan>Enkripsi.

  2. Menurut Pilih jenis, pilih kunci yang dikelola Microsoft.

    Overview screen of a Data Box order - 5

  3. Pilih Simpan.

    Save updated encryption settings for a Microsoft managed key

Memecahkan masalah kesalahan

Jika Anda menerima kesalahan yang terkait dengan kunci yang dikelola pelanggan Anda, gunakan tabel berikut untuk memecahkan masalah.

Kode kesalahan Detail kesalahan Dapat dipulihkan?
SsemUserErrorEncryptionKeyDisabled Tidak dapat mengambil kode akses karena kunci yang dikelola pelanggan dinonaktifkan. Ya, dengan mengaktifkan versi kunci.
SsemUserErrorEncryptionKeyExpired Tidak dapat mengambil kode akses karena kunci yang dikelola pelanggan telah kedaluwarsa. Ya, dengan mengaktifkan versi kunci.
SsemUserErrorKeyDetailsNotFound Tidak dapat mengambil kode akses karena kunci yang dikelola pelanggan tidak dapat ditemukan. Jika Anda menghapus brankas kunci, Anda tidak dapat memulihkan kunci yang dikelola pelanggan. Jika Anda memigrasikan brankas kunci ke penyewa lain, lihat Mengubah ID penyewa brankas kunci setelah pemindahan langganan. Jika Anda menghapus brankas kunci:
  1. Ya, jika dalam durasi perlindungan penghapusan menyeluruh, menggunakan langkah-langkah di Pulihkan brankas kunci.
  2. Tidak, jika kunci melebihi durasi perlindungan penghapusan menyeluruh.

Jika tidak, jika brankas kunci mengalami migrasi penyewa, ya, itu dapat dipulihkan menggunakan salah satu langkah di bawah ini:
  1. Mengembalikan brankas kunci kembali ke penyewa lama.
  2. AturIdentity = None lalu atur nilai kembali ke Identity = SystemAssigned. Ini menghapus dan membuat ulang identitas setelah identitas baru dibuat. Aktifkan izin Get, WrapKey, dan UnwrapKey ke identitas baru dalam kebijakan Akses brankas kunci.
SsemUserErrorKeyVaultBadRequestException Menerapkan kunci yang dikelola pelanggan tetapi akses kunci belum diberikan atau telah dicabut, atau tidak dapat mengakses brankas kunci karena firewall diaktifkan. Tambahkan identitas yang dipilih ke brankas kunci Anda untuk mengaktifkan akses ke kunci yang dikelola pelanggan. Jika brankas kunci mengaktifkan firewall, beralihlah ke identitas yang ditetapkan sistem lalu tambahkan kunci yang dikelola pelanggan. Untuk informasi selengkapnya, lihat cara Mengaktifkan kunci.
SsemUserErrorKeyVaultDetailsNotFound Tidak dapat mengambil kode akses karena brankas kunci terkait untuk kunci yang dikelola pelanggan tidak dapat ditemukan. Jika Anda menghapus brankas kunci, Anda tidak dapat memulihkan kunci yang dikelola pelanggan. Jika Anda memigrasikan brankas kunci ke penyewa lain, lihat Mengubah ID penyewa brankas kunci setelah pemindahan langganan. Jika Anda menghapus brankas kunci:
  1. Ya, jika dalam durasi perlindungan penghapusan menyeluruh, menggunakan langkah-langkah di Pulihkan brankas kunci.
  2. Tidak, jika kunci melebihi durasi perlindungan penghapusan menyeluruh.

Jika tidak, jika brankas kunci mengalami migrasi penyewa, ya, itu dapat dipulihkan menggunakan salah satu langkah di bawah ini:
  1. Mengembalikan brankas kunci kembali ke penyewa lama.
  2. AturIdentity = None lalu atur nilai kembali ke Identity = SystemAssigned. Ini menghapus dan membuat ulang identitas setelah identitas baru dibuat. Aktifkan izin Get, WrapKey, dan UnwrapKey ke identitas baru dalam kebijakan Akses brankas kunci.
SsemUserErrorSystemAssignedIdentityAbsent Tidak dapat mengambil kode akses karena kunci yang dikelola pelanggan tidak dapat ditemukan. Ya, periksa apakah:
  1. Brankas kunci masih memiliki MSI dalam kebijakan akses.
  2. Identitas berdasarkan jenis Sistem yang ditetapkan.
  3. Aktifkan Getizin , WrapKey, dan UnwrapKey ke identitas dalam kebijakan akses brankas kunci. Izin ini harus tetap untuk masa pakai pesanan. Mereka digunakan selama pembuatan pesanan dan di awal fase Salinan Data.
SsemUserErrorUserAssignedLimitReached Menambahkan Identitas Yang Ditetapkan Pengguna baru gagal karena Anda telah mencapai batas jumlah total identitas pengguna yang ditetapkan yang dapat ditambahkan. Coba lagi operasi dengan lebih sedikit identitas pengguna, atau hapus beberapa identitas yang ditetapkan pengguna dari sumber daya sebelum mencoba kembali.
SsemUserErrorCrossTenantIdentityAccessForbidden Operasi akses identitas terkelola gagal.
Catatan: Kesalahan ini dapat terjadi saat langganan dipindahkan ke penyewa yang berbeda. Pelanggan harus memindahkan identitas secara manual ke penyewa baru.		 Coba tambahkan identitas yang ditetapkan pengguna yang berbeda ke brankas kunci Anda untuk mengaktifkan akses ke kunci yang dikelola pelanggan. Atau pindahkan identitas ke penyewa baru tempat langganan berada. Untuk informasi selengkapnya, lihat cara Mengaktifkan kunci.
SsemUserErrorKekUserIdentityNotFound Menerapkan kunci yang dikelola pelanggan tetapi identitas yang ditetapkan pengguna yang memiliki akses ke kunci tidak ditemukan di direktori aktif.
Catatan: Kesalahan ini dapat terjadi saat identitas pengguna dihapus dari Azure.		 Coba tambahkan identitas yang ditetapkan pengguna yang berbeda ke brankas kunci Anda untuk mengaktifkan akses ke kunci yang dikelola pelanggan. Untuk informasi selengkapnya, lihat cara Mengaktifkan kunci.
SsemUserErrorUserAssignedIdentityAbsent Tidak dapat mengambil kode akses karena kunci yang dikelola pelanggan tidak dapat ditemukan. Tidak dapat mengakses kunci yang dikelola pelanggan. Baik User Assigned Identity (UAI) yang terkait dengan kunci dihapus atau jenis UAI telah berubah.
SsemUserErrorKeyVaultBadRequestException Menerapkan kunci yang dikelola pelanggan, tetapi akses kunci belum diberikan atau telah dicabut, atau brankas kunci tidak dapat diakses karena firewall diaktifkan. Tambahkan identitas yang dipilih ke brankas kunci Anda untuk mengaktifkan akses ke kunci yang dikelola pelanggan. Jika brankas kunci mengaktifkan firewall, beralihlah ke identitas yang ditetapkan sistem lalu tambahkan kunci yang dikelola pelanggan. Untuk informasi selengkapnya, lihat cara Mengaktifkan kunci.
SsemUserErrorEncryptionKeyTypeNotSupported Jenis kunci enkripsi tidak didukung untuk operasi. Aktifkan jenis enkripsi yang didukung pada kunci - misalnya, RSA atau RSA-HSM. Untuk informasi selengkapnya, lihat Jenis kunci, algoritma, dan operasi.
SsemUserErrorSoftDeleteAndPurgeProtectionNotEnabled Brankas kunci tidak mengaktifkan penghapusan sementara atau perlindungan penghapusan menyeluruh. Pastikan bahwa penghapusan sementara dan perlindungan penghapusan menyeluruh diaktifkan pada brankas kunci.
SsemUserErrorInvalidKeyVaultUrl
(Baris perintah saja)		 URI brankas kunci tidak valid digunakan. Dapatkan URI brankas kunci yang benar. Untuk mendapatkan URI brankas kunci, gunakan Get-AzKeyVault di PowerShell.
SsemUserErrorKeyVaultUrlWithInvalidScheme Hanya HTTPS yang didukung untuk meneruskan URI brankas kunci. Berikan URI brankas kunci melalui HTTPS.
SsemUserErrorKeyVaultUrlInvalidHost Host URI brankas kunci bukan host yang diizinkan di wilayah geografis. Di cloud publik, URI brankas kunci harus diakhir dengan vault.azure.net. Di cloud Azure Government, URI brankas kunci harus diakhir dengan vault.usgovcloudapi.net.
Kesalahan generik Tidak dapat mengambil kode akses. Kesalahan ini adalah kesalahan umum. Hubungi Dukungan Microsoft untuk memecahkan kesalahan dan menentukan langkah berikutnya.

Langkah berikutnya