Menggunakan kunci terkelola pelanggan di Azure Key Vault untuk Azure Data Box
Azure Data Box melindungi pembuka kunci perangkat (juga dikenal sebagai kata sandi perangkat), yang digunakan untuk mengunci perangkat melalui kunci enkripsi. Secara default, kunci enkripsi ini adalah kunci terkelola Microsoft. Untuk kontrol lainnya, Anda dapat menggunakan kunci yang dikelola pelanggan.
Kunci yang dikelola pelanggan tidak mempengaruhi cara data pada perangkat dienkripsi. Ini hanya mempengaruhi bagaimana pembuka kunci perangkat dienkripsi.
Untuk menjaga tingkat kontrol ini selama proses pesanan, gunakan kunci yang dikelola pelanggan saat Anda membuat pesanan Anda. Selengkapnya, lihat Tutorial: Memesan Azure Data Box.
Artikel ini memperlihatkan cara mengaktifkan kunci yang dikelola pelanggan untuk pesanan Data Box yang sudah ada di portal Microsoft Azure. Anda akan mengetahui cara mengubah brankas kunci, kunci, versi, atau identitas untuk kunci yang dikelola pelanggan saat ini, atau beralih kembali menggunakan kunci terkelola Microsoft.
Artikel ini berlaku untuk perangkat Azure Data Box dan Azure Data Box Heavy.
Persyaratan
Kunci yang dikelola pelanggan untuk pesanan Azure Data Box harus memenuhi persyaratan berikut:
- Kunci harus dibuat dan disimpan dalam Azure Key Vault yang memiliki Penghapusan sementara dan Jangan hapus menyeluruh yang diaktifkan. Untuk informasi selengkapnya, lihat Apa itu Azure Key Vault?. Anda dapat membuat brankas kunci dan kunci saat membuat atau memperbarui pesanan Anda.
- Kuncinya harus kunci RSA berukuran 2048 atau lebih besar.
- Anda harus mengaktifkan
Get
izin ,UnwrapKey
, danWrapKey
untuk kunci di Azure Key Vault. Izin harus tetap ada selama masa pakai pesanan. Jika tidak, kunci yang dikelola pelanggan tidak dapat diakses di awal fase Salinan Data.
Mengaktifkan kunci
Untuk mengaktifkan kunci yang dikelola pelanggan untuk pesanan Data Box yang sudah ada di portal Microsoft Azure, ikuti langkah-langkah berikut:
Masuk ke layar Gambaran Umum untuk pesanan Data Box Anda.
Buka enkripsi Pengaturan>, dan pilih Kunci yang dikelola pelanggan. Lalu pilih Pilih kunci dan brankas kunci.
Pada layar Pilih kunci dari Azure Key Vault, langganan akan diisi secara otomatis.
Untuk Brankas kunci, Anda dapat memilih brankas kunci yang ada dari daftar dropdown atau pilih Buat baru dan buat brankas kunci baru.
Untuk membuat brankas kunci baru, masukkan langganan, grup sumber daya, nama brankas kunci, dan info lainnya di layar Buat brankas kunci baru. Pada Opsi pemulihan, pastikan Penghapusan sementara dan Perlindungan penghapusan menyeluruh diaktifkan. Pilih Tinjau + Buat.
Tinjau informasi untuk brankas kunci Anda, dan pilih Buat. Tunggu beberapa menit agar pembuatan brankas kunci selesai.
Pada layar Pilih kunci dari Azure Key Vault, Anda dapat memilih kunci yang ada di brankas kunci atau membuat yang baru.
Jika Anda ingin membuat kunci baru, pilih Buat baru. Anda harus menggunakan kunci RSA. Ukurannya bisa 2048 atau lebih besar.
Masukkan nama untuk kunci baru Anda, terima default lainnya, dan pilih Buat. Anda akan diberi tahu ketika kunci telah dibuat di brankas kunci Anda.
Untuk Versi, Anda dapat memilih versi kunci yang sudah ada dari daftar dropdown.
Jika Anda ingin membuat versi kunci baru, pilih Buat baru.
Pilih pengaturan untuk versi kunci baru, dan pilih Buat.
Saat Anda telah memilih brankas kunci, kunci, dan versi kunci, pilih Pilih.
Pengaturan jenis Enkripsi memperlihatkan brankas kunci dan kunci yang Anda pilih.
Pilih jenis identitas yang akan digunakan untuk mengelola kunci yang dikelola pelanggan untuk sumber daya ini. Anda dapat menggunakan identitas yang ditetapkan sistem yang dihasilkan selama pembuatan pesanan atau memilih identitas yang ditetapkan pengguna.
Identitas yang ditetapkan pengguna adalah sumber daya independen yang dapat Anda gunakan untuk mengelola akses ke sumber daya. Untuk informasi selengkapnya, lihat Jenis identitas terkelola.
Untuk menetapkan identitas pengguna, pilih Pengguna yang ditetapkan. Lalu pilih Pilih identitas pengguna , dan pilih identitas terkelola yang ingin Anda gunakan.
Anda tidak dapat membuat identitas pengguna baru di sini. Untuk informasi selengkapnya, lihat Membuat, mencantumkan, menghapus, atau menetapkan peran ke identitas terkelola pengguna yang tetapkan menggunakan portal Microsoft Azure.
Identitas pengguna yang dipilih ditampilkan dalam pengaturan jenis Enkripsi.
Pilih Simpan untuk menyimpan pengaturan jenis Enkripsi yang diperbarui.
URL kunci ditampilkan di bawah jenis Enkripsi.
Penting
Anda harus mengaktifkan Get
izin , UnwrapKey
, dan WrapKey
pada kunci . Untuk mengatur izin di Azure CLI, lihat az keyvault set-policy.
Mengubah kunci
Untuk mengubah brankas kunci, kunci, dan/atau versi kunci untuk kunci yang dikelola pelanggan yang saat ini Anda gunakan, ikuti langkah-langkah berikut:
Pada layar Gambaran Umum untuk pesanan Data Box Anda, masuk ke Pengaturan>Enkripsi, dan klik Ubah kunci.
Pilih Pilih brankas kunci dan kunci yang berbeda.
Layar Pilih kunci dari brankas kunci memperlihatkan langganan tetapi tidak ada brankas kunci, kunci, atau versi kunci. Anda dapat membuat salah satu perubahan berikut:
Memilih kunci yang berbeda dari brankas kunci yang sama. Anda harus memilih brankas kunci sebelum memilih kunci dan versi.
Pilih brankas kunci yang berbeda dan tetapkan kunci baru.
Ubah versi untuk kunci saat ini.
Saat Anda menyelesaikan perubahan Anda, pilih Pilih.
Pilih Simpan.
Penting
Anda harus mengaktifkan Get
izin , UnwrapKey
, dan WrapKey
pada kunci . Untuk mengatur izin di Azure CLI, lihat az keyvault set-policy.
Mengubah identitas
Untuk mengubah identitas yang digunakan untuk mengelola akses ke kunci yang dikelola pelanggan untuk pesanan ini, ikuti langkah-langkah berikut:
Pada layar Gambaran Umum untuk pesanan Azure Data Box Anda yang lengkap, masuk ke Pengaturan>Enkripsi.
Buat salah satu perubahan berikut:
Untuk mengubah ke identitas pengguna lain, klik Pilih identitas pengguna yang berbeda. Kemudian pilih identitas yang berbeda di panel di sisi kanan layar, dan pilih Pilih.
Untuk beralih ke identitas yang ditetapkan sistem yang dihasilkan selama pembuatan pesanan, pilih Sistem yang ditetapkan oleh Pilih jenis identitas.
Pilih Simpan.
Menggunakan kunci yang dikelola Microsoft
Untuk mengubah dari menggunakan kunci yang dikelola pelanggan ke kunci yang dikelola Microsoft untuk pesanan Anda, ikuti langkah-langkah berikut:
Pada layar Gambaran Umum untuk pesanan Azure Data Box Anda yang lengkap, masuk ke Pengaturan>Enkripsi.
Menurut Pilih jenis, pilih kunci yang dikelola Microsoft.
Pilih Simpan.
Memecahkan masalah kesalahan
Jika Anda menerima kesalahan yang terkait dengan kunci yang dikelola pelanggan Anda, gunakan tabel berikut untuk memecahkan masalah.
Kode kesalahan | Detail kesalahan | Dapat dipulihkan? |
---|---|---|
SsemUserErrorEncryptionKeyDisabled | Tidak dapat mengambil kode akses karena kunci yang dikelola pelanggan dinonaktifkan. | Ya, dengan mengaktifkan versi kunci. |
SsemUserErrorEncryptionKeyExpired | Tidak dapat mengambil kode akses karena kunci yang dikelola pelanggan telah kedaluwarsa. | Ya, dengan mengaktifkan versi kunci. |
SsemUserErrorKeyDetailsNotFound | Tidak dapat mengambil kode akses karena kunci yang dikelola pelanggan tidak dapat ditemukan. | Jika Anda menghapus brankas kunci, Anda tidak dapat memulihkan kunci yang dikelola pelanggan. Jika Anda memigrasikan brankas kunci ke penyewa lain, lihat Mengubah ID penyewa brankas kunci setelah pemindahan langganan. Jika Anda menghapus brankas kunci:
Jika tidak, jika brankas kunci mengalami migrasi penyewa, ya, itu dapat dipulihkan menggunakan salah satu langkah di bawah ini:
|
SsemUserErrorKeyVaultBadRequestException | Menerapkan kunci yang dikelola pelanggan tetapi akses kunci belum diberikan atau telah dicabut, atau tidak dapat mengakses brankas kunci karena firewall diaktifkan. | Tambahkan identitas yang dipilih ke brankas kunci Anda untuk mengaktifkan akses ke kunci yang dikelola pelanggan. Jika brankas kunci mengaktifkan firewall, beralihlah ke identitas yang ditetapkan sistem lalu tambahkan kunci yang dikelola pelanggan. Untuk informasi selengkapnya, lihat cara Mengaktifkan kunci. |
SsemUserErrorKeyVaultDetailsNotFound | Tidak dapat mengambil kode akses karena brankas kunci terkait untuk kunci yang dikelola pelanggan tidak dapat ditemukan. | Jika Anda menghapus brankas kunci, Anda tidak dapat memulihkan kunci yang dikelola pelanggan. Jika Anda memigrasikan brankas kunci ke penyewa lain, lihat Mengubah ID penyewa brankas kunci setelah pemindahan langganan. Jika Anda menghapus brankas kunci:
Jika tidak, jika brankas kunci mengalami migrasi penyewa, ya, itu dapat dipulihkan menggunakan salah satu langkah di bawah ini:
|
SsemUserErrorSystemAssignedIdentityAbsent | Tidak dapat mengambil kode akses karena kunci yang dikelola pelanggan tidak dapat ditemukan. | Ya, periksa apakah:
|
SsemUserErrorUserAssignedLimitReached | Menambahkan Identitas Yang Ditetapkan Pengguna baru gagal karena Anda telah mencapai batas jumlah total identitas pengguna yang ditetapkan yang dapat ditambahkan. | Coba lagi operasi dengan lebih sedikit identitas pengguna, atau hapus beberapa identitas yang ditetapkan pengguna dari sumber daya sebelum mencoba kembali. |
SsemUserErrorCrossTenantIdentityAccessForbidden | Operasi akses identitas terkelola gagal. Catatan: Kesalahan ini dapat terjadi saat langganan dipindahkan ke penyewa yang berbeda. Pelanggan harus memindahkan identitas secara manual ke penyewa baru. |
Coba tambahkan identitas yang ditetapkan pengguna yang berbeda ke brankas kunci Anda untuk mengaktifkan akses ke kunci yang dikelola pelanggan. Atau pindahkan identitas ke penyewa baru tempat langganan berada. Untuk informasi selengkapnya, lihat cara Mengaktifkan kunci. |
SsemUserErrorKekUserIdentityNotFound | Menerapkan kunci yang dikelola pelanggan tetapi identitas yang ditetapkan pengguna yang memiliki akses ke kunci tidak ditemukan di direktori aktif. Catatan: Kesalahan ini dapat terjadi saat identitas pengguna dihapus dari Azure. |
Coba tambahkan identitas yang ditetapkan pengguna yang berbeda ke brankas kunci Anda untuk mengaktifkan akses ke kunci yang dikelola pelanggan. Untuk informasi selengkapnya, lihat cara Mengaktifkan kunci. |
SsemUserErrorUserAssignedIdentityAbsent | Tidak dapat mengambil kode akses karena kunci yang dikelola pelanggan tidak dapat ditemukan. | Tidak dapat mengakses kunci yang dikelola pelanggan. Baik User Assigned Identity (UAI) yang terkait dengan kunci dihapus atau jenis UAI telah berubah. |
SsemUserErrorKeyVaultBadRequestException | Menerapkan kunci yang dikelola pelanggan, tetapi akses kunci belum diberikan atau telah dicabut, atau brankas kunci tidak dapat diakses karena firewall diaktifkan. | Tambahkan identitas yang dipilih ke brankas kunci Anda untuk mengaktifkan akses ke kunci yang dikelola pelanggan. Jika brankas kunci mengaktifkan firewall, beralihlah ke identitas yang ditetapkan sistem lalu tambahkan kunci yang dikelola pelanggan. Untuk informasi selengkapnya, lihat cara Mengaktifkan kunci. |
SsemUserErrorEncryptionKeyTypeNotSupported | Jenis kunci enkripsi tidak didukung untuk operasi. | Aktifkan jenis enkripsi yang didukung pada kunci - misalnya, RSA atau RSA-HSM. Untuk informasi selengkapnya, lihat Jenis kunci, algoritma, dan operasi. |
SsemUserErrorSoftDeleteAndPurgeProtectionNotEnabled | Brankas kunci tidak mengaktifkan penghapusan sementara atau perlindungan penghapusan menyeluruh. | Pastikan bahwa penghapusan sementara dan perlindungan penghapusan menyeluruh diaktifkan pada brankas kunci. |
SsemUserErrorInvalidKeyVaultUrl (Baris perintah saja) |
URI brankas kunci tidak valid digunakan. | Dapatkan URI brankas kunci yang benar. Untuk mendapatkan URI brankas kunci, gunakan Get-AzKeyVault di PowerShell. |
SsemUserErrorKeyVaultUrlWithInvalidScheme | Hanya HTTPS yang didukung untuk meneruskan URI brankas kunci. | Berikan URI brankas kunci melalui HTTPS. |
SsemUserErrorKeyVaultUrlInvalidHost | Host URI brankas kunci bukan host yang diizinkan di wilayah geografis. | Di cloud publik, URI brankas kunci harus diakhir dengan vault.azure.net . Di cloud Azure Government, URI brankas kunci harus diakhir dengan vault.usgovcloudapi.net . |
Kesalahan generik | Tidak dapat mengambil kode akses. | Kesalahan ini adalah kesalahan umum. Hubungi Dukungan Microsoft untuk memecahkan kesalahan dan menentukan langkah berikutnya. |