Kunci yang dikelola pelanggan Azure Monitor

Data di Azure Monitor dienkripsi dengan kunci yang dikelola Microsoft. Anda dapat menggunakan kunci enkripsi Anda sendiri untuk melindungi data dan menyimpan kueri di ruang kerja Anda. Kunci yang dikelola pelanggan di Azure Monitor memberi Anda fleksibilitas yang lebih besar guna mengelola kontrol akses ke log. Setelah dikonfigurasi, data baru untuk ruang kerja tertaut dienkripsi dengan kunci Anda disimpan di Azure Key Vault, atau Azure Key Vault Managed "HSM".

Sebaiknya tinjau Batasan dan batasan di bawah ini sebelum konfigurasi.

Ringkasan kunci yang dikelola pelanggan

Enkripsi saat Tidak Aktif adalah persyaratan privasi dan keamanan umum dalam organisasi. Anda dapat membiarkan Azure sepenuhnya mengelola enkripsi saat tidak aktif, sementara Anda memiliki berbagai opsi untuk mengelola kunci enkripsi dan enkripsi dengan cermat.

Azure Monitor memastikan bahwa semua data dan kueri yang disimpan dienkripsi saat tidak digunakan menggunakan kunci yang dikelola Microsoft (MMK). Anda juga memiliki opsi untuk mengenkripsi data dengan kunci Anda sendiri di Azure Key Vault, dengan kontrol atas siklus hidup kunci dan kemampuan guna mencabut akses ke data Anda kapan saja. Penggunaan enkripsi Azure Monitor identik dengan cara enkripsi Azure Storage beroperasi.

Kunci yang dikelola pelanggan dikirimkan pada kluster khusus yang memberikan tingkat perlindungan dan kontrol yang lebih tinggi. Data ke kluster khusus dienkripsi dua kali, sekali di tingkat layanan menggunakan kunci yang dikelola Microsoft atau kunci yang dikelola Pelanggan, dan sekali di tingkat infrastruktur, menggunakan dua algoritme enkripsi yang berbeda dan dua kunci yang berbeda. enkripsi ganda melindungi dari skenario di mana salah satu algoritme atau kunci enkripsi dapat disusupi. Dalam hal ini, lapisan enkripsi tambahan terus melindungi data Anda. Kluster khusus juga memungkinkan Anda untuk melindungi data Anda dengan kontrol Lockbox.

Data yang diserap dalam 14 hari terakhir atau baru-baru ini digunakan dalam kueri disimpan dalam cache panas (didukung SSD) untuk efisiensi kueri. Data SSD dienkripsi dengan kunci Microsoft terlepas dari konfigurasi kunci yang dikelola pelanggan, tetapi kontrol Anda atas akses SSD mematuhi pencabutan kunci

Model penetapan harga Kluster Khusus Analisis Log memerlukan Tingkat komitmen mulai dari 500 GB per hari dan dapat memiliki nilai 500, 1000, 2000, atau 5000 GB per hari.

Cara kerja kunci yang dikelola pelanggan di Azure Monitor

Azure Monitor menggunakan identitas terkelola untuk memberikan akses ke Azure Key Vault Anda. Identitas kluster Log Analytics didukung di tingkat kluster. Untuk mengizinkan kunci yang dikelola pelanggan di beberapa ruang kerja, sumber daya Kluster Analitik Log berfungsi sebagai koneksi identitas perantara antara Key Vault dan ruang kerja Analitik Log Anda. Penyimpanan kluster menggunakan identitas terkelola yang terkait dengan sumber daya Kluster untuk mengautentikasi ke azure Key Vault Anda melalui Azure Active Directory.

Kluster mendukung dua jenis identitas terkelola: Berbasis sistem dan Ditetapkan pengguna, sementara satu identitas dapat ditentukan dalam kluster tergantung pada skenario Anda.

  • Identitas terkelola yang ditetapkan sistem lebih sederhana dan dihasilkan secara otomatis dengan pembuatan kluster ketika identitas type diatur ke "SystemAssigned". Identitas ini dapat digunakan nanti untuk memberikan akses penyimpanan ke Key Vault Anda untuk operasi bungkus dan bongkar.
  • Identitas terkelola yang ditetapkan pengguna memungkinkan Anda mengonfigurasi kunci yang dikelola Pelanggan pada pembuatan kluster, saat memberinya izin di Key Vault Anda sebelum pembuatan kluster.

Anda dapat menerapkan konfigurasi kunci yang dikelola pelanggan ke kluster baru, atau kluster yang ada yang memiliki ruang kerja tertaut dengan data yang diserap ke kluster tersebut. Data baru yang diserap ke ruang kerja tertaut akan dienkripsi dengan kunci Anda, dan data lama yang diserap sebelum konfigurasi, tetap dienkripsi dengan kunci Microsoft. Kueri Anda tidak terpengaruh oleh konfigurasi kunci yang dikelola pelanggan dan kueri dilakukan di seluruh data lama dan baru dengan mulus. Anda dapat membatalkan tautan ruang kerja dari kluster kapan saja, dan data baru yang diserap setelah tautan dienkripsi dengan kunci Microsoft, dan kueri dilakukan di seluruh data lama dan baru dengan mulus.

Penting

Kemampuan kunci yang dikelola pelanggan bergantung wilayah. Azure Key Vault, kluster, dan ruang kerja tertaut Anda harus berada di wilayah yang sama, tetapi dapat berada dalam langganan yang berbeda.

Ringkasan kunci yang dikelola pelanggan

  1. Key Vault
  2. Sumber daya kluster Log Analytics yang memiliki identitas terkelola dengan izin ke Key Vault—Identitas disebarkan ke penyimpanan kluster khusus yang mendasari
  3. Kluster khusus
  4. Ruang kerja yang ditautkan ke kluster khusus

Operasi kunci enkripsi

Ada tiga jenis kunci yang terlibat dalam enkripsi data Penyimpanan:

  • "KEK" - Kunci Enkripsi Kunci (kunci yang dikelola Pelanggan Anda)
  • "AEK" - Kunci Enkripsi Akun
  • "DEK" - Kunci Enkripsi Data

Aturan berikut ini akan berlaku:

  • Penyimpanan kluster memiliki kunci enkripsi unik untuk setiap Akun Penyimpanan, yang dikenal sebagai "AEK".
  • "AEK" digunakan untuk memperoleh "DEK", yang merupakan kunci yang digunakan untuk mengenkripsi setiap blok data yang ditulis ke disk.
  • Saat Anda mengonfigurasi kunci di Key Vault Anda, dan memperbarui detail kunci dalam kluster, penyimpanan kluster melakukan permintaan untuk 'membungkus' dan 'membuka bungkus' "AEK" untuk enkripsi dan dekripsi.
  • "KEK" Anda tidak pernah meninggalkan Key Vault Anda, dan dalam kasus "HSM" Terkelola, tidak pernah meninggalkan perangkat keras.
  • Azure Storage menggunakan identitas terkelola yang terkait dengan sumber daya Kluster untuk autentikasi. Ini mengakses Azure Key Vault melalui Azure Active Directory.

Langkah-langkah provisi kunci yang Dikelola Pelanggan

  1. Membuat Azure Key Vault dan menyimpan kunci
  2. Membuat kluster
  3. Memberikan izin ke Key Vault Anda
  4. Memperbarui kluster dengan detail pengidentifikasi utama
  5. Menghubungkan ruang kerja

Konfigurasi kunci yang dikelola pelanggan tidak didukung di portal Azure saat ini dan penyediaan dapat dilakukan melalui permintaan PowerShell, CLI, atau REST.

Menyimpan kunci enkripsi ("KEK")

Portofolio produk Azure Key Management mencantumkan vault dan HSM terkelola yang dapat digunakan.

Buat atau gunakan Azure Key Vault yang sudah ada di wilayah tempat kluster direncanakan, dan buat atau impor kunci yang akan digunakan untuk enkripsi log. Azure Key Vault harus dikonfigurasi sebagai dapat dipulihkan, untuk melindungi kunci Anda dan akses ke data Anda di Azure Monitor. Anda dapat memverifikasi konfigurasi ini di bawah properti di Key Vault Anda, baik Penghapusan sementara dan Perlindungan terhadap hapus menyeluruh harus diaktifkan.

Pengaturan perlindungan hapus menyeluruh dan penghapusan sementara

Pengaturan ini dapat diperbarui di Key Vault melalui CLI dan PowerShell:

Buat kluster

Kluster menggunakan identitas terkelola untuk enkripsi data dengan Key Vault Anda. Konfigurasikan properti identitas type ke SystemAssigned saat membuat kluster untuk mengizinkan akses ke Key Vault Anda untuk operasi "bungkus" dan "buka bungkus".

Pengaturan identitas dalam kluster untuk identitas terkelola yang ditetapkan sistem

{
  "identity": {
    "type": "SystemAssigned"
    }
}

Ikuti prosedur yang diilustrasikan dalam artikel Kluster Khusus.

Memberi izin Key Vault

Ada dua model izin dalam Key Vault untuk memberikan izin ke kluster dan penyimpanan underlay Anda——Kebijakan akses vault, dan kontrol akses berbasis peran Azure.

  1. Kebijakan akses Vault

    Buka portal Key Vault di Azure dan klik Kebijakan Akses, pilih Kebijakan akses vault, lalu klik + Tambahkan Kebijakan Akses untuk membuat kebijakan dengan pengaturan berikut:

    • Izin kunci—pilih Dapatkan, Kunci Bungkus, dan Buka Kunci Bungkus.
    • Pilih prinsipal—tergantung pada jenis identitas yang digunakan dalam kluster (identitas terkelola yang ditetapkan sistem atau pengguna)
      • Identitas terkelola yang ditetapkan sistem - masukkan nama kluster atau ID prinsipal kluster
      • Identitas terkelola yang ditetapkan pengguna - masukkan nama identitas

    Memberi izin Key Vault

    Izin Dapatkan diperlukan untuk memverifikasi bahwa Key Vault Anda dikonfigurasi sebagai dapat dipulihkan untuk melindungi kunci Anda dan akses ke data Azure Monitor Anda.

  2. Kontrol akses berbasis peran Azure Buka Key Vault Anda di portal Azure dan klik Kebijakan Akses, pilih kontrol akses berbasis peran Azure, lalu masukkan kontrol akses(IAM) dan tambahkan penetapan peran Pengguna Enkripsi Layanan Kripto Key Vault.

Perbarui kluster dengan detail pengidentifikasi kunci

Semua operasi pada kluster memerlukan izin tindakan Microsoft.OperationalInsights/clusters/write. Izin ini dapat diberikan melalui Pemilik atau Kontributor yang berisi tindakan */write atau melalui peran Kontributor Log Analytics yang berisi tindakan Microsoft.OperationalInsights/*.

Langkah ini memperbarui penyimpanan kluster khusus dengan kunci dan versi yang digunakan untuk membungkus dan membuka bungkus "AEK".

Penting

  • Rotasi kunci dapat dilakukan secara otomatis atau memerlukan pembaruan kunci eksplisit, lihat Rotasi kunci untuk menentukan pendekatan yang cocok untuk Anda sebelum memperbarui detail pengidentifikasi kunci dalam kluster.
  • Pembaruan kluster tidak boleh menyertakan detail identitas dan pengidentifikasi kunci dalam operasi yang sama. Jika Anda perlu memperbarui keduanya, pembaruan harus dilakukan dalam dua operasi berturut-turut.

Memberi izin Key Vault

Perbarui KeyVaultProperties dalam kluster dengan detail pengidentifikasi kunci.

Operasi ini bersifat asinkron dan dapat memakan waktu cukup lama untuk diselesaikan.

T/A

Penting

Langkah ini harus dilakukan hanya setelah penyediaan kluster. Jika Anda menautkan ruang kerja dan menyerap data sebelum provisi, data yang diserap akan dihapus dan tidak akan dapat dipulihkan.

Anda harus memiliki izin "tulis" di ruang kerja dan kluster Anda untuk melakukan operasi ini. Ini termasuk Microsoft.OperationalInsights/workspaces/write dan Microsoft.OperationalInsights/clusters/write.

Ikuti prosedur yang diilustrasikan dalam artikel Kluster Khusus.

Pencabutan kunci

Penting

  • Cara yang disarankan untuk mencabut akses ke data Anda adalah dengan menonaktifkan kunci Anda, atau menghapus Kebijakan Akses di Key Vault Anda.
  • Mengatur identitytype kluster ke None juga mencabut akses ke data Anda, tetapi pendekatan ini tidak disarankan karena Anda tidak dapat mengembalikannya tanpa menghubungi dukungan.

Penyimpanan kluster akan selalu menghormati perubahan dalam izin utama dalam waktu satu jam atau lebih cepat dan penyimpanan akan menjadi tidak tersedia. Data baru yang diserap ke ruang kerja tertaut tidak berfungsi dan tidak dapat dipulihkan. Data tidak dapat diakses di ruang kerja ini dan kueri gagal. Data yang sebelumnya diserap tetap berada di penyimpanan selama kluster dan ruang kerja Anda tidak dihapus. Data yang tidak dapat diakses diatur oleh kebijakan penyimpanan data dan akan dihapus sepenuhnya saat retensi tercapai. Data yang diserap dalam 14 hari terakhir dan data yang baru-baru ini digunakan dalam kueri juga disimpan dalam cache panas (didukung SSD) untuk efisiensi kueri. Data pada SSD akan dihapus pada operasi pencabutan kunci dan menjadi tidak dapat diakses. Upaya penyimpanan kluster mencapai Key Vault Anda untuk membuka enkripsi secara berkala, dan ketika kunci diaktifkan, membuka bungkusnya berhasil, data SSD dimuat ulang dari penyimpanan, penyerapan data, dan kueri dilanjutkan dalam 30 menit.

Rotasi kunci

Rotasi kunci memiliki dua mode:

  • Rotasi otomatis—perbarui kluster Anda dengan "keyVaultProperties" tetapi hilangkan properti "keyVersion", atau atur ke "". Penyimpanan akan secara otomatis menggunakan versi terbaru.
  • Pembaruan versi kunci eksplisit—perbarui kluster Anda dengan versi kunci di properti "keyVersion". Rotasi tombol memerlukan pembaruan "keyVaultProperties" eksplisit dalam kluster, baca bagian Memperbarui kluster dengan Detail pengidentifikasi utama. Jika Anda membuat versi kunci baru di Key Vault tetapi tidak memperbaruinya di kluster, penyimpanan kluster akan tetap menggunakan kunci Anda sebelumnya. Jika menonaktifkan atau menghapus kunci lama sebelum memperbarui yang baru di kluster, Anda akan masuk ke status pencabutan kunci.

Semua data Anda tetap dapat diakses setelah operasi rotasi kunci. Data selalu dienkripsi dengan Kunci Enkripsi Akun ("AEK"), yang dienkripsi dengan versi Key Encryption Key ("KEK") baru Anda di Key Vault.

Kunci yang dikelola pelanggan untuk kueri dan pemberitahuan log yang disimpan

Bahasa kueri yang digunakan di Log Analytics bersifat ekspresif dan dapat berisi informasi sensitif dalam komentar, atau dalam sintaksis kueri. Beberapa organisasi mengharuskan informasi tersebut dilindungi di bawah Kebijakan kunci yang dikelola pelanggan dan Anda perlu menyimpan kueri yang dienkripsi dengan kunci Anda. Azure Monitor memungkinkan Anda menyimpan kueri pencarian tersimpan dan pemberitahuan log yang dienkripsi dengan kunci di Akun Penyimpanan Anda sendiri saat tersambung ke ruang kerja Anda.

Catatan

Kueri Log Analytics dapat disimpan di berbagai penyimpanan tergantung pada skenario yang digunakan. Kueri tetap dienkripsi dengan kunci Microsoft ("MMK") dalam skenario berikut terlepas dari konfigurasi Kunci yang dikelola pelanggan: Buku kerja di Azure Monitor, dasbor Azure, Azure Logic App, Azure Notebooks, dan Automation Runbooks.

Saat menautkan penyimpanan Anda sendiri (BYOS) ke ruang kerja, layanan menyimpan pencarian tersimpan dan kueri peringatan log ke Akun Penyimpanan Anda. Dengan kontrol pada Akun Penyimpanan dan kebijakan enkripsi saat istirahat, Anda dapat melindungi pencarian tersimpan dan peringatan log dengan Kunci yang dikelola pelanggan. Namun, Anda akan bertanggung jawab atas biaya yang terkait dengan Akun Penyimpanan tersebut.

Pertimbangan sebelum menetapkan kunci yang dikelola pelanggan untuk kueri

  • Anda harus memiliki izin "tulis" di ruang kerja dan Akun Penyimpanan Anda.
  • Pastikan untuk membuat Akun Penyimpanan di wilayah yang sama dengan ruang kerja Log Analytics Anda berada.
  • Pencarian tersimpan dalam penyimpanan dianggap sebagai artefak layanan dan formatnya dapat berubah.
  • Pencarian tersimpan yang ada telah dihapus dari ruang kerja Anda. Salin pencarian tersimpan yang Anda butuhkan sebelum konfigurasi ini. Anda bisa menampilkan pencarian tersimpan menggunakan PowerShell.
  • 'Riwayat' kueri dan 'menyematkan ke dasbor' tidak didukung saat menautkan Akun Penyimpanan untuk kueri.
  • Anda dapat menautkan satu Akun Penyimpanan ke ruang kerja, yang dapat digunakan untuk kueri pencarian tersimpan dan peringatan log.
  • Pemberitahuan log yang diaktifkan tidak akan berisi hasil pencarian atau kueri peringatan. Anda dapat menggunakan dimensi pemberitahuan untuk mendapatkan konteks dalam peringatan yang diaktifkan.

Mengonfigurasi BYOS untuk kueri pencarian tersimpan

Tautkan Akun Penyimpanan untuk Kueri agar kueri menyimpan penelusuran tersimpan di Akun Penyimpanan Anda.

T/A

Setelah konfigurasi, kueri pencarian baru yang disimpan akan disimpan di penyimpanan Anda.

Mengonfigurasi BYOS untuk kueri pemberitahuan log

Tautkan Akun Penyimpanan untuk Peringatan agar pertanyaan peringatan log tetap ada di Akun Penyimpanan Anda.

T/A

Setelah konfigurasi, kueri peringatan baru akan disimpan di penyimpanan Anda.

Customer Lockbox (pratinjau)

Lockbox memberi Anda kontrol untuk menyetujui atau menolak permintaan teknisi Microsoft untuk mengakses data Anda selama permintaan dukungan.

Di Azure Monitor, Anda memiliki kontrol ini pada data di ruang kerja yang ditautkan ke kluster khusus Log Analytics Anda. Kontrol Lockbox berlaku untuk data yang disimpan di kluster khusus yang tetap terisolasi di penyimpanan kluster di bawah langganan Anda yang dilindungi Lockbox.

Pelajari selengkapnya tentang Customer Lockbox untuk Microsoft Azure

Operasi kunci yang Dikelola Pelanggan

Kunci yang Dikelola Pelanggan disediakan pada kluster khusus dan operasi ini dirujuk dalam artikel kluster khusus

  • Dapatkan semua kluster di grup sumber daya
  • Dapatkan semua kluster di langganan
  • Perbarui reservasi kapasitas dalam kluster
  • Perbarui billingType dalam kluster
  • Hapus tautan ruang kerja dari kluster
  • Menghapus kluster

Pembatasan dan batasan

  • Maksimal dua kluster aktif dapat dibuat di setiap wilayah dan langganan.

  • Jumlah maksimum tujuh kluster yang dipesan (aktif atau baru dihapus) dapat dibuat di setiap wilayah dan langganan.

  • Maksimal 1.000 ruang kerja Log Analytics dapat ditautkan ke kluster.

  • Maksimal dua operasi tautan ruang kerja di ruang kerja tertentu diperbolehkan dalam periode 30 hari.

  • Memindahkan kluster ke grup sumber daya atau langganan lain saat ini tidak didukung.

  • Pembaruan kluster tidak boleh menyertakan detail identitas dan pengidentifikasi kunci dalam operasi yang sama. Jika Anda perlu memperbarui keduanya, pembaruan harus dilakukan dalam dua operasi berturut-turut.

  • Lockbox tidak tersedia di Tiongkok pada saat ini.

  • Enkripsi ganda dikonfigurasi secara otomatis untuk kluster yang dibuat mulai Oktober 2020 di wilayah yang didukung. Anda dapat memverifikasi apakah kluster Anda dikonfigurasi untuk enkripsi ganda dengan mengirimkan permintaan GET pada kluster dan mengamati bahwa nilai isDoubleEncryptionEnabled adalah true untuk kluster dengan enkripsi ganda diaktifkan.

    • Jika Anda membuat kluster dan mendapatkan pesan kesalahan—"nama wilayah tidak mendukung Enkripsi Ganda untuk kluster", Anda masih dapat membuat kluster tanpa Enkripsi ganda dengan menambahkan "properties": {"isDoubleEncryptionEnabled": false} dalam isi permintaan REST.
    • Pengaturan enkripsi ganda tidak dapat diubah setelah kluster dibuat.

Menghapus ruang kerja yang ditautkan diizinkan saat ditautkan ke kluster. Jika Anda memutuskan untuk memulihkan ruang kerja selama periode penghapusan sementara, ruang kerja akan kembali ke status sebelumnya dan tetap tertaut ke kluster.

  • Enkripsi kunci yang dikelola pelanggan berlaku untuk data yang baru diserap setelah waktu konfigurasi. Data yang diserap sebelum konfigurasi, tetap dienkripsi dengan kunci Microsoft. Anda dapat meminta data yang diserap sebelum dan sesudah konfigurasi kunci yang dikelola Pelanggan dengan mulus.

  • Azure Key Vault harus dikonfigurasi sebagai dapat dipulihkan. Properti ini tidak diaktifkan secara default dan harus dikonfigurasi menggunakan CLI atau PowerShell:

  • Azure Key Vault, kluster, dan ruang kerja Anda harus berada di wilayah yang sama dan di penyewa Azure Active Directory (Azure AD) yang sama, tetapi dapat berada di langganan yang berbeda.

  • Mengatur identitytype kluster ke None juga mencabut akses ke data Anda, tetapi pendekatan ini tidak disarankan karena Anda tidak dapat mengembalikannya tanpa menghubungi dukungan. Cara yang direkomendasikan untuk mencabut akses ke data Anda adalah pencabutan kunci.

  • Anda tidak dapat menggunakan kunci yang dikelola Pelanggan dengan identitas terkelola yang ditetapkan pengguna jika Key Vault Anda berada di Private-Link (vNet). Anda dapat menggunakan Identitas terkelola yang ditetapkan sistem dalam skenario ini.

  • Kueri asinkron pekerjaan pencarian tidak didukung dalam skenario Kunci yang dikelola pelanggan untuk saat ini.

Pemecahan Masalah

  • Perilaku per ketersediaan Key Vault:

    • Operasi normal—penyimpanan menyimpan cache "AEK" untuk waktu yang singkat dan kembali ke Key Vault untuk dibuka secara berkala.

    • Kesalahan koneksi Key Vault—penyimpanan menangani kesalahan sementara (waktu habis, kegagalan koneksi, masalah "DNS"), dengan mengizinkan kunci tetap berada di cache selama masalah ketersediaan, dan mengatasi masalah blip dan ketersediaan. Kemampuan kueri dan penyerapan berlanjut tanpa gangguan.

  • Tingkat akses Key Vault—Frekuensi penyimpanan kluster Azure mengakses Key Vault untuk membungkus dan membuka adalah antara 6 hingga 60 detik.

  • Jika Anda memperbarui kluster saat berada di status penyediaan, atau memperbarui status, pembaruan akan gagal.

  • Jika Anda mendapatkan konflik—kesalahan saat membuat kluster, Anda mungkin telah menghapus kluster Anda dalam 14 hari terakhir dan dalam status penghapusan sementara. Nama kluster tetap dicadangkan selama periode penghapusan sementara dan Anda tidak dapat membuat kluster baru dengan nama tersebut. Nama dilepaskan setelah periode penghapusan sementara saat kluster dihapus secara permanen.

  • Tautan ruang kerja ke kluster akan gagal jika ditautkan ke kluster lain.

  • Jika Anda membuat kluster dan menentukan KeyVaultProperties segera, operasi mungkin gagal karena Kebijakan Akses tidak dapat ditentukan hingga identitas sistem ditetapkan ke kluster.

  • Jika Anda memperbarui kluster yang ada dengan KeyVaultProperties dan Kebijakan Akses kunci 'Get' hilang di Key Vault, operasi akan gagal.

  • Jika Anda gagal menyebarkan kluster Anda, verifikasi bahwa Azure Key Vault, kluster, dan ruang kerja tertaut Anda berada di wilayah yang sama. Dapat berada dalam langganan yang berbeda.

  • Jika Anda memperbarui versi kunci di Key Vault dan tidak memperbarui detail pengidentifikasi kunci baru di kluster, kluster akan tetap menggunakan kunci Anda sebelumnya dan data Anda tidak akan dapat diakses. Perbarui detail pengidentifikasi kunci baru dalam kluster untuk melanjutkan penyerapan data dan kemampuan untuk mengkueri data.

  • Beberapa operasi memerlukan waktu lama dan dapat memerlukan waktu cukup lama untuk diselesaikan — ini adalah pembuatan kluster, pembaruan kunci kluster, dan penghapusan kluster. Anda dapat memeriksa status operasi dengan mengirimkan permintaan GET ke kluster atau ruang kerja dan mengamati responsnya. Misalnya, ruang kerja yang tidak ditautkan tidak akan memiliki clusterResourceId pada fitur.

  • Pesan kesalahan

    Pembuatan Kluster

    • 400 — Nama kluster tidak valid. Nama kluster dapat memuat karakter a-z, A-Z, 0-9 dan panjang 3-63.
    • 400 — Isi permintaan adalah nol atau dalam format yang buruk.
    • 400 — Nama "SKU" tidak valid. Atur nama "SKU" ke capacityReservation.
    • 400 — Kapasitas disediakan tetapi "SKU" bukan capacityReservation. Atur nama "SKU" ke capacityReservation.
    • 400 — Kapasitas Tidak Tersedia dalam "SKU". Atur nilai Kapasitas menjadi 500, 1000, 2000, atau 5000 GB/hari.
    • 400 — Kapasitas dikunci selama 30 hari. Penurunan kapasitas diizinkan 30 hari setelah pembaruan.
    • 400 — "SKU" tidak diatur. Atur nama "SKU" ke capacityReservation dan nilai Kapasitas ke 500, 1000, 2000, atau 5000 GB/hari.
    • 400 — Identitas nol atau kosong. Atur Identitas dengan jenis systemAssigned.
    • 400 — KeyVaultProperties diatur saat pembuatan. Perbarui KeyVaultProperties setelah pembuatan kluster.
    • 400 — Operasi tidak dapat dijalankan sekarang. Operasi asinkron dalam status selain berhasil. Kluster harus menyelesaikan operasinya sebelum operasi pembaruan dilakukan.

    Pembaruan Kluster

    • 400 — Kluster sedang dalam status penghapusan. Operasi asinkron sedang berlangsung. Kluster harus menyelesaikan operasinya sebelum operasi pembaruan dilakukan.
    • 400 — KeyVaultProperties tidak kosong tetapi formatnya buruk. Lihat pembaruan pengidentifikasi kunci.
    • 400 — Gagal memvalidasi kunci di Key Vault. Ini terjadi karena kurangnya izin atau ketika kunci tidak ada. Verifikasi bahwa Anda mengatur kunci dan Kebijakan Akses di Key Vault.
    • 400 — Kunci tidak dapat dipulihkan. Key Vault harus diatur Hapus sementara dan Perlindungan dari hapus menyeluruh. Lihat dokumentasi Key Vault
    • 400 — Operasi tidak dapat dijalankan sekarang. Tunggu hingga operasi Async selesai dan coba lagi.
    • 400 — Kluster sedang dalam status penghapusan. Tunggu hingga operasi Async selesai dan coba lagi.

    Pengambilan Kluster

    • 404 — Kluster tidak ditemukan, kluster mungkin telah dihapus. Jika Anda mencoba membuat kluster dengan nama tersebut dan mendapatkan konflik, kluster tersebut akan dihapus sementara selama 14 hari. Anda dapat menghubungi dukungan untuk memulihkannya, atau menggunakan nama lain untuk membuat kluster baru.

    Penghapusan Kluster

    • 409 — Tidak dapat menghapus kluster saat dalam status penyediaan. Tunggu hingga operasi Async selesai dan coba lagi.

    Tautan ruang kerja

    • 404 — Ruang kerja tidak ditemukan. Ruang kerja yang Anda tentukan tidak ada atau telah dihapus.
    • 409 — Operasi tautan atau penghapusan tautan ruang kerja dalam proses.
    • 400 — Kluster tidak ditemukan, kluster yang Anda tentukan tidak ada atau telah dihapus. Jika Anda mencoba membuat kluster dengan nama tersebut dan mendapatkan konflik, kluster tersebut akan dihapus sementara selama 14 hari. Anda dapat menghubungi dukungan untuk memulihkannya.

    Penghapusan tautan ruang kerja

    • 404 — Ruang kerja tidak ditemukan. Ruang kerja yang Anda tentukan tidak ada atau telah dihapus.
    • 409 — Operasi tautan atau penghapusan tautan ruang kerja dalam proses.

Langkah berikutnya