Bagikan melalui

Menggunakan kunci terkelola pelanggan di Azure Key Vault untuk Azure Data Box

Perangkat Azure Data Box diamankan dengan kata sandi untuk mencegah gangguan yang tidak diinginkan. Kata sandi ini secara resmi dikenal sebagai kunci pembuka kunci perangkat dan dilindungi dengan menggunakan kunci enkripsi. Secara default, kunci enkripsi adalah kunci yang dikelola Microsoft. Untuk kontrol langsung yang lebih baik, Anda dapat menyediakan kunci terkelola Anda sendiri.

Menggunakan kunci yang dikelola pelanggan Anda sendiri hanya memengaruhi cara kunci buka kunci perangkat dienkripsi. Ini tidak memengaruhi bagaimana data yang disimpan di perangkat dienkripsi.

Untuk menjaga tingkat kontrol ini selama proses pesanan, gunakan kunci yang dikelola pelanggan saat Anda membuat pesanan Anda. Selengkapnya, lihat Tutorial: Memesan Azure Data Box.

Artikel ini menjelaskan cara menggunakan kunci yang dikelola pelanggan dengan pesanan Azure Data Box yang sudah ada melalui portal Microsoft Azure. Artikel ini berlaku untuk perangkat Azure Data Box, Data Box Next-gen, dan Data Box Heavy.

Persyaratan

Kunci yang dikelola pelanggan untuk pesanan Azure Data Box harus memenuhi persyaratan berikut:

  • Kunci harus berupa kunci RSA 2.048 bit atau lebih besar.
  • Kunci harus dibuat dan disimpan di Azure Key Vault yang memiliki perilaku Penghapusan lunak dan Jangan lakukan penghapusan yang diaktifkan. Anda dapat membuat brankas kunci dan juga kunci saat Anda membuat atau memperbarui pesanan. Untuk informasi selengkapnya, lihat Apa itu Azure Key Vault?.
  • Izin Get, UnwrapKey, dan WrapKey untuk kunci harus diaktifkan di Azure Key Vault terkait. Izin ini harus tetap berlaku untuk masa pakai pesanan. Memodifikasi izin ini mencegah kunci yang dikelola pelanggan dapat diakses selama proses Penyalinan Data.

Mengaktifkan kunci

Untuk mengaktifkan kunci yang dikelola pelanggan untuk pesanan Data Box yang ada di portal Microsoft Azure, ikuti langkah-langkah berikut:

  1. Navigasi ke halaman Gambaran Umum untuk pesanan Data Box.

    Tangkapan layar memperlihatkan halaman Gambaran Umum pesanan Data Box.

  2. Dalam grup Pengaturan , pilih Enkripsi. Dalam panel Jenis enkripsi , pilih opsi Kunci yang dikelola pelanggan . Selanjutnya, pilih Pilih kunci dan brankas kunci untuk membuka halaman Pilih kunci dari Azure Key Vault .

    Tangkapan layar memperlihatkan opsi Kunci yang dikelola pelanggan yang dipilih.

  3. Halaman Pilih kunci dari Azure Key Vault terbuka, dan langganan Anda secara otomatis diisi di daftar drop-down. Pilih Brankas Kunci yang ada di daftar drop-down Brankas Kunci, atau pilih Buat Baru untuk membuat Brankas Kunci baru.

    Tangkapan layar menyoroti opsi brankas kunci saat memilih kunci yang dikelola pelanggan.

    Untuk membuat brankas kunci baru, pilih langganan dan grup sumber daya Anda dari daftar drop-down Langganan dan Grup sumber daya yang sesuai. Atau, Anda dapat membuat grup sumber daya baru dengan memilih Buat baru alih-alih mengisi opsi Grup sumber daya .

    Pilih nilai yang diinginkan pada daftar drop-down Nama brankas kunci, Wilayah, dan Tingkat harga. Di grup Opsi pemulihan, pastikan bahwa Penghapusan sementara dan Perlindungan pemurnian diaktifkan. Berikan nilai untuk Hari untuk mempertahankan vault yang telah dihapus, lalu pilih Tinjau + Buat.

    Sebuah tangkapan layar yang menunjukkan halaman Tinjau dan buat Azure Key Vault.

    Tinjau informasi untuk brankas kunci Anda, lalu pilih Buat. Anda diberi tahu bahwa pembuatan penyimpanan kunci sudah selesai.

    Tangkapan layar memperlihatkan pembuatan Azure Key Vault dengan pengaturan kustom.

  4. Pada layar Pilih kunci dari Azure Key Vault, Anda dapat memilih kunci yang ada di brankas kunci atau membuat yang baru.

    Tangkapan layar memperlihatkan pemilihan kunci dari Azure Key Vault.

    Jika Anda ingin membuat kunci baru, pilih Buat baru. Anda harus menggunakan kunci RSA 2.048 bit atau lebih besar.

    Tangkapan layar memperlihatkan pembuatan kunci baru di Azure Key Vault.

    Masukkan nama untuk kunci Anda, terima default lainnya, dan pilih Buat. Anda diberi tahu bahwa kunci dibuat di brankas kunci Anda.

    Tangkapan layar memperlihatkan penamaan kunci baru di Azure Key Vault.

  5. Untuk Versi, Anda dapat memilih versi kunci yang sudah ada dari daftar dropdown.

    Tangkapan layar memperlihatkan pemilihan versi kunci di Azure Key Vault.

    Jika Anda ingin membuat versi kunci baru, pilih Buat baru.

    Tangkapan layar memperlihatkan lokasi tautan Buat Baru.

    Pilih pengaturan untuk versi kunci baru, dan pilih Buat.

    Tangkapan layar memperlihatkan layar Buat versi kunci baru.

  6. Setelah memilih brankas kunci, kunci, dan versi kunci, pilih Pilih.

    Tangkapan layar memperlihatkan lokasi tombol Pilih.

    Pengaturan jenis Enkripsi memperlihatkan brankas kunci dan kunci yang Anda pilih.

    Cuplikan layar yang menunjukkan detail Key dan Key Vault.

  7. Pilih jenis identitas yang akan digunakan untuk mengelola kunci yang dikelola pelanggan untuk sumber daya ini. Anda dapat menggunakan identitas yang ditetapkan sistem yang dihasilkan selama pembuatan pesanan atau memilih identitas yang ditetapkan pengguna.

    Identitas yang ditetapkan pengguna adalah sumber daya independen yang dapat Anda gunakan untuk mengelola akses ke sumber daya. Untuk informasi selengkapnya, lihat Jenis identitas terkelola.

    Tangkapan layar memperlihatkan jenis identitas.

    Untuk menetapkan identitas pengguna, pilih Pengguna yang ditetapkan. Lalu pilih Pilih identitas pengguna , dan pilih identitas terkelola yang ingin Anda gunakan.

    Tangkapan layar memperlihatkan opsi untuk pemilihan kunci.

    Anda tidak dapat membuat identitas pengguna baru di sini. Untuk informasi selengkapnya, lihat Membuat, mencantumkan, menghapus, atau menetapkan peran ke identitas terkelola pengguna yang tetapkan menggunakan portal Microsoft Azure.

    Identitas pengguna yang dipilih ditampilkan dalam pengaturan jenis Enkripsi.

    Tangkapan layar memperlihatkan Identitas pengguna yang dipilih yang ditampilkan dalam panel Pengaturan jenis enkripsi.

  8. Pilih Simpan untuk menyimpan pengaturan jenis Enkripsi yang diperbarui.

    Tangkapan layar memperlihatkan lokasi tombol Simpan untuk kunci yang dikelola pelanggan.

    URL kunci ditampilkan di bawah jenis Enkripsi.

    Tangkapan layar memperlihatkan URL kunci yang dikelola pelanggan.

Penting

Anda harus mengaktifkan izin Get, izin UnwrapKey, dan izin WrapKey pada kunci. Untuk mengatur izin di Azure CLI, lihat az keyvault set-policy.

Mengubah kunci

Untuk mengubah brankas kunci, kunci, dan versi kunci untuk kunci yang dikelola pelanggan yang saat ini Anda gunakan, ikuti langkah-langkah berikut:

  1. Pada layar Gambaran Umum untuk pesanan Data Box Anda, buka Pengaturan>Enkripsi, dan pilih Ubah kunci.

    Tangkapan layar halaman Gambaran Umum pesanan Data Box memperlihatkan detail kunci yang dikelola pelanggan.

  2. Pilih Pilih brankas kunci dan kunci yang berbeda.

    Tangkapan layar halaman Gambaran Umum pesanan Data Box yang menyoroti proses untuk memilih brankas kunci dan opsi kunci yang berbeda.

  3. Layar Pilih kunci dari brankas kunci memperlihatkan langganan tetapi tidak ada brankas kunci, kunci, atau versi kunci. Anda dapat membuat salah satu perubahan berikut:

    • Pilih kunci yang berbeda dari brankas kunci yang sama. Pilih brankas kunci terlebih dahulu sebelum memilih kunci dan versinya.

    • Pilih brankas kunci yang berbeda dan tetapkan kunci baru.

    • Ubah versi untuk kunci saat ini.

    Saat Anda menyelesaikan perubahan Anda, pilih Pilih.

    Tangkapan layar memperlihatkan pengaturan opsi enkripsi dan lokasi tombol Pilih.

  4. Pilih Simpan.

    Tangkapan layar memperlihatkan pengaturan enkripsi yang diperbarui dan lokasi tombol Simpan.

Penting

Anda harus mengaktifkan izin Get, UnwrapKey, dan WrapKey pada kunci. Untuk mengatur izin di Azure CLI, lihat az keyvault set-policy.

Mengubah identitas

Gunakan langkah-langkah berikut untuk memperbarui identitas yang mengelola akses ke kunci yang dikelola pelanggan untuk pesanan ini:

  1. Pada layar Gambaran Umum untuk pesanan Azure Data Box Anda yang lengkap, masuk ke Pengaturan>Enkripsi.

  2. Buat salah satu perubahan berikut:

    • Untuk mengubah ke identitas pengguna lain, pilih Pilih identitas pengguna lain. Kemudian pilih identitas yang berbeda di panel di sisi kanan layar, dan pilih Pilih.

      Cuplikan layar memperlihatkan opsi untuk mengubah identitas yang ditetapkan pengguna untuk kunci yang dikelola pelanggan.

    • Untuk beralih ke identitas yang ditetapkan sistem yang dihasilkan selama pembuatan pesanan, pilih Sistem yang ditetapkan oleh Pilih jenis identitas.

      Cuplikan layar memperlihatkan opsi untuk mengubah dari kunci yang dikelola pelanggan ke kunci yang ditetapkan sistem.

  3. Pilih Simpan.

    Cuplikan layar memperlihatkan lokasi tombol yang digunakan untuk menyimpan pengaturan enkripsi yang diperbarui.

Menggunakan kunci yang dikelola Microsoft

Untuk mengubah dari menggunakan kunci yang dikelola pelanggan ke kunci yang dikelola Microsoft untuk pesanan Anda, ikuti langkah-langkah berikut:

  1. Pada layar Gambaran Umum untuk pesanan Azure Data Box Anda yang lengkap, masuk ke Pengaturan>Enkripsi.

  2. Pada bagian Pilih jenis, pilih kunci yang dikelola Microsoft.

    Cuplikan layar memperlihatkan panel Gambaran Umum pesanan Data Box.

  3. Pilih Simpan.

    Cuplikan layar memperlihatkan lokasi tombol yang digunakan untuk menyimpan pengaturan enkripsi yang diperbarui untuk kunci terkelola Microsoft.

Memecahkan masalah kesalahan

Jika Anda menerima kesalahan yang terkait dengan kunci yang dikelola pelanggan Anda, gunakan tabel berikut untuk memecahkan masalah.

Kode kesalahan Detail kesalahan Resolusi
SsemUserErrorKunciEnkripsiDinonaktifkan Tidak dapat mengambil kode akses: kunci yang dikelola pelanggan dinonaktifkan. Aktifkan versi kunci.
KesalahanPenggunaKunciEnkripsiKedaluwarsa Tidak dapat mengambil kode akses: kunci yang dikelola pelanggan kedaluwarsa. Mengaktifkan versi utama.
KesalahanPenggunaSsemRincianKunciTidakDitemukan Tidak dapat mengambil kode akses: kunci yang dikelola pelanggan tidak dapat ditemukan. Jika brankas kunci dihapus:
  1. Jika penghapusan terjadi dalam periode durasi perlindungan penghapusan, gunakan langkah-langkah di Memulihkan brankas kunci.
  2. Jika perlindungan penghapusan menyeluruh dinonaktifkan atau penghapusan terjadi di luar durasi perlindungan penghapusan menyeluruh, kunci yang dikelola pelanggan tidak dapat dipulihkan.

Jika brankas kunci mengalami migrasi penyewa, brankas kunci dapat dipulihkan menggunakan salah satu metode berikut:
  1. Kembalikan brankas kunci ke penyewa yang lama.
  2. Atur Identity = None, lalu kembalikan nilai ke Identity = SystemAssigned. Tindakan ini menghapus dan membuat ulang identitas. Aktifkan izin Get, WrapKey, dan UnwrapKey untuk identitas baru dalam kebijakan akses brankas kunci.
SsemUserErrorKeyVaultBadRequestException Menerapkan kunci yang dikelola pelanggan tetapi akses kunci belum diberikan atau telah dicabut, atau tidak dapat mengakses brankas kunci karena firewall diaktifkan. Untuk mengaktifkan akses ke kunci yang dikelola pelanggan, tambahkan identitas yang dipilih ke brankas kunci Anda. Jika brankas kunci mengaktifkan firewall, beralihlah ke identitas yang ditetapkan sistem lalu tambahkan kunci yang dikelola pelanggan. Untuk informasi selengkapnya, lihat cara Mengaktifkan kunci.
SsemUserErrorKeyVaultDetailsTidakDitemukan Tidak dapat mengambil kode akses karena brankas kunci terkait untuk kunci yang dikelola pelanggan tidak dapat ditemukan. Jika Anda menghapus brankas kunci, Anda tidak dapat memulihkan kunci yang dikelola pelanggan. Jika Anda memigrasikan brankas kunci ke penyewa lain, lihat Mengubah ID penyewa brankas kunci setelah pemindahan langganan. Jika Anda menghapus brankas kunci:
  1. Ya, jika berada dalam durasi perlindungan dari penghapusan, gunakan langkah-langkah di Pulihkan brankas kunci.
  2. Tidak, jika sudah melampaui durasi perlindungan penghapusan.

Atau jika brankas kunci mengalami migrasi penyewa, ya, dapat dipulihkan menggunakan salah satu langkah di bawah ini:
  1. Mengembalikan brankas kunci kembali ke penyewa lama.
  2. AturIdentity = None lalu atur nilai kembali ke Identity = SystemAssigned. Mengubah nilai identitas akan menghapus dan membuat ulang identitas setelah identitas baru dibuat. Aktifkan izin Get, WrapKey, dan UnwrapKey untuk identitas baru dalam kebijakan akses brankas kunci.
SsemUserErrorIdentitasDitugaskanSistemTidakAda Tidak dapat mengambil kode akses karena kunci yang dikelola pelanggan tidak dapat ditemukan. Ya, periksa apakah:
  1. Key Vault masih memiliki MSI dalam kebijakan akses.
  2. Identitas adalah tipe yang ditetapkan oleh Sistem.
  3. Aktifkan Get, WrapKey, dan UnwrapKey izin kepada identitas dalam kebijakan akses brankas kunci. Izin ini harus tetap untuk masa pakai pesanan. Mereka digunakan selama pembuatan pesanan dan di awal fase penyalinan data.
KesalahanPenggunaUserBatasPenggunaanTercapai Menambahkan Identitas Yang Ditetapkan Pengguna baru gagal karena Anda telah mencapai batas jumlah total identitas pengguna yang ditetapkan yang dapat ditambahkan. Coba lagi operasi dengan lebih sedikit identitas pengguna, atau hapus beberapa identitas yang ditetapkan pengguna dari sumber daya sebelum mencoba kembali.
KesalahanPenggunaAksesIdentitasLintasPenyewaDilarang Operasi akses identitas terkelola gagal.
Catatan: Kesalahan ini dapat terjadi saat langganan dipindahkan ke penyewa yang berbeda. Pelanggan harus memindahkan identitas secara manual ke penyewa baru.		 Coba tambahkan identitas yang ditetapkan pengguna yang berbeda ke brankas kunci Anda untuk mengaktifkan akses ke kunci yang dikelola pelanggan. Atau pindahkan identitas ke penyewa baru di mana langganan berada. Untuk informasi selengkapnya, lihat cara Mengaktifkan kunci.
Kesalahan Pengguna: Identitas Pengguna Kek tidak ditemukan Menerapkan kunci yang dikelola pelanggan tetapi identitas yang ditetapkan pengguna yang memiliki akses ke kunci tidak ditemukan di direktori aktif.
Catatan: Kesalahan ini dapat terjadi saat identitas pengguna dihapus dari Azure.		 Coba tambahkan identitas yang ditetapkan pengguna yang berbeda ke brankas kunci Anda untuk mengaktifkan akses ke kunci yang dikelola pelanggan. Untuk informasi selengkapnya, lihat cara Mengaktifkan kunci.
KesalahanPenggunaSsemIdentitasPenggunaYangDitugaskanTidakAda Tidak dapat mengambil kode akses karena kunci yang dikelola pelanggan tidak dapat ditemukan. Tidak dapat mengakses kunci yang dikelola pelanggan. Entah User Assigned Identity (UAI) yang terkait dengan kunci dihapus atau jenis UAI telah berubah.
SsemUserErrorKeyVaultBadRequestException Menerapkan kunci yang dikelola pelanggan, tetapi akses kunci belum diberikan atau telah dicabut, atau brankas kunci tidak dapat diakses karena firewall diaktifkan. Untuk mengaktifkan akses ke kunci yang dikelola pelanggan, tambahkan identitas yang dipilih ke brankas kunci Anda. Jika brankas kunci mengaktifkan firewall, beralihlah ke identitas yang ditetapkan sistem lalu tambahkan kunci yang dikelola pelanggan. Untuk informasi selengkapnya, lihat cara Mengaktifkan kunci.
KesalahanPenggunaSsemJenisKunciEnkripsiTidakDidukung Jenis kunci enkripsi tidak didukung untuk operasi. Aktifkan jenis enkripsi yang didukung pada kunci - misalnya, RSA atau RSA-HSM. Untuk informasi selengkapnya, lihat Jenis kunci, algoritma, dan operasi.
KesalahanPenggunaSsemPenghapusanLunakDanPerlindunganPembersihanTidakDiaktifkan Brankas kunci tidak memiliki fitur penghapusan sementara atau proteksi penghapusan menyeluruh yang diaktifkan. Pastikan bahwa penghapusan sementara dan perlindungan pembersihan diaktifkan pada key vault.
Kesalahan Pengguna: URL Key Vault Tidak Valid
(Hanya baris perintah)		 URI brankas kunci tidak valid digunakan. Dapatkan URI Key Vault yang benar. Untuk mendapatkan URI brankas kunci, gunakan Get-AzKeyVault di PowerShell.
SsemUserErrorKeyVaultUrlDenganSkemaTidakValid Hanya HTTPS yang didukung untuk meneruskan URI brankas kunci. Berikan alamat URI brankas kunci melalui HTTPS.
SsemUserErrorKeyVaultUrlInvalidHost Host URI untuk brankas kunci tidak diizinkan di wilayah geografis tersebut. Di cloud publik, URI brankas kunci harus diakhir dengan vault.azure.net. Di cloud Azure Government, URI brankas kunci harus diakhir dengan vault.usgovcloudapi.net.
Kesalahan generik Tidak dapat mengambil kode akses. Kesalahan ini adalah kesalahan umum. Hubungi Dukungan Microsoft untuk memecahkan kesalahan dan menentukan langkah berikutnya.

Langkah berikutnya