Usare chiavi gestite dal cliente in Azure Key Vault per Azure Data Box
Azure Data Box protegge la chiave di sblocco del dispositivo (nota anche come password per il dispositivo), usata per bloccare un dispositivo, tramite una chiave di crittografia. Per impostazione predefinita, questa chiave di crittografia è una chiave gestita da Microsoft. Per un maggiore controllo, è possibile usare una chiave gestita dal cliente.
L'uso di una chiave gestita dal cliente non influisce sul modo in cui il dispositivo viene crittografato. Influisce solo sulla modalità di crittografia della chiave di sblocco del dispositivo.
Per mantenere questo livello di controllo durante il processo di ordine, usare una chiave gestita dal cliente quando si crea l'ordine. Per altre informazioni, vedere Esercitazione: Ordinare Azure Data Box.
Questo articolo illustra come abilitare una chiave gestita dal cliente per l'ordine di Data Box esistente nel portale di Azure. Si apprenderà come modificare l'insieme di credenziali delle chiavi, la chiave, la versione o l'identità per la chiave gestita dal cliente corrente oppure tornare all'uso di una chiave gestita da Microsoft.
Questo articolo si applica ai dispositivi Azure Data Box e Azure Data Box Heavy.
Requisiti
La chiave gestita dal cliente per un ordine di Data Box deve soddisfare i requisiti seguenti:
- La chiave deve essere creata e archiviata in un insieme di credenziali delle chiavi di Azure con eliminazione temporanea e Non eliminare abilitata. Per altre informazioni, vedere Informazioni sull’insieme di credenziali chiave di Azure È possibile creare un insieme di credenziali delle chiavi e una chiave durante la creazione o l'aggiornamento dell'ordine.
- La chiave deve essere una chiave RSA di dimensioni 2048 o superiori.
- È necessario abilitare le
Getautorizzazioni ,UnwrapKeyeWrapKeyper la chiave in Azure Key Vault. Le autorizzazioni devono rimanere applicate per la durata dell'ordine. In caso contrario, non è possibile accedere alla chiave gestita dal cliente all'inizio della fase di copia dei dati.
Abilitare la chiave
Per abilitare una chiave gestita dal cliente per l'ordine di Data Box esistente nel portale di Azure, seguire questa procedura:
Passare alla schermata Panoramica per l'ordine di Data Box.
Passare a Crittografia delle impostazioni > e selezionare Chiave gestita dal cliente. Selezionare quindi Selezionare una chiave e un insieme di credenziali delle chiavi.
Nella schermata Seleziona chiave da Azure Key Vault la sottoscrizione viene popolata automaticamente.
Per Key Vault è possibile selezionare un insieme di credenziali delle chiavi esistente nell'elenco a discesa oppure selezionare Crea nuovo e creare un nuovo insieme di credenziali delle chiavi.
Per creare un nuovo insieme di credenziali delle chiavi, immettere la sottoscrizione, il gruppo di risorse, il nome dell'insieme di credenziali delle chiavi e altre informazioni nella schermata Crea nuovo insieme di credenziali delle chiavi. In Opzioni di ripristino assicurarsi che l'eliminazione temporanea e la protezione ripulisci siano abilitate. Selezionare quindi Rivedi e crea.
Esaminare le informazioni per l'insieme di credenziali delle chiavi e selezionare Crea. Attendere un paio di minuti mentre viene completata la creazione dell'insieme di credenziali delle chiavi.
Nella schermata Seleziona chiave da Azure Key Vault è possibile selezionare una chiave esistente dall'insieme di credenziali delle chiavi o crearne una nuova.
Se si vuole creare una nuova chiave, selezionare Crea nuovo. È necessario usare una chiave RSA. Le dimensioni possono essere maggiori o uguali a 2048.
Immettere un nome per la nuova chiave, accettare le altre impostazioni predefinite e selezionare Crea. Si riceverà una notifica che indica che una chiave è stata creata nell'insieme di credenziali delle chiavi.
Per Versione è possibile selezionare una versione chiave esistente dall'elenco a discesa.
Per generare una nuova versione della chiave, selezionare Crea nuovo.
Scegliere le impostazioni per la nuova versione della chiave, quindi selezionare Crea.
Dopo aver selezionato un insieme di credenziali delle chiavi, una chiave e una versione della chiave, scegliere Seleziona.
Le impostazioni tipo di crittografia mostrano l'insieme di credenziali delle chiavi e la chiave scelti.
Selezionare il tipo di identità da usare per gestire la chiave gestita dal cliente per questa risorsa. È possibile usare l'identità assegnata dal sistema generata durante la creazione dell'ordine o scegliere un'identità assegnata dall'utente.
Un'identità assegnata dall'utente è una risorsa indipendente che è possibile usare per gestire l'accesso alle risorse. Per altre informazioni, vedere Tipi di identità gestita.
Per assegnare un'identità utente, selezionare Utente assegnato. Selezionare quindi Selezionare un'identità utente e selezionare l'identità gestita da usare.
Non è possibile creare una nuova identità utente qui. Per informazioni su come crearne uno, vedere Creare, elencare, eliminare o assegnare un ruolo a un'identità gestita assegnata dall'utente usando il portale di Azure.
L'identità utente selezionata viene visualizzata nelle impostazioni tipo di crittografia.
Selezionare Salva per salvare le impostazioni aggiornate del tipo di crittografia.
L'URL della chiave viene visualizzato in Tipo di crittografia.
Importante
È necessario abilitare le Getautorizzazioni , UnwrapKeye WrapKey per la chiave. Per impostare le autorizzazioni nell'interfaccia della riga di comando di Azure, vedere az keyvault set-policy.
Cambia chiave
Per modificare l'insieme di credenziali delle chiavi, la chiave e/o la versione della chiave per la chiave gestita dal cliente in uso, seguire questa procedura:
Nella schermata Panoramica dell'ordine di Data Box passare a Impostazioni>Crittografia e fare clic su Cambia chiave.
Scegliere Selezionare un insieme di credenziali delle chiavi e una chiave diversi.
La schermata Seleziona chiave dall'insieme di credenziali delle chiavi mostra la sottoscrizione, ma nessun insieme di credenziali delle chiavi, chiave o versione della chiave. È possibile apportare una delle modifiche seguenti:
Selezionare una chiave diversa dallo stesso insieme di credenziali delle chiavi. È necessario selezionare l'insieme di credenziali delle chiavi prima di selezionare la chiave e la versione.
Selezionare un insieme di credenziali delle chiavi diverso e assegnare una nuova chiave.
Modificare la versione per la chiave corrente.
Al termine delle modifiche, scegliere Seleziona.
Seleziona Salva.
Importante
È necessario abilitare le Getautorizzazioni , UnwrapKeye WrapKey per la chiave. Per impostare le autorizzazioni nell'interfaccia della riga di comando di Azure, vedere az keyvault set-policy.
Modificare l'identità
Per modificare l'identità usata per gestire l'accesso alla chiave gestita dal cliente per questo ordine, seguire questa procedura:
Nella schermata Panoramica per l'ordine di Data Box completato passare a Impostazioni>Crittografia.
Apportare una delle modifiche seguenti:
Per passare a un'identità utente diversa, fare clic su Seleziona un'identità utente diversa. Selezionare quindi un'identità diversa nel pannello a destra della schermata e scegliere Seleziona.
Per passare all'identità assegnata dal sistema generata durante la creazione dell'ordine, selezionare Sistema assegnato da Seleziona tipo di identità.
Seleziona Salva.
Usare la chiave gestita da Microsoft
Per passare dall'uso di una chiave gestita dal cliente alla chiave gestita da Microsoft per l'ordine, seguire questa procedura:
Nella schermata Panoramica per l'ordine di Data Box completato passare a Impostazioni>Crittografia.
In Seleziona tipo selezionare Chiave gestita da Microsoft.
Seleziona Salva.
Risolvere gli errori
Se si ricevono errori correlati alla chiave gestita dal cliente, usare la tabella seguente per risolvere i problemi.
| Codice di errore | Dettagli errore | Recuperabile? |
|---|---|---|
| SsemUserErrorEncryptionKeyDisabled | Impossibile recuperare la passkey perché la chiave gestita dal cliente è disabilitata. | Sì, abilitando la versione della chiave. |
| SsemUserErrorEncryptionKeyExpired | Impossibile recuperare la passkey perché la chiave gestita dal cliente è scaduta. | Sì, abilitando la versione della chiave. |
| SsemUserErrorKeyDetailsNotFound | Impossibile recuperare la passkey perché non è stato possibile trovare la chiave gestita dal cliente. | Se l'insieme di credenziali delle chiavi è stato eliminato, non è possibile recuperare la chiave gestita dal cliente. Se è stata eseguita la migrazione dell'insieme di credenziali delle chiavi a un tenant diverso, vedere Modificare un ID tenant dell'insieme di credenziali delle chiavi dopo lo spostamento di una sottoscrizione. Se è stato eliminato l'insieme di credenziali delle chiavi:
In caso contrario, se l'insieme di credenziali delle chiavi ha subito una migrazione del tenant, sì, può essere ripristinato usando uno dei passaggi seguenti:
|
| SsemUserErrorKeyVaultBadRequestException | È stata applicata una chiave gestita dal cliente, ma l'accesso alla chiave non è stato concesso o è stato revocato o non è stato possibile accedere all'insieme di credenziali delle chiavi a causa dell'abilitazione del firewall. | Aggiungere l'identità selezionata all'insieme di credenziali delle chiavi per abilitare l'accesso alla chiave gestita dal cliente. Se l'insieme di credenziali delle chiavi è abilitato, passare a un'identità assegnata dal sistema e quindi aggiungere una chiave gestita dal cliente. Per altre informazioni, vedere Come abilitare la chiave. |
| SsemUserErrorKeyVaultDetailsNotFound | Impossibile recuperare la passkey come insieme di credenziali delle chiavi associato per la chiave gestita dal cliente. | Se l'insieme di credenziali delle chiavi è stato eliminato, non è possibile recuperare la chiave gestita dal cliente. Se è stata eseguita la migrazione dell'insieme di credenziali delle chiavi a un tenant diverso, vedere Modificare un ID tenant dell'insieme di credenziali delle chiavi dopo lo spostamento di una sottoscrizione. Se è stato eliminato l'insieme di credenziali delle chiavi:
In caso contrario, se l'insieme di credenziali delle chiavi ha subito una migrazione del tenant, sì, può essere ripristinato usando uno dei passaggi seguenti:
|
| SsemUserErrorSystemAssignedIdentityAbsent | Impossibile recuperare la passkey perché non è stato possibile trovare la chiave gestita dal cliente. | Sì, verificare se:
|
| SsemUserErrorUserAssignedLimitReached | L'aggiunta di una nuova identità assegnata dall'utente non è riuscita perché è stato raggiunto il limite per il numero totale di identità assegnate dall'utente che è possibile aggiungere. | Ripetere l'operazione con un minor numero di identità utente o rimuovere alcune identità assegnate dall'utente dalla risorsa prima di riprovare. |
| SsemUserErrorCrossTenantIdentityAccessForbidden | Operazione di accesso all'identità gestita non riuscita. Nota: questo errore può verificarsi quando una sottoscrizione viene spostata in un tenant diverso. Il cliente deve spostare manualmente l'identità nel nuovo tenant. |
Provare ad aggiungere un'identità assegnata dall'utente diversa all'insieme di credenziali delle chiavi per abilitare l'accesso alla chiave gestita dal cliente. In alternativa, spostare l'identità nel nuovo tenant in cui è presente la sottoscrizione. Per altre informazioni, vedere Come abilitare la chiave. |
| SsemUserErrorKekUserIdentityNotFound | È stata applicata una chiave gestita dal cliente, ma l'identità assegnata dall'utente che ha accesso alla chiave non è stata trovata in Active Directory. Nota: questo errore può verificarsi quando un'identità utente viene eliminata da Azure. |
Provare ad aggiungere un'identità assegnata dall'utente diversa all'insieme di credenziali delle chiavi per abilitare l'accesso alla chiave gestita dal cliente. Per altre informazioni, vedere Come abilitare la chiave. |
| SsemUserErrorUserAssignedIdentityAbsent | Impossibile recuperare la passkey perché non è stato possibile trovare la chiave gestita dal cliente. | Impossibile accedere alla chiave gestita dal cliente. L'identità assegnata dall'utente associata alla chiave viene eliminata o il tipo UAI è stato modificato. |
| SsemUserErrorKeyVaultBadRequestException | È stata applicata una chiave gestita dal cliente, ma l'accesso alla chiave non è stato concesso o è stato revocato oppure non è stato possibile accedere all'insieme di credenziali delle chiavi perché è abilitato un firewall. | Aggiungere l'identità selezionata all'insieme di credenziali delle chiavi per abilitare l'accesso alla chiave gestita dal cliente. Se l'insieme di credenziali delle chiavi ha un firewall abilitato, passare a un'identità assegnata dal sistema e quindi aggiungere una chiave gestita dal cliente. Per altre informazioni, vedere Come abilitare la chiave. |
| SsemUserErrorEncryptionKeyTypeNotSupported | Il tipo di chiave di crittografia non è supportato per l'operazione. | Abilitare un tipo di crittografia supportato nella chiave, ad esempio RSA o RSA-HSM. Per altre informazioni, vedere Tipi di chiavi, algoritmi e operazioni. |
| SsemUserErrorSoftDeleteAndPurgeProtectionNotEnabled | L'insieme di credenziali delle chiavi non dispone dell'eliminazione temporanea o della protezione dall'eliminazione abilitata. | Assicurarsi che sia l'eliminazione temporanea che la protezione dall'eliminazione siano abilitate nell'insieme di credenziali delle chiavi. |
| SsemUserErrorInvalidKeyVaultUrl (solo riga di comando) |
È stato usato un URI dell'insieme di credenziali delle chiavi non valido. | Ottenere l'URI dell'insieme di credenziali delle chiavi corretto. Per ottenere l'URI dell'insieme di credenziali delle chiavi, usare Get-AzKeyVault in PowerShell. |
| SsemUserErrorKeyVaultUrlWithInvalidScheme | Solo HTTPS è supportato per il passaggio dell'URI dell'insieme di credenziali delle chiavi. | Passare l'URI dell'insieme di credenziali delle chiavi su HTTPS. |
| SsemUserErrorKeyVaultUrlInvalidHost | L'host URI dell'insieme di credenziali delle chiavi non è un host consentito nell'area geografica. | Nel cloud pubblico, l'URI dell'insieme di credenziali delle chiavi deve terminare con vault.azure.net. Nel cloud Azure per enti pubblici, l'URI dell'insieme di credenziali delle chiavi deve terminare con vault.usgovcloudapi.net. |
| Errore generico | Impossibile recuperare la passkey. | Questo errore è un errore generico. Contattare supporto tecnico Microsoft per risolvere l'errore e determinare i passaggi successivi. |