Usare le chiavi gestite dal cliente in Azure Key Vault per il servizio Importazione/Esportazione

Importazione/Esportazione di Azure protegge le chiavi BitLocker usate per bloccare le unità tramite una chiave di crittografia. Per impostazione predefinita, le chiavi BitLocker vengono crittografate con chiavi gestite da Microsoft. Per un maggiore controllo sulle chiavi di crittografia, è possibile fornire anche le chiavi gestite dal cliente.

Le chiavi gestite dal cliente devono essere create e archiviate in un'istanza di Azure Key Vault. Per altre informazioni su Azure Key Vault, vedere Informazioni su Azure Key Vault.

Questo articolo illustra come usare le chiavi gestite dal cliente con il servizio Importazione/Esportazione nel portale di Azure.

Prerequisiti

Prima di iniziare, verificare che:

1. È stato creato un processo di importazione o esportazione in base alle istruzioni riportate in:

   • Creare un processo di importazione per i BLOB.
   • Creare un processo di importazione per i file.
   • Creare un processo di esportazione per i BLOB.

2. Si dispone di un'istanza di Azure Key Vault esistente con una chiave che è possibile usare per proteggere la chiave BitLocker. Per informazioni su come creare un insieme di credenziali delle chiavi usando il portale di Azure, vedere Avvio rapido: Creare un'istanza di Azure Key Vault usando il portale di Azure.

   • Eliminazione temporanea e Non eliminare sono impostati nell'insieme di credenziali delle chiavi esistente. Queste proprietà non sono abilitate per impostazione predefinita. Per abilitare queste proprietà, vedere le sezioni Abilitazione dell'eliminazione temporanea e Abilitazione della protezione dalla rimozione definitiva in uno degli articoli seguenti:

     • Come usare la funzionalità di eliminazione temporanea con PowerShell.
     • Come usare l'eliminazione temporanea con l'interfaccia della riga di comando.

   • L'insieme di credenziali delle chiavi esistente deve avere una chiave RSA di dimensioni pari o superiori a 2048. Per altre informazioni sulle chiavi, vedere Informazioni sulle chiavi.

   • L'insieme di credenziali delle chiavi deve trovarsi nella stessa area dell'account di archiviazione per i dati.

   • Se non si dispone di un'istanza di Azure Key Vault esistente, è anche possibile crearla inline come descritto nella sezione seguente.

Abilitare le chiavi

La configurazione della chiave gestita dal cliente per il servizio Importazione/Esportazione è facoltativa. Per impostazione predefinita, il servizio Importazione/Esportazione usa una chiave gestita da Microsoft per proteggere la chiave BitLocker. Per abilitare le chiavi gestite dal cliente nel portale di Azure, seguire questa procedura:

1. Passare al pannello Panoramica del processo di importazione.

2. Nel riquadro di destra selezionare Scegliere la modalità di crittografia delle chiavi BitLocker.

   

3. Nel pannello Crittografia è possibile visualizzare e copiare la chiave BitLocker del dispositivo. In Tipo di crittografia è possibile scegliere come proteggere la chiave BitLocker. Per impostazione predefinita, viene usata una chiave gestita da Microsoft.

   

4. È possibile specificare una chiave gestita dal cliente. Dopo aver selezionato la chiave gestita dal cliente, scegliere Selezionare un insieme di credenziali delle chiavi e una chiave.

   

5. Nel pannello Selezionare chiave da Azure Key Vault viene automaticamente popolata la sottoscrizione. Per Insieme di credenziali delle chiavi è possibile selezionare un insieme di credenziali delle chiavi esistente nell'elenco a discesa.

   

6. È anche possibile selezionare Crea nuovo per creare un nuovo insieme di credenziali delle chiavi. Nel pannello Crea un insieme di credenziali delle chiavi immettere il gruppo di risorse e il nome dell'insieme di credenziali delle chiavi. Accettare tutte le altre impostazioni predefinite. Selezionare Rivedi e crea.

   

7. Esaminare le informazioni associate all'insieme di credenziali delle chiavi e selezionare Crea. Attendere un paio di minuti mentre viene completata la creazione dell'insieme di credenziali delle chiavi.

   

8. In Selezionare la chiave da Azure Key Vault è possibile selezionare una chiave nell'insieme di credenziali delle chiavi esistente.

9. Se è stato creato un nuovo insieme di credenziali delle chiavi, selezionare Crea nuovo per creare una chiave. Le dimensioni della chiave RSA possono essere maggiori o uguali a 2048.

   

   Se l'eliminazione temporanea e la protezione dalla rimozione definitiva non sono abilitate quando si crea l'insieme di credenziali delle chiavi, l'insieme di credenziali delle chiavi verrà aggiornato in modo da avere l'eliminazione temporanea e la protezione dalla rimozione definitiva abilitate.

10. Specificare il nome della chiave, accettare le altre impostazioni predefinite e selezionare Crea.

    

11. Selezionare la Versione e quindi scegliere Seleziona. Si riceve una notifica per la creazione di una chiave nell'insieme di credenziali delle chiavi.

    

Nel pannello Crittografia è possibile visualizzare l'insieme di credenziali delle chiavi e la chiave selezionata per la chiave gestita dal cliente.

Importante

È possibile disabilitare solo le chiavi gestite da Microsoft e passare alle chiavi gestite dal cliente in qualsiasi fase del processo di importazione/esportazione. Tuttavia, non è possibile disabilitare la chiave gestita dal cliente dopo averla creata.

Risolvere gli errori relativi alla chiave gestita dal cliente

Se si ricevono errori correlati alla chiave gestita dal cliente, usare la tabella seguente per risolvere i problemi:

Codice di errore	Dettagli	Recuperabile?
CmkErrorAccessRevoked	L'accesso alla chiave gestita dal cliente viene revocato.	Sì, verificare se: L'insieme di credenziali delle chiavi include ancora l'identità del servizio gestita nei criteri di accesso. Per i criteri di accesso sono abilitate le autorizzazioni Get, Wrap e Unwrap. Se l'insieme di credenziali delle chiavi si trova in una rete virtuale dietro il firewall, verificare se è abilitato Consenti servizi Microsoft attendibili. Controllare se l'identità del servizio gestita della risorsa del processo è stata reimpostata su None usando le API. In caso affermativo, impostare nuovamente il valore su Identity = SystemAssigned. In questo modo viene ricreata l'identità per la risorsa del processo. Dopo aver creato la nuova identità, abilitare le autorizzazioni Get, Wrap e Unwrap per la nuova identità nei criteri di accesso dell'insieme di credenziali delle chiavi.
CmkErrorKeyDisabled	La chiave gestita dal cliente è disabilitata.	Sì, abilitando la versione della chiave
CmkErrorKeyNotFound	Non è possibile trovare la chiave gestita dal cliente.	Sì, se la chiave è stata eliminata ma è ancora entro il periodo di protezione dalla rimozione definitiva, usando Annulla rimozione della chiave dell'insieme di credenziali delle chiavi. Altrimenti, Sì, se il cliente ha eseguito il backup della chiave e la ripristina. In caso contrario, no.
CmkErrorVaultNotFound	Non è possibile trovare l'insieme di credenziali delle chiavi della chiave gestita dal cliente.	Se l'insieme di credenziali delle chiavi è stato eliminato: Sì, se si trova nel periodo di protezione dalla rimozione definitiva, usando i passaggi in Recuperare un insieme di credenziali delle chiavi. No, se è oltre il periodo di protezione dalla rimozione definitiva. Altrimenti, se è stata eseguita la migrazione dell'insieme di credenziali delle chiavi a un tenant diverso, è possibile recuperarlo usando uno dei passaggi seguenti: Ripristinare l'insieme di credenziali delle chiavi nel tenant precedente. Impostare Identity = None e quindi impostare nuovamente il valore su Identity = SystemAssigned. Questa operazione elimina e ricrea l'identità dopo la creazione della nuova identità. Abilitare le autorizzazioni Get, Wrap e Unwrap per la nuova identità nei criteri di accesso dell'insieme di credenziali delle chiavi.

Passaggi successivi

• Che cos'è Azure Key Vault?