Share via

Risolvere i problemi relativi a una chiave gestita dal cliente

  • Articolo

Questo articolo fa parte di quattro serie di esercitazioni in quattro parti. La parte 1 offre una panoramica delle chiavi gestite dal cliente, delle relative funzionalità e considerazioni prima di abilitare una nel Registro di sistema. Nella seconda parte si apprenderà come abilitare una chiave gestita dal cliente usando l'interfaccia della riga di comando di Azure, la portale di Azure o un modello di Resource Manager di Azure. Nella terza parte si apprenderà come ruotare, aggiornare e revocare una chiave gestita dal cliente. Questo articolo illustra come risolvere e risolvere i problemi comuni relativi alle chiavi gestite dal cliente.

Errore durante la rimozione di un'identità gestita

Se si tenta di rimuovere un'identità gestita assegnata dall'utente o assegnata dal sistema usata per configurare la crittografia per il Registro di sistema, potrebbe essere visualizzato un errore:

Azure resource '/subscriptions/xxxx/resourcegroups/myGroup/providers/Microsoft.ContainerRegistry/registries/myRegistry' does not have access to identity 'xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx' Try forcibly adding the identity to the registry <registry name>. For more information on bring your own key, please visit 'https://aka.ms/acr/cmk'.

Non è possibile modificare (ruotare) la chiave di crittografia. I passaggi di risoluzione dipendono dal tipo di identità usato per la crittografia.

Rimozione di un'identità assegnata dall'utente

Se viene visualizzato l'errore quando si tenta di rimuovere un'identità assegnata dall'utente, seguire questa procedura:

  1. Riassegnare l'identità assegnata dall'utente usando il comando az acr identity assign .

  2. Passare l'ID risorsa dell'identità assegnata dall'utente o usare il nome dell'identità quando si trova nello stesso gruppo di risorse del Registro di sistema.

    Ad esempio:

    az acr identity assign -n myRegistry \
    --identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"

  3. Modificare la chiave e assegnare un'identità diversa.

  4. È ora possibile rimuovere l'identità assegnata dall'utente originale.

Rimozione di un'identità assegnata dal sistema

Se viene visualizzato l'errore quando si tenta di rimuovere un'identità assegnata dal sistema, creare un ticket di supporto tecnico di Azure per assistenza nel ripristino dell'identità.

Errore dopo aver abilitato un firewall dell'insieme di credenziali delle chiavi

Se si abilita un firewall o una rete virtuale dell'insieme di credenziali delle chiavi dopo la creazione di un Registro di sistema crittografato, è possibile che vengano visualizzati errori HTTP 403 o altri errori con l'importazione di immagini o la rotazione automatica delle chiavi. Per risolvere questo problema, riconfigurare l'identità gestita e la chiave usata inizialmente per la crittografia. Vedere i passaggi in Ruotare una chiave gestita dal cliente.

Se il problema persiste, contattare il supporto di Azure.

Errore di scadenza dell'identità

L'identità associata a un Registro di sistema è impostata per l'autorenewal per evitare la scadenza. Se si annulla l'associazione di un'identità da un Registro di sistema, si verifica un messaggio di errore che spiega a non è possibile rimuovere l'identità in uso per CMK. Il tentativo di rimuovere l'identità impedisce l'autorenewal dell'identità. Le operazioni pull/push dell'artefatto funzionano fino alla scadenza dell'identità (In genere tre mesi). Dopo la scadenza dell'identità, verrà visualizzato il messaggio HTTP 403 con un messaggio di errore "L'identità associata al Registro di sistema è inattiva. Ciò potrebbe essere dovuto al tentativo di rimozione dell'identità. Riassegnare manualmente l'identità".

È necessario riassegnare l'identità al Registro di sistema in modo esplicito.

  1. Eseguire il comando az acr identity assign per riassegnare manualmente l'identità.

    • Ad esempio,
    az acr identity assign -n myRegistry \
--identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"

Eliminazione accidentale di un insieme di credenziali delle chiavi o di una chiave

L'eliminazione dell'insieme di credenziali delle chiavi o della chiave utilizzata per crittografare un registro con una chiave gestita dal cliente rende il contenuto del Registro di sistema inaccessibile. Se l'eliminazione temporanea è abilitata nell'insieme di credenziali delle chiavi (opzione predefinita), è possibile ripristinare un insieme di credenziali o un oggetto key vault eliminato e riprendere le operazioni del Registro di sistema.

Passaggi successivi

Per gli scenari di eliminazione e ripristino dell'insieme di credenziali delle chiavi, vedere Gestione del ripristino di Azure Key Vault con protezione temporanea e eliminazione.