Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
SI APPLICA A: 
NoSQL MongoDB Cassandra Gremlin Tabella
I dati archiviati nell'account Azure Cosmos DB vengono crittografati automaticamente e facilmente con chiavi gestite dal cliente come secondo livello di crittografia. Quando l'account Azure Cosmos DB non può più accedere alla chiave di Azure Key Vault in base all'impostazione dell'account Azure Cosmos DB (vedere KeyVaultKeyUri), l'account passa allo stato di revoca. In questo stato, le uniche operazioni consentite sono gli aggiornamenti dell'account che aggiornano l'identità predefinita corrente assegnata o l'eliminazione dell'account. Le operazioni del piano dati, ad esempio la lettura o la scrittura di documenti, sono limitate.
Questa guida alla risoluzione dei problemi illustra come ripristinare l'accesso quando si verificano gli errori più comuni con le chiavi gestite dal cliente. Controllare il messaggio di errore ricevuto ogni volta che viene eseguita un'operazione con restrizioni o leggendo la proprietà customerManagedKeyStatus nell'account Azure Cosmos DB.
L'identità predefinita non è autorizzata ad accedere alla chiave di Azure Key Vault
Motivo dell'errore
Viene visualizzato l'errore quando l'identità predefinita associata all'account Azure Cosmos DB non è più autorizzata a eseguire una chiamata di tipo 'get', un wrap o unwrap al Key Vault oppure la chiave è disabilitata o scaduta.
Risoluzione dei problemi
Verificare che la chiave non sia disabilitata o scaduta. Al contrario, quando si utilizzano i criteri di accesso, verificare che le autorizzazioni get, wrap e unwrap su Key Vault vengano assegnate all'identità impostata come identità predefinita per il rispettivo account Azure Cosmos DB.
Se si usa il controllo degli accessi in base al ruolo, verificare che sia assegnato il ruolo "Utente di crittografia del servizio di crittografia di Key Vault" all'identità predefinita.
Un'altra opzione consiste nel creare una nuova identità con l'autorizzazione prevista e impostarla come nuova identità predefinita tramite l'operazione di aggiornamento dell'account Azure Cosmos DB.
Dopo avere assegnato le autorizzazioni, attendere fino a un'ora prima che l'account esca dallo stato di revoca. Se il problema non viene risolto dopo più di due ore, contattare il servizio clienti.
Errore di acquisizione del token di Microsoft Entra
Motivo dell'errore
Questo errore viene visualizzato quando Azure Cosmos DB non riesce a ottenere il token di accesso Microsoft Entra della identità predefinita. Il token viene usato per comunicare con Azure Key Vault per eseguire il wrapping e annullare il wrapping della chiave di crittografia dei dati.
Risoluzione dei problemi
Assicurarsi che l'identità predefinita corrente assegnata all'account Azure Cosmos DB sia quella di una risorsa di Azure esistente con tutte le autorizzazioni corrispondenti per accedere ad Azure Key Vault.
Per risolvere il problema, è ad esempio possibile creare una nuova identità con l'autorizzazione prevista e impostarla come nuova identità predefinita tramite l'operazione di aggiornamento dell'account Azure Cosmos DB.
Dopo aver aggiornato l'identità predefinita dell'account, è necessario attendere fino a un'ora prima che l'account esca dallo stato di revoca. Se il problema non viene risolto dopo più di due ore, contattare il servizio clienti.
Risorsa Azure Key Vault non trovata
Motivo dell'errore
Vedi questo errore quando Azure Key Vault o la chiave specificata non vengono trovati.
Risoluzione dei problemi
Verifica se l'istanza di Azure Key Vault o la chiave specificata esistono ed esegui un ripristino se sono state eliminate accidentalmente, quindi attendi un'ora. Se il problema non viene risolto dopo più di due ore, contattare il servizio clienti.
Chiave di Azure disabilitata o scaduta
Motivo dell'errore
Questo errore viene visualizzato quando la chiave di Azure Key Vault è scaduta o eliminata.
Risoluzione dei problemi
Se la chiave è stata disabilitata, abilitarla. Se è scaduto, annullare la scadenza e una volta che l'account non viene più revocato, è possibile ruotare la chiave perché Azure Cosmos DB aggiornerà la versione della chiave dopo che l'account è online.
Identità predefinita di Azure Cosmos DB non valida
Motivo dell'errore
L'account Azure Cosmos DB passa allo stato di revoca se uno di questi tipi di identità non è impostato come identità predefinita:
- FirstPartyIdentity
- SystemAssignedIdentity
- Identità Assegnata dall'Utente
- DelegatedSystemAssignedIdentity
- DelegatedUserAssignedIdentity
Risoluzione dei problemi
Assicurarsi che l'identità predefinita sia quella di una risorsa di Azure valida e abbia tutte le autorizzazioni previste per accedere ad Azure Key Vault. Una volta assegnate le autorizzazioni, attendere fino a un'ora prima che l'account esca dallo stato di revoca. Se il problema non viene risolto dopo più di due ore, contattare il servizio clienti.
Sintassi non corretta rilevata nella proprietà URI di Key Vault
Motivo dell'errore
Questo errore viene visualizzato quando la convalida interna rileva che la proprietà URI di Key Vault nell'account Azure Cosmos DB è diversa dal previsto.
Risoluzione dei problemi
È necessario aggiornare la proprietà KeyVaultkeyUri dell'account impostandola su un URI della chiave di Key Vault valido. Un esempio di URI della chiave di Azure Key Vault valido è: "https://ContosoKeyVault.vault.azure.net/keys". È importante ricordare che l'inclusione della versione della chiave non è necessaria.
Una volta aggiornata la proprietà KeyVaultKeyUri, attendere fino a un'ora prima che l'account esca dallo stato di revoca. Se il problema non viene risolto dopo più di due ore, contattare il servizio clienti.
Errore interno della procedura di annullamento del wrapping
Motivo dell'errore
Questo messaggio di errore viene visualizzato quando il servizio Azure Cosmos DB non riesce a decrittare correttamente la chiave.
Risoluzione dei problemi
Nel caso in cui il Key Vault o la chiave gestita dal cliente siano state eliminate di recente; ripristinare la risorsa e attendere un'ora. Se il problema non viene risolto dopo più di due ore, contattare il servizio clienti.
Impossibile risolvere il DNS di Key Vault
Motivo dell'errore
Questo messaggio di errore viene visualizzato quando non è possibile risolvere il nome DNS di Key Vault. L'errore può indicare che si è verificato un problema importante all'interno del servizio Azure Key Vault che impedisce a Cosmos DB di accedere alla chiave.
Risoluzione dei problemi
Se il Key Vault è stato eliminato di recente, è necessario ripristinarlo. In caso contrario, attendere fino a due ore prima che l'account diventi nuovamente disponibile. Se nessuna di queste soluzioni sblocca l'account, contattare il servizio clienti.