Risoluzione dei problemi relativi agli scenari di revoca per l'account Azure Cosmos DB configurato con chiavi gestite dal cliente
SI APPLICA A: NoSQL MongoDB Cassandra Gremlin Tabella
I dati archiviati nell'account Azure Cosmos DB vengono crittografati automaticamente e facilmente con chiavi gestite dal cliente come secondo livello di crittografia. Quando l'account Azure Cosmos DB non può più accedere alla chiave di Azure Key Vault in base all'impostazione dell'account Azure Cosmos DB (vedere KeyVaultKeyUri), l'account passa allo stato di revoca. In questo stato, le uniche operazioni consentite sono gli aggiornamenti dell'account che aggiornano l'identità predefinita corrente assegnata o l'eliminazione dell'account. Le operazioni del piano dati, ad esempio la lettura o la scrittura di documenti, sono limitate.
Questa guida alla risoluzione dei problemi illustra come ripristinare l'accesso quando si verificano gli errori più comuni con le chiavi gestite dal cliente. Controllare il messaggio di errore ricevuto ogni volta che viene eseguita un'operazione con restrizioni o leggendo la proprietà customerManagedKeyStatus nell'account Azure Cosmos DB.
L'identità predefinita non è autorizzata ad accedere alla chiave di Azure Key Vault
Motivo dell'errore
Viene visualizzato l'errore quando l'identità predefinita associata all'account Azure Cosmos DB non è più autorizzata a eseguire una chiamata get, un wrapping o unwraping all'insieme di credenziali delle chiavi o la chiave è disabilitata o scaduta.
Risoluzione dei problemi
Verificare che la chiave non sia disabilitata o scaduta. Al contrario, quando si usano i criteri di accesso, verificare che le autorizzazioni get, wrap e unwrap nell'insieme di credenziali delle chiavi vengano assegnate all'identità impostata come identità predefinita per il rispettivo account Azure Cosmos DB.
Se si usa il controllo degli accessi in base al ruolo, verificare che sia assegnato il ruolo "Utente di crittografia del servizio di crittografia di Key Vault" all'identità predefinita.
Un'altra opzione consiste nel creare una nuova identità con l'autorizzazione prevista e impostarla come nuova identità predefinita tramite l'operazione di aggiornamento dell'account Azure Cosmos DB.
Dopo avere assegnato le autorizzazioni, attendere fino a un'ora prima che l'account esca dallo stato di revoca. Se il problema non viene risolto dopo più di due ore, contattare il servizio clienti.
Errore di acquisizione del token di Microsoft Entra
Motivo dell'errore
Questo errore viene visualizzato quando Azure Cosmos DB non riesce a ottenere il token di accesso Microsoft Entra dell'identità predefinita. Il token viene usato per comunicare con Azure Key Vault per eseguire il wrapping e annullare il wrapping della chiave di crittografia dei dati.
Risoluzione dei problemi
Assicurarsi che l'identità predefinita corrente assegnata all'account Azure Cosmos DB sia quella di una risorsa di Azure esistente con tutte le autorizzazioni corrispondenti per accedere ad Azure Key Vault.
Per risolvere il problema, è ad esempio possibile creare una nuova identità con l'autorizzazione prevista e impostarla come nuova identità predefinita tramite l'operazione di aggiornamento dell'account Azure Cosmos DB.
Dopo aver aggiornato l'identità predefinita dell'account, è necessario attendere fino a un'ora prima che l'account esca dallo stato di revoca. Se il problema non viene risolto dopo più di due ore, contattare il servizio clienti.
Risorsa Azure Key Vault non trovata
Motivo dell'errore
Questo errore viene visualizzato quando l'istanza di Azure Key Vault o la chiave specificata non vengono trovati.
Risoluzione dei problemi
Controllare se l'istanza di Azure Key Vault o la chiave specificata sono presenti e ripristinarli se sono stati eliminati accidentalmente, quindi attendere un'ora. Se il problema non viene risolto dopo più di due ore, contattare il servizio clienti.
Chiave di Azure disabilitata o scaduta
Motivo dell'errore
Questo errore viene visualizzato quando la chiave di Azure Key Vault è scaduta o eliminata.
Risoluzione dei problemi
Se la chiave è stata disabilitata, abilitarla. Se è scaduto, annullare la scadenza e una volta che l'account non viene più revocato, è possibile ruotare la chiave perché Azure Cosmos DB aggiornerà la versione della chiave dopo che l'account è online.
Identità predefinita di Azure Cosmos DB non valida
Motivo dell'errore
L'account Azure Cosmos DB passa allo stato di revoca se uno di questi tipi di identità non è impostato come identità predefinita:
- FirstPartyIdentity
- SystemAssignedIdentity
- UserAssignedIdentity
- DelegatedSystemAssignedIdentity
- DelegatedUserAssignedIdentity
Risoluzione dei problemi
Assicurarsi che l'identità predefinita sia quella di una risorsa di Azure valida e abbia tutte le autorizzazioni previste per accedere ad Azure Key Vault. Una volta assegnate le autorizzazioni, attendere fino a un'ora prima che l'account esca dallo stato di revoca. Se il problema non viene risolto dopo più di due ore, contattare il servizio clienti.
Sintassi non corretta rilevata nella proprietà URI di Key Vault
Motivo dell'errore
Questo errore viene visualizzato quando la convalida interna rileva che la proprietà URI di Key Vault nell'account Azure Cosmos DB è diversa dal previsto.
Risoluzione dei problemi
È necessario aggiornare la proprietà KeyVaultkeyUri dell'account impostandola su un URI della chiave di Key Vault valido. Un esempio di URI della chiave di Azure Key Vault valido è: "https://ContosoKeyVault.vault.azure.net/keys". È importante ricordare che l'inclusione della versione della chiave non è necessaria.
Una volta aggiornata la proprietà KeyVaultKeyUri, attendere fino a un'ora prima che l'account esca dallo stato di revoca. Se il problema non viene risolto dopo più di due ore, contattare il servizio clienti.
Errore interno della procedura di annullamento del wrapping
Motivo dell'errore
Questo messaggio di errore viene visualizzato quando il servizio Azure Cosmos DB non riesce ad annullare correttamente il wrapping della chiave.
Risoluzione dei problemi
Nel caso in cui Key Vault o la chiave gestita dal cliente sia stata eliminato di recente, ripristinare la risorsa e attendere un'ora. Se il problema non viene risolto dopo più di due ore, contattare il servizio clienti.
Impossibile risolvere il DNS di Key Vault
Motivo dell'errore
Questo messaggio di errore viene visualizzato quando non è possibile risolvere il nome DNS di Key Vault. L'errore può indicare che si è verificato un problema importante all'interno del servizio Azure Key Vault che impedisce a Cosmos DB di accedere alla chiave.
Risoluzione dei problemi
Se l'istanza di Key Vault è stata eliminata di recente, è necessario ripristinarla. In caso contrario, attendere fino a due ore prima che l'account diventi nuovamente disponibile. Se nessuna di queste soluzioni sblocca l'account, contattare il servizio clienti.