Gestire i segreti di Azure Stack Edge con Azure Key Vault
SI APPLICA A: Azure Stack Edge Pro - GPUAzure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R
Azure Key Vault è integrato con la risorsa Azure Stack Edge per la gestione dei segreti. Questo articolo fornisce informazioni dettagliate su come viene creato un insieme di credenziali delle chiavi di Azure per la risorsa Azure Stack Edge durante l'attivazione del dispositivo e quindi viene usato per la gestione dei segreti.
Informazioni sull'insieme di credenziali delle chiavi e Azure Stack Edge
Il servizio cloud di Azure Key Vault viene usato per archiviare e controllare in modo sicuro l'accesso a token, password, certificati, chiavi API e altri segreti. Key Vault semplifica anche la creazione e il controllo delle chiavi di crittografia usate per crittografare i dati.
Per il servizio Azure Stack Edge, l'integrazione con Key Vault offre i vantaggi seguenti:
Archivia i segreti dei clienti. Uno dei segreti usati per il servizio Azure Stack Edge è Channel Integrity Key (CIK). Questa chiave consente di crittografare i segreti ed è archiviata in modo sicuro nell'insieme di credenziali delle chiavi. Anche i segreti dei dispositivi, ad esempio la chiave di ripristino bitLocker e la password utente del controller di gestione baseboard (BMC) vengono archiviati nell'insieme di credenziali delle chiavi.
Per altre informazioni, vedere Archiviare in modo sicuro segreti e chiavi.
Passa i segreti crittografati dei clienti al dispositivo.
Visualizza i segreti del dispositivo per facilitare l'accesso se il dispositivo è inattivo.
Generare la chiave di attivazione e creare l'insieme di credenziali delle chiavi
Viene creato un insieme di credenziali delle chiavi per la risorsa Azure Stack Edge durante il processo di generazione della chiave di attivazione. L'insieme di credenziali delle chiavi viene creato nello stesso gruppo di risorse in cui è presente la risorsa Azure Stack Edge. L'autorizzazione collaboratore è necessaria per l'insieme di credenziali delle chiavi.
Prerequisiti per l'insieme di credenziali delle chiavi
Prima della creazione dell'insieme di credenziali delle chiavi durante l'attivazione, è necessario soddisfare i prerequisiti seguenti:
Registrare il provider di risorse Microsoft.KeyVault prima di creare la risorsa Azure Stack Edge. Il provider di risorse viene registrato automaticamente se si dispone dell'accesso proprietario o collaboratore alla sottoscrizione. L'insieme di credenziali delle chiavi viene creato nella stessa sottoscrizione e nella stessa risorsa di Azure Stack Edge.
Quando si crea una risorsa di Azure Stack Edge, viene creata anche un'identità gestita assegnata dal sistema che persiste per la durata della risorsa e comunica con il provider di risorse nel cloud.
Quando l'identità gestita è abilitata, Azure crea un'identità attendibile per la risorsa Azure Stack Edge.
Creazione di insiemi di credenziali delle chiavi
Dopo aver creato la risorsa, è necessario attivare la risorsa con il dispositivo. A tale scopo, verrà generata una chiave di attivazione dal portale di Azure.
Quando si genera una chiave di attivazione, si verificano gli eventi seguenti:
- È necessario richiedere una chiave di attivazione nel portale di Azure. La richiesta viene quindi inviata al provider di risorse dell'insieme di credenziali delle chiavi.
- Viene creato un insieme di credenziali delle chiavi di livello standard con criteri di accesso e bloccato per impostazione predefinita.
Questo insieme di credenziali delle chiavi usa il nome predefinito o un nome personalizzato da 3 a 24 caratteri specificato. Non è possibile usare un insieme di credenziali delle chiavi già in uso.
I dettagli dell'insieme di credenziali delle chiavi vengono archiviati nel servizio. Questo insieme di credenziali delle chiavi viene usato per la gestione dei segreti e persiste finché esiste la risorsa Azure Stack Edge.
- Un blocco delle risorse è abilitato nell'insieme di credenziali delle chiavi per impedire l'eliminazione accidentale. Un'eliminazione temporanea è abilitata anche nell'insieme di credenziali delle chiavi che consente di ripristinare l'insieme di credenziali delle chiavi entro 90 giorni se si verifica un'eliminazione accidentale. Per altre informazioni, vedere Panoramica dell'eliminazione temporanea di Azure Key Vault.
- È ora abilitata un'identità gestita assegnata dal sistema creata al momento della creazione della risorsa Azure Stack Edge.
- Viene generata una chiave di integrità del canale (CIK) e inserita nell'insieme di credenziali delle chiavi. I dettagli cik vengono visualizzati nel servizio.
- Viene creato anche un account di archiviazione con ridondanza della zona nello stesso ambito della risorsa Azure Stack Edge e viene inserito un blocco nell'account.
- Questo account viene usato per archiviare i log di controllo.
- La creazione dell'account di archiviazione è un processo a esecuzione prolungata e richiede alcuni minuti.
- L'account di archiviazione viene contrassegnato con il nome dell'insieme di credenziali delle chiavi.
- Viene aggiunta un'impostazione di diagnostica all'insieme di credenziali delle chiavi e la registrazione è abilitata.
- L'identità gestita viene aggiunta ai criteri di accesso dell'insieme di credenziali delle chiavi per consentire l'accesso all'insieme di credenziali delle chiavi perché il dispositivo usa l'insieme di credenziali delle chiavi per archiviare e recuperare i segreti.
- L'insieme di credenziali delle chiavi autentica la richiesta con l'identità gestita per generare la chiave di attivazione. La chiave di attivazione viene restituita al portale di Azure. È quindi possibile copiare questa chiave e usarla nell'interfaccia utente locale per attivare il dispositivo.
Nota
- Se si dispone di una risorsa Azure Stack Edge esistente prima dell'integrazione dell'insieme di credenziali delle chiavi di Azure con la risorsa Azure Stack Edge, non si è interessati. È possibile continuare a usare la risorsa Azure Stack Edge esistente.
- La creazione dell'insieme di credenziali delle chiavi e dell'account di archiviazione aggiunge al costo complessivo delle risorse. Per altre informazioni sulle transazioni consentite e sugli addebiti corrispondenti, vedere Prezzi per Azure Key Vault e Prezzi per l'account di archiviazione.
Se si verificano problemi relativi all'insieme di credenziali delle chiavi e all'attivazione dei dispositivi, vedere Risolvere i problemi di attivazione dei dispositivi.
Visualizzare le proprietà dell'insieme di credenziali delle chiavi
Dopo aver generato la chiave di attivazione e aver creato l'insieme di credenziali delle chiavi, è possibile accedere all'insieme di credenziali delle chiavi per visualizzare i segreti, i criteri di accesso, la diagnostica e le informazioni dettagliate. La procedura seguente descrive ognuna di queste operazioni.
Visualizzare i segreti
Dopo aver generato la chiave di attivazione e aver creato l'insieme di credenziali delle chiavi, è possibile accedere all'insieme di credenziali delle chiavi.
Per accedere all'insieme di credenziali delle chiavi e visualizzare i segreti, seguire questa procedura:
Nella portale di Azure per la risorsa Azure Stack Edge passare a Sicurezza.
Nel riquadro destro, in Sicurezza, è possibile visualizzare i segreti.
È anche possibile passare all'insieme di credenziali delle chiavi associato alla risorsa Azure Stack Edge. Selezionare Nome insieme di credenziali delle chiavi.
Per visualizzare i segreti archiviati nell'insieme di credenziali delle chiavi, passare a Segreti. La chiave di integrità del canale, la chiave di ripristino BitLocker e le password utente BMC (Baseboard Management Controller) vengono archiviate nell'insieme di credenziali delle chiavi. Se il dispositivo diventa inattivo, il portale consente di accedere facilmente alla chiave di ripristino bitLocker e alla password utente BMC.
Visualizzare i criteri di accesso alle identità gestite
Per accedere ai criteri di accesso per l'insieme di credenziali delle chiavi e l'identità gestita, seguire questa procedura:
Nella portale di Azure per la risorsa Azure Stack Edge passare a Sicurezza.
Selezionare il collegamento corrispondente al nome dell'insieme di credenziali delle chiavi per passare all'insieme di credenziali delle chiavi associato alla risorsa di Azure Stack Edge.
Per visualizzare i criteri di accesso associati all'insieme di credenziali delle chiavi, passare a Criteri di accesso. È possibile notare che all'identità gestita è stato concesso l'accesso. Selezionare Autorizzazioni segrete. È possibile notare che l'accesso all'identità gestita è limitato solo all'opzione Get e Set del segreto.
Visualizzare i log di controllo
Per accedere all'insieme di credenziali delle chiavi e visualizzare le impostazioni di diagnostica e i log di controllo, seguire questa procedura:
Nella portale di Azure per la risorsa Azure Stack Edge passare a Sicurezza.
Selezionare il collegamento corrispondente al nome dell'insieme di credenziali delle chiavi per passare all'insieme di credenziali delle chiavi associato alla risorsa di Azure Stack Edge.
Per visualizzare le impostazioni di diagnostica associate all'insieme di credenziali delle chiavi, passare a Impostazioni di diagnostica. Questa impostazione consente di monitorare come e quando si accede agli insiemi di credenziali delle chiavi e da chi. È possibile notare che è stata creata un'impostazione di diagnostica. I log vengono trasmessi all'account di archiviazione creato anche. Gli eventi di controllo vengono creati anche nell'insieme di credenziali delle chiavi.
Se è stata configurata una destinazione di archiviazione diversa per i log nell'insieme di credenziali delle chiavi, è possibile visualizzare i log direttamente in tale account di archiviazione.
Visualizzare informazioni dettagliate
Per accedere alle informazioni dettagliate sull'insieme di credenziali delle chiavi, incluse le operazioni eseguite nell'insieme di credenziali delle chiavi, seguire questa procedura:
Nella portale di Azure per la risorsa Azure Stack Edge passare a Sicurezza.
Selezionare il collegamento corrispondente alla diagnostica dell'insieme di credenziali delle chiavi.
Il pannello Insights offre una panoramica delle operazioni eseguite nell'insieme di credenziali delle chiavi.
Visualizzare lo stato dell'identità gestita
Per visualizzare lo stato dell'identità gestita assegnata dal sistema associata alla risorsa di Azure Stack Edge, seguire questa procedura:
Nella portale di Azure per la risorsa Azure Stack Edge passare a Sicurezza.
Nel riquadro destro passare all'identità gestita assegnata dal sistema per visualizzare se l'identità gestita assegnata dal sistema è abilitata o disabilitata.
Visualizzare i blocchi dell'insieme di credenziali delle chiavi
Per accedere all'insieme di credenziali delle chiavi e visualizzare i blocchi, seguire questa procedura:
Nella portale di Azure per la risorsa Azure Stack Edge passare a Sicurezza.
Selezionare il collegamento corrispondente al nome dell'insieme di credenziali delle chiavi per passare all'insieme di credenziali delle chiavi associato alla risorsa di Azure Stack Edge.
Per visualizzare i blocchi nell'insieme di credenziali delle chiavi, passare a Blocchi. Per evitare l'eliminazione accidentale, un blocco delle risorse è abilitato nell'insieme di credenziali delle chiavi.
Rigenerare la chiave di attivazione
In alcuni casi, potrebbe essere necessario rigenerare la chiave di attivazione. Quando si rigenera una chiave di attivazione, si verificano gli eventi seguenti:
- Si richiede di rigenerare una chiave di attivazione nel portale di Azure.
- La chiave di attivazione viene restituita al portale di Azure. È quindi possibile copiare questa chiave e usarla.
L'insieme di credenziali delle chiavi non è accessibile quando si rigenera la chiave di attivazione.
Ripristinare i segreti del dispositivo
Se il CIK viene eliminato accidentalmente o i segreti (ad esempio, la password utente BMC) sono diventati obsoleti nell'insieme di credenziali delle chiavi, è necessario eseguire il push dei segreti dal dispositivo per aggiornare i segreti dell'insieme di credenziali delle chiavi.
Seguire questa procedura per sincronizzare i segreti del dispositivo:
Nella portale di Azure passare alla risorsa Azure Stack Edge e quindi passare a Sicurezza.
Nel riquadro destro, nella barra dei comandi superiore selezionare Sincronizza segreti del dispositivo.
I segreti del dispositivo vengono inseriti nell'insieme di credenziali delle chiavi per ripristinare o aggiornare i segreti nell'insieme di credenziali delle chiavi. Al termine della sincronizzazione verrà visualizzata una notifica.
Eliminare l'insieme di credenziali delle chiavi
Esistono due modi per eliminare l'insieme di credenziali delle chiavi associato alla risorsa Azure Stack Edge:
- Eliminare la risorsa Azure Stack Edge e scegliere di eliminare contemporaneamente l'insieme di credenziali delle chiavi associato.
- L'insieme di credenziali delle chiavi è stato eliminato accidentalmente direttamente.
Quando la risorsa Azure Stack Edge viene eliminata, l'insieme di credenziali delle chiavi viene eliminato anche con la risorsa. Viene chiesto di confermare l'operazione. Se si archiviano altre chiavi in questo insieme di credenziali delle chiavi e non si intende eliminare questo insieme di credenziali delle chiavi, è possibile scegliere di non fornire il consenso. Solo la risorsa Azure Stack Edge viene eliminata lasciando intatto l'insieme di credenziali delle chiavi.
Seguire questa procedura per eliminare la risorsa Azure Stack Edge e l'insieme di credenziali delle chiavi associato:
Nella portale di Azure passare alla risorsa Azure Stack Edge e quindi passare a Panoramica.
Nel riquadro destro selezionare Elimina. Questa azione eliminerà la risorsa Azure Stack Edge.
Verrà visualizzato un pannello di conferma. Digitare il nome della risorsa Azure Stack Edge. Per confermare l'eliminazione dell'insieme di credenziali delle chiavi associato, digitare Sì.
Selezionare Elimina.
La risorsa Azure Stack Edge e l'insieme di credenziali delle chiavi vengono eliminati.
L'insieme di credenziali delle chiavi può essere eliminato accidentalmente quando la risorsa Azure Stack Edge è in uso. In questo caso, viene generato un avviso critico nella pagina Sicurezza per la risorsa Azure Stack Edge. È possibile passare a questa pagina per ripristinare l'insieme di credenziali delle chiavi.
Ripristinare l'insieme di credenziali delle chiavi
È possibile ripristinare l'insieme di credenziali delle chiavi associato alla risorsa Azure Stack Edge se viene eliminato accidentalmente o eliminato. Se questo insieme di credenziali delle chiavi è stato usato per archiviare altre chiavi, sarà necessario ripristinare tali chiavi ripristinando l'insieme di credenziali delle chiavi.
- Entro 90 giorni dall'eliminazione, è possibile ripristinare l'insieme di credenziali delle chiavi eliminato.
- Se il periodo di protezione dall'eliminazione di 90 giorni è già trascorso, non è possibile ripristinare l'insieme di credenziali delle chiavi. Sarà invece necessario creare un nuovo insieme di credenziali delle chiavi.
Entro 90 giorni dall'eliminazione, seguire questa procedura per ripristinare l'insieme di credenziali delle chiavi:
Nella portale di Azure passare alla pagina Sicurezza della risorsa Azure Stack Edge. Verrà visualizzata una notifica sull'effetto dell'eliminazione dell'insieme di credenziali delle chiavi associato alla risorsa. È possibile selezionare la notifica o selezionare Riconfigura in base al nome dell'insieme di credenziali delle chiavi in Preferenze di sicurezza per ripristinare l'insieme di credenziali delle chiavi.
Nel pannello Ripristina insieme di credenziali delle chiavi selezionare Configura. Le operazioni seguenti vengono eseguite come parte del ripristino:
Un insieme di credenziali delle chiavi viene recuperato con lo stesso nome e viene inserito un blocco nella risorsa dell'insieme di credenziali delle chiavi.
Nota
Se l'insieme di credenziali delle chiavi viene eliminato e il periodo di protezione dall'eliminazione di 90 giorni non è trascorso, in quel periodo di tempo il nome dell'insieme di credenziali delle chiavi non può essere usato per creare un nuovo insieme di credenziali delle chiavi.
Viene creato un account di archiviazione per archiviare i log di controllo.
All'identità gestita assegnata dal sistema viene concesso l'accesso all'insieme di credenziali delle chiavi.
I segreti del dispositivo vengono inseriti nell'insieme di credenziali delle chiavi.
Seleziona Configura.
L'insieme di credenziali delle chiavi viene recuperato e al termine del ripristino viene visualizzata una notifica.
Se l'insieme di credenziali delle chiavi viene eliminato e il periodo di protezione dall'eliminazione di 90 giorni è trascorso, sarà possibile creare un nuovo insieme di credenziali delle chiavi tramite la procedura Ripristina chiave descritta in precedenza. In questo caso, si fornirà un nuovo nome per l'insieme di credenziali delle chiavi. Viene creato un nuovo account di archiviazione, all'identità gestita viene concesso l'accesso a questo insieme di credenziali delle chiavi e i segreti dei dispositivi vengono inseriti in questo insieme di credenziali delle chiavi.
Ripristinare l'accesso all'identità gestita
Se i criteri di accesso alle identità gestite assegnate dal sistema vengono eliminati, viene generato un avviso quando il dispositivo non è in grado di risincronizzare i segreti dell'insieme di credenziali delle chiavi. Se l'identità gestita non ha accesso all'insieme di credenziali delle chiavi, viene generato di nuovo un avviso del dispositivo. Selezionare l'avviso in ogni caso per aprire il pannello Ripristina insieme di credenziali delle chiavi e riconfigurare. Questo processo deve ripristinare l'accesso all'identità gestita.
Passaggi successivi
- Altre informazioni su come generare la chiave di attivazione.
- Risolvere gli errori dell'insieme di credenziali delle chiavi nel dispositivo Azure Stack Edge.