Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa guida è progettata per facilitare la risoluzione dei problemi comuni quando si usa la chiave gestita dal cliente (CMK) per la crittografia dei dati inattivi con Azure DocumentDB. Offre soluzioni pratiche per la risoluzione dei problemi relativi a vari componenti coinvolti nella configurazione della chiave gestita dal cliente.
Un'identità gestita, un insieme chiavi, una chiave di crittografia nell'insieme chiavi e le autorizzazioni appropriate concesse all'identità gestita sono necessarie per configurare il CMK in un cluster di Azure DocumentDB.
Se l'identità gestita, l'insieme di credenziali delle chiavi, la chiave o le autorizzazioni non sono configurate in base ai requisiti, potrebbe non essere possibile abilitare la chiave gestita dal cliente durante il provisioning del cluster. Se la configurazione corretta non è valida in un cluster abilitato per la chiave gestita dal cliente, i dati in questo cluster diventano non disponibili a causa del requisito di sicurezza principale della crittografia con la chiave gestita dal cliente.
Seguire i passaggi descritti in questa sezione per risolvere i problemi relativi a tutti i componenti necessari per la corretta configurazione della chiave gestita dal cliente.
Motivi per la revoca dell'accesso alle chiavi da Azure Key Vault
Un utente con diritti di accesso sufficienti per Key Vault potrebbe disabilitare accidentalmente l'accesso del cluster alla chiave tramite:
- Annullamento dell'assegnazione del ruolo Controllo degli accessi in base al ruolo Utente di crittografia del servizio di crittografia di Key Vault o revoca delle autorizzazioni dall'identità usata per recuperare la chiave in Key Vault.
- Eliminazione della chiave.
- Eliminazione dell'istanza di Key Vault.
- Modifica delle regole del firewall di Key Vault o configurazione errata delle impostazioni di rete di Key Vault.
- Eliminazione dell'identità gestita del cluster in Microsoft Entra ID.
Queste azioni rendono inaccessibile la chiave gestita dal cliente usata per la crittografia dei dati.
Risoluzione dei problemi relativi a una condizione di chiave gestita dal cliente inaccessibile
Quando si configura la crittografia dei dati con una chiave gestita dal cliente archiviata nell'insieme di credenziali delle chiavi, è necessario l'accesso continuo a questa chiave affinché il cluster rimanga online. In caso contrario, il cluster modifica lo stato in Inaccessibile e inizia a negare tutte le connessioni.
Alcuni dei possibili motivi per cui lo stato del cluster potrebbe diventare inaccessibile sono:
| Motivo | Risoluzione |
|---|---|
| La chiave di crittografia a cui punta il cluster ha configurato una data e un'ora di scadenza e tale data e ora viene raggiunta. | È necessario estendere la data di scadenza della chiave. È quindi necessario attendere che il servizio riconvalida la chiave e di passare automaticamente lo stato del cluster a Pronto. Solo quando il cluster torna allo stato Pronto, è possibile ruotare la chiave a una versione più recente o creare una nuova chiave, quindi aggiornare il cluster in modo che faccia riferimento a tale nuova versione della stessa chiave o alla nuova chiave. |
| Si elimina l'istanza di Key Vault, l'istanza di Azure DocumentDB non può accedere alla chiave e passa a uno stato Inaccessibile . | Ripristinare l'istanza di Key Vault e attendere che il servizio esegua la riconvalida periodica della chiave ed esegua la transizione automatica dello stato del cluster a Pronto. |
| Si elimina, dall'ID Microsoft Entra, un'identità gestita usata per recuperare una delle chiavi di crittografia archiviate in Key Vault. | Ripristinare l'identità e attendere che il servizio esegua la riconvalida periodica della chiave e di eseguire automaticamente la transizione dello stato del cluster a Pronto. |
| Il modello di autorizzazione di Key Vault è configurato per l'uso del controllo degli accessi in base al ruolo. È possibile rimuovere l'assegnazione del ruolo Controllo degli accessi in base al ruolo Utente crittografia servizio di Key Vault dalle identità gestite configurate per recuperare le chiavi. | Concedere di nuovo il ruolo controllo degli accessi in base al ruolo all'identità gestita e attendere che il servizio esegua la riconvalida periodica della chiave e imposti automaticamente lo stato del cluster su Pronto. In alternativa, è possibile concedere il ruolo nell'insieme di credenziali delle chiavi a un'identità gestita diversa e aggiornare il cluster in modo che usi questa altra identità gestita per accedere alla chiave. |
| Il modello di autorizzazione di Key Vault è configurato per l'uso dei criteri di accesso. Si revocano i criteri di accesso list, get, wrapKey o unwrapKey dalle identità gestite configurate per recuperare una delle chiavi. | Concedere il ruolo controllo degli accessi in base al ruolo all'identità gestita e attendere che il servizio esegua la riconvalida periodica della chiave e transizione automatica dello stato del cluster a Pronto. In alternativa, è possibile concedere i criteri di accesso necessari nell'insieme di credenziali delle chiavi a un'identità gestita diversa e aggiornare il cluster in modo che usi questa altra identità gestita per accedere alla chiave. |
| Hai configurato regole del firewall troppo restrittive per il Key Vault, impedendo al tuo cluster di Azure DocumentDB di comunicare con il Key Vault per recuperare le chiavi. | Quando si configura un firewall dell'insieme di credenziali delle chiavi, assicurarsi di disabilitare l'accesso pubblico e di selezionare l'opzione per consentire servizi Microsoft attendibili o l'accesso pubblico consentito da tutte le reti. Con l'accesso pubblico da tutte le reti, il cluster di Azure DocumentDB può accedere al Key Vault. Con l'accesso pubblico disabilitato e l'opzione per consentire ai servizi Microsoft attendibili di accedere al valore della chiave, il cluster può ignorare il firewall. |
Annotazioni
Quando una chiave è disabilitata, eliminata, scaduta o non raggiungibile, un cluster con dati crittografati con tale chiave diventa inaccessibile, come indicato in precedenza. Lo stato del cluster non cambia di nuovo in Pronto fino a quando non può riconvalidare la chiave di crittografia.
In genere, un cluster diventa inaccessibile entro 60 minuti dopo che una chiave è disabilitata, eliminata, scaduta o non raggiungibile. Dopo aver reso disponibile la chiave, il cluster potrebbe richiedere fino a 60 minuti per diventare di nuovo Pronto .
Ripristino dall'eliminazione dell'identità gestita
Se l'identità gestita assegnata dall'utente usata per accedere alla chiave di crittografia archiviata in Key Vault viene eliminata in Microsoft Entra ID, è necessario seguire questa procedura per ripristinare:
- Ripristinare l'identità o creare una nuova identità dell'ID Entra gestita.
- Se è stata creata una nuova identità, anche se ha lo stesso nome di quello eliminato, aggiornare il Database di Azure per le proprietà del cluster flessibili in modo che sappia che deve usare questa nuova identità per accedere alla chiave di crittografia.
- Assicurarsi che questa identità disponga delle autorizzazioni appropriate per le operazioni sulla chiave in Azure Key Vault (AKV).
- Attendere circa un'ora fino a quando il cluster riconvalida la chiave.
Importante
La creazione di una nuova identità Entra ID con lo stesso nome dell'identità eliminata non viene ripristinata dall'eliminazione dell'identità gestita.
Risoluzione dei problemi relativi al provisioning del cluster abilitato per la chiave gestita dal cliente non riuscito
Se uno dei requisiti della chiave gestita dal clientenon viene soddisfatto, il tentativo di effettuare il provisioning di un cluster con chiave gestita dal cliente abilitato ha esito negativo. L'errore seguente durante il provisioning del cluster indica che l'insieme di credenziali delle chiavi, la chiave di crittografia o le autorizzazioni per l'identità gestita non sono state configurate correttamente: "Non è stato possibile ottenere l'accesso alla chiave. Potrebbe essere mancante, l'identità utente specificata non dispone delle relative autorizzazioni GET o l'insieme di credenziali delle chiavi non ha abilitato l'accesso a Internet pubblico".
Per risolvere questa situazione:
- Controllare tutti i requisiti della chiave gestita dal cliente.
- Effettuare il provisioning del cluster con l'identità gestita e l'insieme di credenziali delle chiavi selezionato.
- Eliminare l'entità cluster non riuscita. La proprietà del cluster non riuscito è
clusterStatusimpostata su Non riuscito. Nel portale di Azure è possibile trovare lo stato del cluster nel pannello Panoramica nelle proprietà del cluster.
Contenuti correlati
- Informazioni sulle nozioni fondamentali sulla crittografia dei dati inattivi
- Controllare le procedure consigliate per la configurazione dell'insieme di credenziali delle chiavi per la chiave gestita dal cliente
- Seguire questi passaggi per abilitare la crittografia dei dati a riposo con una chiave gestita dal cliente in Azure DocumentDB