Door de klant beheerde sleutels gebruiken in Azure Key Vault voor Azure Data Box
Azure Data Box beveiligt de ontgrendelingssleutel van het apparaat (ook wel het apparaatwachtwoord genoemd), dat wordt gebruikt om een apparaat te vergrendelen, via een versleutelingssleutel. Deze versleutelingssleutel is standaard een door Microsoft beheerde sleutel. Voor meer controle kunt u een door de klant beheerde sleutel gebruiken.
Het gebruik van een door de klant beheerde sleutel is niet van invloed op hoe gegevens op het apparaat worden versleuteld. Dit is alleen van invloed op de wijze waarop de ontgrendelingssleutel van het apparaat is versleuteld.
Als u dit controleniveau tijdens het bestelproces wilt behouden, gebruikt u een door de klant beheerde sleutel wanneer u uw bestelling maakt. Zie Zelfstudie: Azure Data Box bestellen voor meer informatie.
In dit artikel wordt beschreven hoe u een door de klant beheerde sleutel inschakelt voor uw bestaande Data Box-bestelling in Azure Portal. U leert hoe u de sleutelkluis, sleutel, versie of identiteit voor uw huidige door de klant beheerde sleutel kunt wijzigen of hoe u kunt terugkeren naar het gebruik van een door Microsoft beheerde sleutel.
Dit artikel is van toepassing op Azure Data Box- en Azure Data Box Heavy-apparaten.
Vereisten
De door de klant beheerde sleutel voor een Data Box-bestelling moet voldoen aan de volgende vereisten:
- De sleutel moet worden gemaakt en opgeslagen in een Azure Key Vault waarvoor voorlopig verwijderen is ingeschakeld en niet leegmaken is ingeschakeld. Zie Wat is Azure Key Vault? voor meer informatie. U kunt een sleutelkluis en sleutel maken tijdens het maken of bijwerken van uw bestelling.
- De sleutel moet een RSA-sleutel van 2048 of groter zijn.
- U moet de
Get,UnwrapKeyenWrapKeymachtigingen voor de sleutel in Azure Key Vault inschakelen. De machtigingen moeten aanwezig blijven voor de levensduur van de bestelling. Anders kan de door de klant beheerde sleutel niet worden geopend aan het begin van de fase Gegevens kopiƫren.
Sleutel inschakelen
Voer de volgende stappen uit om een door de klant beheerde sleutel in te schakelen voor uw bestaande Data Box-bestelling in Azure Portal:
Ga naar het scherm Overzicht voor uw Data Box-bestelling.
Ga naar Instellingenversleuteling >en selecteer Door de klant beheerde sleutel. Selecteer vervolgens Een sleutel en sleutelkluis selecteren.
Op het scherm Sleutel selecteren in Azure Key Vault wordt uw abonnement automatisch ingevuld.
Voor Key Vault kunt u een bestaande sleutelkluis selecteren in de vervolgkeuzelijst of nieuwe maken en een nieuwe sleutelkluis maken.
Als u een nieuwe sleutelkluis wilt maken, voert u het abonnement, de resourcegroep, de naam van de sleutelkluis en andere informatie in het scherm Nieuwe sleutelkluis maken in. Zorg ervoor dat voorlopig verwijderen en opschonen zijn ingeschakeld in herstelopties. Selecteer vervolgens Controleren en maken.
Controleer de informatie voor uw sleutelkluis en selecteer Maken. Wacht enkele minuten tot het maken van de sleutelkluis is voltooid.
Op het scherm Sleutel selecteren in Azure Key Vault kunt u een bestaande sleutel selecteren in de sleutelkluis of een nieuwe sleutel maken.
Als u een nieuwe sleutel wilt maken, selecteert u Nieuwe maken. U moet een RSA-sleutel gebruiken. De grootte kan 2048 of meer zijn.
Voer een naam in voor de nieuwe sleutel, accepteer de andere standaardwaarden en selecteer Maken. U ontvangt een melding dat er een sleutel is gemaakt in uw sleutelkluis.
Voor Versie kunt u een bestaande sleutelversie selecteren in de vervolgkeuzelijst.
Als u een nieuwe sleutelversie wilt genereren, selecteert u Nieuwe maken.
Kies instellingen voor de nieuwe sleutelversie en selecteer Maken.
Wanneer u een sleutelkluis, sleutel en sleutelversie hebt geselecteerd, kiest u Selecteren.
In de instellingen voor het versleutelingstype worden de sleutelkluis en sleutel weergegeven die u hebt gekozen.
Selecteer het type identiteit dat moet worden gebruikt om de door de klant beheerde sleutel voor deze resource te beheren. U kunt de door het systeem toegewezen identiteit gebruiken die is gegenereerd tijdens het maken van de bestelling of een door de gebruiker toegewezen identiteit kiezen.
Een door de gebruiker toegewezen identiteit is een onafhankelijke resource die u kunt gebruiken om de toegang tot resources te beheren. Zie Beheerde identiteitstypen voor meer informatie.
Als u een gebruikersidentiteit wilt toewijzen, selecteert u Toegewezen gebruiker. Selecteer vervolgens een gebruikersidentiteit en selecteer de beheerde identiteit die u wilt gebruiken.
U kunt hier geen nieuwe gebruikersidentiteit maken. Zie Een rol maken, weergeven, verwijderen of toewijzen aan een door de gebruiker toegewezen beheerde identiteit met behulp van Azure Portal voor meer informatie over het maken van een rol.
De geselecteerde gebruikersidentiteit wordt weergegeven in de instellingen van het versleutelingstype .
Selecteer Opslaan om de bijgewerkte instellingen voor het versleutelingstype op te slaan.
De sleutel-URL wordt weergegeven onder Versleutelingstype.
Belangrijk
U moet de Get, UnwrapKeyen WrapKey machtigingen voor de sleutel inschakelen. Als u de machtigingen in Azure CLI wilt instellen, raadpleegt u az keyvault set-policy.
Sleutel wijzigen
Als u de sleutelkluis, sleutel en/of sleutelversie wilt wijzigen voor de door de klant beheerde sleutel die u momenteel gebruikt, voert u de volgende stappen uit:
Ga in het scherm Overzicht voor uw Data Box-bestelling naar Instellingenversleuteling> en klik op Sleutel wijzigen.
Kies Een andere sleutelkluis en sleutel selecteren.
In het scherm Sleutel selecteren in de sleutelkluis ziet u het abonnement, maar geen sleutelkluis, sleutel of sleutelversie. U kunt een van de volgende wijzigingen aanbrengen:
Selecteer een andere sleutel uit dezelfde sleutelkluis. U moet de sleutelkluis selecteren voordat u de sleutel en versie selecteert.
Selecteer een andere sleutelkluis en wijs een nieuwe sleutel toe.
Wijzig de versie voor de huidige sleutel.
Wanneer u klaar bent met uw wijzigingen, kiest u Selecteren.
Selecteer Opslaan.
Belangrijk
U moet de Get, UnwrapKeyen WrapKey machtigingen voor de sleutel inschakelen. Als u de machtigingen in Azure CLI wilt instellen, raadpleegt u az keyvault set-policy.
Identiteit wijzigen
Voer de volgende stappen uit om de identiteit te wijzigen die wordt gebruikt voor het beheren van de toegang tot de door de klant beheerde sleutel voor deze bestelling:
Ga in het scherm Overzicht voor de voltooide Data Box-bestelling naar Instellingenversleuteling>.
Breng een van de volgende wijzigingen aan:
Als u wilt overschakelen naar een andere gebruikersidentiteit, klikt u op Een andere gebruikersidentiteit selecteren. Selecteer vervolgens een andere identiteit in het deelvenster aan de rechterkant van het scherm en kies Selecteren.
Als u wilt overschakelen naar de door het systeem toegewezen identiteit die is gegenereerd tijdens het maken van de bestelling, selecteert u Systeem toegewezen door het identiteitstype Selecteren.
Selecteer Opslaan.
Door Microsoft beheerde sleutel gebruiken
Als u wilt overschakelen van het gebruik van een door de klant beheerde sleutel naar de door Microsoft beheerde sleutel voor uw bestelling, voert u de volgende stappen uit:
Ga in het scherm Overzicht voor de voltooide Data Box-bestelling naar Instellingenversleuteling>.
Selecteer op Type selecteren de beheerde sleutel van Microsoft.
Selecteer Opslaan.
Problemen oplossen
Als u fouten ontvangt met betrekking tot uw door de klant beheerde sleutel, gebruikt u de volgende tabel om problemen op te lossen.
| Foutcode | Foutdetails | Herstelbare? |
|---|---|---|
| SsemUserErrorEncryptionKeyDisabled | Kan de wachtwoordsleutel niet ophalen omdat de door de klant beheerde sleutel is uitgeschakeld. | Ja, door de sleutelversie in te schakelen. |
| SsemUserErrorEncryptionKeyExpired | Kan de wachtwoordsleutel niet ophalen omdat de door de klant beheerde sleutel is verlopen. | Ja, door de sleutelversie in te schakelen. |
| SsemUserErrorKeyDetailsNotFound | Kan de wachtwoordsleutel niet ophalen omdat de door de klant beheerde sleutel niet kan worden gevonden. | Als u de sleutelkluis hebt verwijderd, kunt u de door de klant beheerde sleutel niet herstellen. Als u de sleutelkluis naar een andere tenant hebt gemigreerd, raadpleegt u De tenant-id van een sleutelkluis wijzigen nadat een abonnement is verplaatst. Als u de sleutelkluis hebt verwijderd:
Als de sleutelkluis een tenantmigratie heeft ondergaan, kan deze worden hersteld met behulp van een van de onderstaande stappen:
|
| SsemUserErrorKeyVaultBadRequestException | Er is een door de klant beheerde sleutel toegepast, maar de sleuteltoegang is niet verleend of ingetrokken of kan geen toegang krijgen tot de sleutelkluis omdat de firewall is ingeschakeld. | Voeg de identiteit toe die is geselecteerd aan uw sleutelkluis om toegang tot de door de klant beheerde sleutel in te schakelen. Als de firewall is ingeschakeld voor de sleutelkluis, schakelt u over naar een door het systeem toegewezen identiteit en voegt u vervolgens een door de klant beheerde sleutel toe. Zie voor meer informatie hoe u de sleutel inschakelt. |
| SsemUserErrorKeyVaultDetailsNotFound | Kan de wachtwoordsleutel niet ophalen omdat de gekoppelde sleutelkluis voor de door de klant beheerde sleutel niet kan worden gevonden. | Als u de sleutelkluis hebt verwijderd, kunt u de door de klant beheerde sleutel niet herstellen. Als u de sleutelkluis naar een andere tenant hebt gemigreerd, raadpleegt u De tenant-id van een sleutelkluis wijzigen nadat een abonnement is verplaatst. Als u de sleutelkluis hebt verwijderd:
Als de sleutelkluis een tenantmigratie heeft ondergaan, kan deze worden hersteld met behulp van een van de onderstaande stappen:
|
| SsemUserErrorSystemAssignedIdentityAbsent | Kan de wachtwoordsleutel niet ophalen omdat de door de klant beheerde sleutel niet kan worden gevonden. | Ja, controleer of:
|
| SsemUserErrorUserAssignedLimitReached | Het toevoegen van een nieuwe door de gebruiker toegewezen identiteit is mislukt omdat u de limiet hebt bereikt voor het totale aantal door de gebruiker toegewezen identiteiten dat kan worden toegevoegd. | Voer de bewerking opnieuw uit met minder gebruikersidentiteiten of verwijder enkele door de gebruiker toegewezen identiteiten uit de resource voordat u het opnieuw probeert. |
| SsemUserErrorCrossTenantIdentityAccessForbidden | Bewerking voor toegang tot beheerde identiteit is mislukt. Opmerking: deze fout kan optreden wanneer een abonnement naar een andere tenant wordt verplaatst. De klant moet de identiteit handmatig verplaatsen naar de nieuwe tenant. |
Probeer een andere door de gebruiker toegewezen identiteit toe te voegen aan uw sleutelkluis om toegang tot de door de klant beheerde sleutel in te schakelen. Of verplaats de identiteit naar de nieuwe tenant waaronder het abonnement aanwezig is. Zie voor meer informatie hoe u de sleutel inschakelt. |
| SsemUserErrorKekUserIdentityNotFound | Er is een door de klant beheerde sleutel toegepast, maar de door de gebruiker toegewezen identiteit die toegang tot de sleutel heeft, is niet gevonden in de Active Directory. Opmerking: deze fout kan optreden wanneer een gebruikersidentiteit wordt verwijderd uit Azure. |
Probeer een andere door de gebruiker toegewezen identiteit toe te voegen aan uw sleutelkluis om toegang tot de door de klant beheerde sleutel in te schakelen. Zie voor meer informatie hoe u de sleutel inschakelt. |
| SsemUserErrorUserAssignedIdentityAbsent | Kan de wachtwoordsleutel niet ophalen omdat de door de klant beheerde sleutel niet kan worden gevonden. | Kan geen toegang krijgen tot de door de klant beheerde sleutel. De door de gebruiker toegewezen identiteit (UAI) die aan de sleutel is gekoppeld, wordt verwijderd of het UAI-type is gewijzigd. |
| SsemUserErrorKeyVaultBadRequestException | Er is een door de klant beheerde sleutel toegepast, maar sleuteltoegang is niet verleend of ingetrokken, of de sleutelkluis kan niet worden geopend omdat een firewall is ingeschakeld. | Voeg de identiteit toe die is geselecteerd aan uw sleutelkluis om toegang tot de door de klant beheerde sleutel in te schakelen. Als voor de sleutelkluis een firewall is ingeschakeld, schakelt u over naar een door het systeem toegewezen identiteit en voegt u vervolgens een door de klant beheerde sleutel toe. Zie voor meer informatie hoe u de sleutel inschakelt. |
| SsemUserErrorEncryptionKeyTypeNotSupported | Het type versleutelingssleutel wordt niet ondersteund voor de bewerking. | Schakel een ondersteund versleutelingstype in op de sleutel, bijvoorbeeld RSA of RSA-HSM. Zie Sleuteltypen, algoritmen en bewerkingen voor meer informatie. |
| SsemUserErrorSoftDeleteAndPurgeProtectionNotEnabled | Key Vault heeft geen voorlopig verwijderen of beveiliging tegen opschonen ingeschakeld. | Zorg ervoor dat zowel voorlopig verwijderen als opschonen zijn ingeschakeld in de sleutelkluis. |
| SsemUserErrorInvalidKeyVaultUrl (alleen opdrachtregel) |
Er is een ongeldige sleutelkluis-URI gebruikt. | Haal de juiste sleutelkluis-URI op. Gebruik Get-AzKeyVault in PowerShell om de sleutelkluis-URI op te halen. |
| SsemUserErrorKeyVaultUrlWithInvalidScheme | Alleen HTTPS wordt ondersteund voor het doorgeven van de sleutelkluis-URI. | Geef de sleutelkluis-URI door via HTTPS. |
| SsemUserErrorKeyVaultUrlInvalidHost | De sleutelkluis-URI-host is geen toegestane host in de geografische regio. | In de openbare cloud moet de sleutelkluis-URI eindigen op vault.azure.net. In de Azure Government-cloud moet de sleutelkluis-URI eindigen met vault.usgovcloudapi.net. |
| Algemene fout | Kan de wachtwoordsleutel niet ophalen. | Deze fout is een algemene fout. Neem contact op met Microsoft Ondersteuning om de fout op te lossen en de volgende stappen te bepalen. |