Door de klant beheerde sleutels gebruiken in Azure Key Vault voor Azure Data Box

  • Artikel

Azure Data Box beveiligt de ontgrendelingssleutel van het apparaat (ook wel het apparaatwachtwoord genoemd), dat wordt gebruikt om een apparaat te vergrendelen, via een versleutelingssleutel. Deze versleutelingssleutel is standaard een door Microsoft beheerde sleutel. Voor meer controle kunt u een door de klant beheerde sleutel gebruiken.

Het gebruik van een door de klant beheerde sleutel is niet van invloed op hoe gegevens op het apparaat worden versleuteld. Dit is alleen van invloed op de wijze waarop de ontgrendelingssleutel van het apparaat is versleuteld.

Als u dit controleniveau tijdens het bestelproces wilt behouden, gebruikt u een door de klant beheerde sleutel wanneer u uw bestelling maakt. Zie Zelfstudie: Azure Data Box bestellen voor meer informatie.

In dit artikel wordt beschreven hoe u een door de klant beheerde sleutel inschakelt voor uw bestaande Data Box-bestelling in Azure Portal. U leert hoe u de sleutelkluis, sleutel, versie of identiteit voor uw huidige door de klant beheerde sleutel kunt wijzigen of hoe u kunt terugkeren naar het gebruik van een door Microsoft beheerde sleutel.

Dit artikel is van toepassing op Azure Data Box- en Azure Data Box Heavy-apparaten.

Vereisten

De door de klant beheerde sleutel voor een Data Box-bestelling moet voldoen aan de volgende vereisten:

  • De sleutel moet worden gemaakt en opgeslagen in een Azure Key Vault waarvoor voorlopig verwijderen is ingeschakeld en niet leegmaken is ingeschakeld. Zie Wat is Azure Key Vault? voor meer informatie. U kunt een sleutelkluis en sleutel maken tijdens het maken of bijwerken van uw bestelling.
  • De sleutel moet een RSA-sleutel van 2048 of groter zijn.
  • U moet de Get, UnwrapKeyen WrapKey machtigingen voor de sleutel in Azure Key Vault inschakelen. De machtigingen moeten aanwezig blijven voor de levensduur van de bestelling. Anders kan de door de klant beheerde sleutel niet worden geopend aan het begin van de fase Gegevens kopiĆ«ren.

Sleutel inschakelen

Voer de volgende stappen uit om een door de klant beheerde sleutel in te schakelen voor uw bestaande Data Box-bestelling in Azure Portal:

  1. Ga naar het scherm Overzicht voor uw Data Box-bestelling.

    Overview screen of a Data Box order - 1

  2. Ga naar Instellingen > Versleuteling en selecteer Door de klant beheerde sleutel. Selecteer vervolgens Een sleutel en sleutelkluis selecteren.

    Select the customer-managed key encryption option

    Op het scherm Sleutel selecteren in Azure Key Vault wordt uw abonnement automatisch ingevuld.

  3. Voor Key Vault kunt u een bestaande sleutelkluis selecteren in de vervolgkeuzelijst of nieuwe maken en een nieuwe sleutelkluis maken.

    Key vault options when selecting a customer-managed key

    Als u een nieuwe sleutelkluis wilt maken, voert u het abonnement, de resourcegroep, de naam van de sleutelkluis en andere informatie in het scherm Nieuwe sleutelkluis maken in. Zorg ervoor dat voorlopig verwijderen en opschonen zijn ingeschakeld in herstelopties. Selecteer vervolgens Controleren en maken.

    Review and create Azure Key Vault

    Controleer de informatie voor uw sleutelkluis en selecteer Maken. Wacht enkele minuten tot het maken van de sleutelkluis is voltooid.

    Create Azure Key Vault with your settings

  4. Op het scherm Sleutel selecteren in Azure Key Vault kunt u een bestaande sleutel selecteren in de sleutelkluis of een nieuwe sleutel maken.

    Select key from Azure Key Vault

    Als u een nieuwe sleutel wilt maken, selecteert u Nieuwe maken. U moet een RSA-sleutel gebruiken. De grootte kan 2048 of meer zijn.

    Create new key in Azure Key Vault

    Voer een naam in voor de nieuwe sleutel, accepteer de andere standaardwaarden en selecteer Maken. U ontvangt een melding dat er een sleutel is gemaakt in uw sleutelkluis.

    Name new key

  5. Voor Versie kunt u een bestaande sleutelversie selecteren in de vervolgkeuzelijst.

    Select version for new key

    Als u een nieuwe sleutelversie wilt genereren, selecteert u Nieuwe maken.

    Open a dialog box for creating a new key version

    Kies instellingen voor de nieuwe sleutelversie en selecteer Maken.

    Create a new key version

  6. Wanneer u een sleutelkluis, sleutel en sleutelversie hebt geselecteerd, kiest u Selecteren.

    A key in an Azure Key Vault

    In de instellingen voor het versleutelingstype worden de sleutelkluis en sleutel weergegeven die u hebt gekozen.

    Key and key vault for a customer-managed key

  7. Selecteer het type identiteit dat moet worden gebruikt om de door de klant beheerde sleutel voor deze resource te beheren. U kunt de door het systeem toegewezen identiteit gebruiken die is gegenereerd tijdens het maken van de bestelling of een door de gebruiker toegewezen identiteit kiezen.

    Een door de gebruiker toegewezen identiteit is een onafhankelijke resource die u kunt gebruiken om de toegang tot resources te beheren. Zie Beheerde identiteitstypen voor meer informatie.

    Select the identity type

    Als u een gebruikersidentiteit wilt toewijzen, selecteert u Toegewezen gebruiker. Selecteer vervolgens een gebruikersidentiteit en selecteer de beheerde identiteit die u wilt gebruiken.

    Select an identity to use

    U kunt hier geen nieuwe gebruikersidentiteit maken. Zie Een rol maken, weergeven, verwijderen of toewijzen aan een door de gebruiker toegewezen beheerde identiteit met behulp van Azure Portal voor meer informatie over het maken van een rol.

    De geselecteerde gebruikersidentiteit wordt weergegeven in de instellingen van het versleutelingstype .

    A selected user identity shown in Encryption type settings

  8. Selecteer Opslaan om de bijgewerkte instellingen voor het versleutelingstype op te slaan.

    Save your customer-managed key

    De sleutel-URL wordt weergegeven onder Versleutelingstype.

    Customer-managed key URL

Belangrijk

U moet de Get, UnwrapKeyen WrapKey machtigingen voor de sleutel inschakelen. Als u de machtigingen in Azure CLI wilt instellen, raadpleegt u az keyvault set-policy.

Sleutel wijzigen

Als u de sleutelkluis, sleutel en/of sleutelversie wilt wijzigen voor de door de klant beheerde sleutel die u momenteel gebruikt, voert u de volgende stappen uit:

  1. Ga in het scherm Overzicht voor uw Data Box-bestelling naar Instellingen> Sleutelen en klik op Sleutel wijzigen.

    Overview screen of a Data Box order with customer-managed key - 1

  2. Kies Een andere sleutelkluis en sleutel selecteren.

    Overview screen of a Data Box order, Select a different key and key vault option

  3. In het scherm Sleutel selecteren in de sleutelkluis ziet u het abonnement, maar geen sleutelkluis, sleutel of sleutelversie. U kunt een van de volgende wijzigingen aanbrengen:

    • Selecteer een andere sleutel uit dezelfde sleutelkluis. U moet de sleutelkluis selecteren voordat u de sleutel en versie selecteert.

    • Selecteer een andere sleutelkluis en wijs een nieuwe sleutel toe.

    • Wijzig de versie voor de huidige sleutel.

    Wanneer u klaar bent met uw wijzigingen, kiest u Selecteren.

    Choose encryption option - 2

  4. Selecteer Opslaan.

    Save updated encryption settings - 1

Belangrijk

U moet de Get, UnwrapKeyen WrapKey machtigingen voor de sleutel inschakelen. Als u de machtigingen in Azure CLI wilt instellen, raadpleegt u az keyvault set-policy.

Identiteit wijzigen

Voer de volgende stappen uit om de identiteit te wijzigen die wordt gebruikt voor het beheren van de toegang tot de door de klant beheerde sleutel voor deze bestelling:

  1. Ga in het scherm Overzicht voor uw voltooide Data Box-bestelling naar Instellingen> Encryption.

  2. Breng een van de volgende wijzigingen aan:

    • Als u wilt overschakelen naar een andere gebruikersidentiteit, klikt u op Een andere gebruikersidentiteit selecteren. Selecteer vervolgens een andere identiteit in het deelvenster aan de rechterkant van het scherm en kies Selecteren.

      Option for changing the user-assigned identity for a customer-managed key

    • Als u wilt overschakelen naar de door het systeem toegewezen identiteit die is gegenereerd tijdens het maken van de bestelling, selecteert u Systeem toegewezen door het identiteitstype Selecteren.

      Option for changing to a system-assigned for a customer-managed key

  3. Selecteer Opslaan.

    Save updated encryption settings - 2

Door Microsoft beheerde sleutel gebruiken

Als u wilt overschakelen van het gebruik van een door de klant beheerde sleutel naar de door Microsoft beheerde sleutel voor uw bestelling, voert u de volgende stappen uit:

  1. Ga in het scherm Overzicht voor uw voltooide Data Box-bestelling naar Instellingen> Encryption.

  2. Selecteer op Type selecteren de beheerde sleutel van Microsoft.

    Overview screen of a Data Box order - 5

  3. Selecteer Opslaan.

    Save updated encryption settings for a Microsoft managed key

Problemen oplossen

Als u fouten ontvangt met betrekking tot uw door de klant beheerde sleutel, gebruikt u de volgende tabel om problemen op te lossen.

Foutcode Foutdetails Herstelbare?
SsemUserErrorEncryptionKeyDisabled Kan de wachtwoordsleutel niet ophalen omdat de door de klant beheerde sleutel is uitgeschakeld. Ja, door de sleutelversie in te schakelen.
SsemUserErrorEncryptionKeyExpired Kan de wachtwoordsleutel niet ophalen omdat de door de klant beheerde sleutel is verlopen. Ja, door de sleutelversie in te schakelen.
SsemUserErrorKeyDetailsNotFound Kan de wachtwoordsleutel niet ophalen omdat de door de klant beheerde sleutel niet kan worden gevonden. Als u de sleutelkluis hebt verwijderd, kunt u de door de klant beheerde sleutel niet herstellen. Als u de sleutelkluis naar een andere tenant hebt gemigreerd, raadpleegt u De tenant-id van een sleutelkluis wijzigen nadat een abonnement is verplaatst. Als u de sleutelkluis hebt verwijderd:
  1. Ja, als deze zich in de duur van de beveiliging tegen opschonen bevindt, gebruikt u de stappen bij Een sleutelkluis herstellen.
  2. Nee, als deze langer is dan de duur van de beveiliging tegen opschonen.

Als de sleutelkluis een tenantmigratie heeft ondergaan, kan deze worden hersteld met behulp van een van de onderstaande stappen:
  1. De sleutelkluis terugzetten naar de oude tenant.
  2. Stel Identity = None de waarde in en stel deze vervolgens weer in op Identity = SystemAssigned. Hierdoor wordt de identiteit verwijderd en opnieuw gemaakt zodra de nieuwe identiteit is gemaakt. Schakel Get, WrapKeyen UnwrapKey machtigingen voor de nieuwe identiteit in het toegangsbeleid van de sleutelkluis in.
SsemUserErrorKeyVaultBadRequestException Er is een door de klant beheerde sleutel toegepast, maar de sleuteltoegang is niet verleend of ingetrokken of kan geen toegang krijgen tot de sleutelkluis omdat de firewall is ingeschakeld. Voeg de identiteit toe die is geselecteerd aan uw sleutelkluis om toegang tot de door de klant beheerde sleutel in te schakelen. Als de firewall is ingeschakeld voor de sleutelkluis, schakelt u over naar een door het systeem toegewezen identiteit en voegt u vervolgens een door de klant beheerde sleutel toe. Zie voor meer informatie hoe u de sleutel inschakelt.
SsemUserErrorKeyVaultDetailsNotFound Kan de wachtwoordsleutel niet ophalen omdat de gekoppelde sleutelkluis voor de door de klant beheerde sleutel niet kan worden gevonden. Als u de sleutelkluis hebt verwijderd, kunt u de door de klant beheerde sleutel niet herstellen. Als u de sleutelkluis naar een andere tenant hebt gemigreerd, raadpleegt u De tenant-id van een sleutelkluis wijzigen nadat een abonnement is verplaatst. Als u de sleutelkluis hebt verwijderd:
  1. Ja, als deze zich in de duur van de beveiliging tegen opschonen bevindt, gebruikt u de stappen bij Een sleutelkluis herstellen.
  2. Nee, als deze langer is dan de duur van de beveiliging tegen opschonen.

Als de sleutelkluis een tenantmigratie heeft ondergaan, kan deze worden hersteld met behulp van een van de onderstaande stappen:
  1. De sleutelkluis terugzetten naar de oude tenant.
  2. Stel Identity = None de waarde in en stel deze vervolgens weer in op Identity = SystemAssigned. Hierdoor wordt de identiteit verwijderd en opnieuw gemaakt zodra de nieuwe identiteit is gemaakt. Schakel Get, WrapKeyen UnwrapKey machtigingen voor de nieuwe identiteit in het toegangsbeleid van de sleutelkluis in.
SsemUserErrorSystemAssignedIdentityAbsent Kan de wachtwoordsleutel niet ophalen omdat de door de klant beheerde sleutel niet kan worden gevonden. Ja, controleer of:
  1. Key Vault heeft nog steeds de MSI in het toegangsbeleid.
  2. Identiteit is van het type Systeem toegewezen.
  3. Schakel Get, WrapKeyen UnwrapKey machtigingen in voor de identiteit in het toegangsbeleid van de sleutelkluis. Deze machtigingen moeten gedurende de levensduur van de bestelling behouden blijven. Ze worden gebruikt tijdens het maken van de bestelling en aan het begin van de fase Gegevens kopiƫren.
SsemUserErrorUserAssignedLimitReached Het toevoegen van een nieuwe door de gebruiker toegewezen identiteit is mislukt omdat u de limiet hebt bereikt voor het totale aantal door de gebruiker toegewezen identiteiten dat kan worden toegevoegd. Voer de bewerking opnieuw uit met minder gebruikersidentiteiten of verwijder enkele door de gebruiker toegewezen identiteiten uit de resource voordat u het opnieuw probeert.
SsemUserErrorCrossTenantIdentityAccessForbidden Bewerking voor toegang tot beheerde identiteit is mislukt.
Opmerking: deze fout kan optreden wanneer een abonnement naar een andere tenant wordt verplaatst. De klant moet de identiteit handmatig verplaatsen naar de nieuwe tenant.		 Probeer een andere door de gebruiker toegewezen identiteit toe te voegen aan uw sleutelkluis om toegang tot de door de klant beheerde sleutel in te schakelen. Of verplaats de identiteit naar de nieuwe tenant waaronder het abonnement aanwezig is. Zie voor meer informatie hoe u de sleutel inschakelt.
SsemUserErrorKekUserIdentityNotFound Er is een door de klant beheerde sleutel toegepast, maar de door de gebruiker toegewezen identiteit die toegang tot de sleutel heeft, is niet gevonden in de Active Directory.
Opmerking: deze fout kan optreden wanneer een gebruikersidentiteit wordt verwijderd uit Azure.		 Probeer een andere door de gebruiker toegewezen identiteit toe te voegen aan uw sleutelkluis om toegang tot de door de klant beheerde sleutel in te schakelen. Zie voor meer informatie hoe u de sleutel inschakelt.
SsemUserErrorUserAssignedIdentityAbsent Kan de wachtwoordsleutel niet ophalen omdat de door de klant beheerde sleutel niet kan worden gevonden. Kan geen toegang krijgen tot de door de klant beheerde sleutel. De door de gebruiker toegewezen identiteit (UAI) die aan de sleutel is gekoppeld, wordt verwijderd of het UAI-type is gewijzigd.
SsemUserErrorKeyVaultBadRequestException Er is een door de klant beheerde sleutel toegepast, maar sleuteltoegang is niet verleend of ingetrokken, of de sleutelkluis kan niet worden geopend omdat een firewall is ingeschakeld. Voeg de identiteit toe die is geselecteerd aan uw sleutelkluis om toegang tot de door de klant beheerde sleutel in te schakelen. Als voor de sleutelkluis een firewall is ingeschakeld, schakelt u over naar een door het systeem toegewezen identiteit en voegt u vervolgens een door de klant beheerde sleutel toe. Zie voor meer informatie hoe u de sleutel inschakelt.
SsemUserErrorEncryptionKeyTypeNotSupported Het type versleutelingssleutel wordt niet ondersteund voor de bewerking. Schakel een ondersteund versleutelingstype in op de sleutel, bijvoorbeeld RSA of RSA-HSM. Zie Sleuteltypen, algoritmen en bewerkingen voor meer informatie.
SsemUserErrorSoftDeleteAndPurgeProtectionNotEnabled Key Vault heeft geen voorlopig verwijderen of beveiliging tegen opschonen ingeschakeld. Zorg ervoor dat zowel voorlopig verwijderen als opschonen zijn ingeschakeld in de sleutelkluis.
SsemUserErrorInvalidKeyVaultUrl
(alleen opdrachtregel)		 Er is een ongeldige sleutelkluis-URI gebruikt. Haal de juiste sleutelkluis-URI op. Gebruik Get-AzKeyVault in PowerShell om de sleutelkluis-URI op te halen.
SsemUserErrorKeyVaultUrlWithInvalidScheme Alleen HTTPS wordt ondersteund voor het doorgeven van de sleutelkluis-URI. Geef de sleutelkluis-URI door via HTTPS.
SsemUserErrorKeyVaultUrlInvalidHost De sleutelkluis-URI-host is geen toegestane host in de geografische regio. In de openbare cloud moet de sleutelkluis-URI eindigen op vault.azure.net. In de Azure Government-cloud moet de sleutelkluis-URI eindigen met vault.usgovcloudapi.net.
Algemene fout Kan de wachtwoordsleutel niet ophalen. Deze fout is een algemene fout. Neem contact op met Microsoft Ondersteuning om de fout op te lossen en de volgende stappen te bepalen.

Volgende stappen