Używanie kluczy zarządzanych przez klienta w usłudze Azure Key Vault dla usługi Azure Data Box

  • Artykuł

Usługa Azure Data Box chroni klucz odblokowania urządzenia (nazywany również hasłem urządzenia), który służy do blokowania urządzenia, używając do tego klucza szyfrowania. Domyślnie ten klucz szyfrowania jest kluczem zarządzanym przez firmę Microsoft. Aby mieć większą kontrolę, możesz użyć klucza zarządzanego przez klienta.

Użycie klucza zarządzanego przez klienta nie wpływa na sposób szyfrowania danych na urządzeniu. Ma wpływ tylko na sposób szyfrowania klucza odblokowania urządzenia.

Aby zachować ten poziom kontroli w całym procesie zamówienia, użyj klucza zarządzanego przez klienta podczas tworzenia zamówienia. Aby uzyskać więcej informacji, zobacz Samouczek: zamawianie urządzenia Azure Data Box.

W tym artykule pokazano, jak włączyć klucz zarządzany przez klienta dla istniejącego zamówienia urządzenia Data Box w witrynie Azure Portal. Dowiesz się, jak zmienić magazyn kluczy, klucz, wersję lub tożsamość bieżącego klucza zarządzanego przez klienta albo wrócić do używania klucza zarządzanego przez firmę Microsoft.

Ten artykuł dotyczy urządzeń Azure Data Box i Azure Data Box Heavy.

Wymagania

Klucz zarządzany przez klienta dla zamówienia urządzenia Data Box musi spełniać następujące wymagania:

  • Klucz należy utworzyć i przechowywać w usłudze Azure Key Vault z włączonym usuwaniem nietrwałym i nie przeczyszczać . Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure Key Vault?. Magazyn kluczy i klucz można utworzyć podczas tworzenia lub aktualizowania zamówienia.
  • Klucz musi być kluczem RSA o rozmiarze 2048 lub większym.
  • Musisz włączyć Getuprawnienia , UnwrapKeyi WrapKey dla klucza w usłudze Azure Key Vault. Uprawnienia muszą pozostać na miejscu przez cały okres istnienia zamówienia. W przeciwnym razie nie można uzyskać dostępu do klucza zarządzanego przez klienta na początku fazy kopiowania danych.

Włącz klucz

Aby włączyć klucz zarządzany przez klienta dla istniejącego zamówienia urządzenia Data Box w witrynie Azure Portal, wykonaj następujące kroki:

  1. Przejdź do ekranu Przegląd zamówienia urządzenia Data Box.

    Overview screen of a Data Box order - 1

  2. Przejdź do pozycji szyfrowanie Ustawienia >i wybierz pozycję Klucz zarządzany przez klienta. Następnie wybierz pozycję Wybierz klucz i magazyn kluczy.

    Select the customer-managed key encryption option

    Na ekranie Wybieranie klucza z usługi Azure Key Vault subskrypcja zostanie automatycznie wypełniona.

  3. W polu Magazyn kluczy możesz wybrać istniejący magazyn kluczy z listy rozwijanej lub wybrać pozycję Utwórz nowy i utworzyć nowy magazyn kluczy.

    Key vault options when selecting a customer-managed key

    Aby utworzyć nowy magazyn kluczy, wprowadź subskrypcję, grupę zasobów, nazwę magazynu kluczy i inne informacje na ekranie Tworzenie nowego magazynu kluczy. W obszarze Opcje odzyskiwania upewnij się, że włączono ochronę przed usuwaniem nietrwałym i przeczyszczaniem. Następnie wybierz pozycję Przejrzyj i utwórz.

    Review and create Azure Key Vault

    Przejrzyj informacje dotyczące magazynu kluczy i wybierz pozycję Utwórz. Poczekaj kilka minut na ukończenie tworzenia magazynu kluczy.

    Create Azure Key Vault with your settings

  4. Na ekranie Wybieranie klucza z usługi Azure Key Vault możesz wybrać istniejący klucz z magazynu kluczy lub utworzyć nowy.

    Select key from Azure Key Vault

    Jeśli chcesz utworzyć nowy klucz, wybierz pozycję Utwórz nowy. Należy użyć klucza RSA. Rozmiar może być 2048 lub większy.

    Create new key in Azure Key Vault

    Wprowadź nazwę nowego klucza, zaakceptuj inne wartości domyślne i wybierz pozycję Utwórz. Otrzymasz powiadomienie o utworzeniu klucza w magazynie kluczy.

    Name new key

  5. W polu Wersja możesz wybrać istniejącą wersję klucza z listy rozwijanej.

    Select version for new key

    Jeśli chcesz wygenerować nową wersję klucza, wybierz pozycję Utwórz nową.

    Open a dialog box for creating a new key version

    Wybierz ustawienia nowej wersji klucza, a następnie wybierz pozycję Utwórz.

    Create a new key version

  6. Po wybraniu magazynu kluczy, klucza i wersji klucza wybierz pozycję Wybierz.

    A key in an Azure Key Vault

    Ustawienia Typu szyfrowania pokazują wybrany magazyn kluczy i klucz.

    Key and key vault for a customer-managed key

  7. Wybierz typ tożsamości, który ma być używany do zarządzania kluczem zarządzanym przez klienta dla tego zasobu. Możesz użyć tożsamości przypisanej przez system, która została wygenerowana podczas tworzenia zamówienia, lub wybrać tożsamość przypisaną przez użytkownika.

    Tożsamość przypisana przez użytkownika jest niezależnym zasobem, którego można użyć do zarządzania dostępem do zasobów. Aby uzyskać więcej informacji, zobacz Typy tożsamości zarządzanych.

    Select the identity type

    Aby przypisać tożsamość użytkownika, wybierz pozycję Przypisany użytkownik. Następnie wybierz pozycję Wybierz tożsamość użytkownika i wybierz tożsamość zarządzaną, której chcesz użyć.

    Select an identity to use

    Nie można tutaj utworzyć nowej tożsamości użytkownika. Aby dowiedzieć się, jak go utworzyć, zobacz Tworzenie, wyświetlanie listy, usuwanie lub przypisywanie roli do tożsamości zarządzanej przypisanej przez użytkownika przy użyciu witryny Azure Portal.

    Wybrana tożsamość użytkownika jest wyświetlana w ustawieniach Typ szyfrowania.

    A selected user identity shown in Encryption type settings

  8. Wybierz pozycję Zapisz , aby zapisać zaktualizowane ustawienia typu szyfrowania.

    Save your customer-managed key

    Adres URL klucza jest wyświetlany w obszarze Typ szyfrowania.

    Customer-managed key URL

Ważne

Musisz włączyć Getuprawnienia , UnwrapKeyi WrapKey dla klucza. Aby ustawić uprawnienia w interfejsie wiersza polecenia platformy Azure, zobacz az keyvault set-policy.

Zmień klucz

Aby zmienić magazyn kluczy, klucz i/lub wersję klucza dla aktualnie używanego klucza zarządzanego przez klienta, wykonaj następujące kroki:

  1. Na ekranie Przegląd zamówienia urządzenia Data Box przejdź do pozycji Ustawienia> Encryption i kliknij pozycję Zmień klucz.

    Overview screen of a Data Box order with customer-managed key - 1

  2. Wybierz pozycję Wybierz inny magazyn kluczy i klucz.

    Overview screen of a Data Box order, Select a different key and key vault option

  3. Na ekranie Wybieranie klucza z magazynu kluczy jest wyświetlana subskrypcja, ale nie ma magazynu kluczy, klucza lub wersji klucza. Możesz wprowadzić dowolne z następujących zmian:

    • Wybierz inny klucz z tego samego magazynu kluczy. Przed wybraniem klucza i wersji należy wybrać magazyn kluczy.

    • Wybierz inny magazyn kluczy i przypisz nowy klucz.

    • Zmień wersję bieżącego klucza.

    Po zakończeniu wprowadzania zmian wybierz pozycję Wybierz.

    Choose encryption option - 2

  4. Wybierz pozycję Zapisz.

    Save updated encryption settings - 1

Ważne

Musisz włączyć Getuprawnienia , UnwrapKeyi WrapKey dla klucza. Aby ustawić uprawnienia w interfejsie wiersza polecenia platformy Azure, zobacz az keyvault set-policy.

Zmienianie tożsamości

Aby zmienić tożsamość używaną do zarządzania dostępem do klucza zarządzanego przez klienta dla tej kolejności, wykonaj następujące kroki:

  1. Na ekranie Przegląd ukończonego zamówienia urządzenia Data Box przejdź do pozycji Ustawienia> Encryption.

  2. Wprowadź jedną z następujących zmian:

    • Aby zmienić tożsamość użytkownika na inną, kliknij pozycję Wybierz inną tożsamość użytkownika. Następnie wybierz inną tożsamość w panelu po prawej stronie ekranu, a następnie wybierz pozycję Wybierz.

      Option for changing the user-assigned identity for a customer-managed key

    • Aby przełączyć się na tożsamość przypisaną przez system wygenerowaną podczas tworzenia zamówienia, wybierz pozycję System przypisany przez pozycję Wybierz typ tożsamości.

      Option for changing to a system-assigned for a customer-managed key

  3. Wybierz pozycję Zapisz.

    Save updated encryption settings - 2

Korzystanie z klucza zarządzanego przez firmę Microsoft

Aby zmienić użycie klucza zarządzanego przez klienta do klucza zarządzanego przez firmę Microsoft dla zamówienia, wykonaj następujące kroki:

  1. Na ekranie Przegląd ukończonego zamówienia urządzenia Data Box przejdź do pozycji Ustawienia> Encryption.

  2. W obszarze Wybierz typ wybierz pozycję Klucz zarządzany przez firmę Microsoft.

    Overview screen of a Data Box order - 5

  3. Wybierz pozycję Zapisz.

    Save updated encryption settings for a Microsoft managed key

Rozwiązywanie problemów

Jeśli wystąpią błędy związane z kluczem zarządzanym przez klienta, skorzystaj z poniższej tabeli, aby rozwiązać problemy.

Kod błędu Szczegóły błędu Odzyskania?
SsemUserErrorEncryptionKeyDisabled Nie można pobrać klucza dostępu, ponieważ klucz zarządzany przez klienta jest wyłączony. Tak, włączając wersję klucza.
SsemUserErrorEncryptionKeyExpired Nie można pobrać klucza dostępu, ponieważ klucz zarządzany przez klienta wygasł. Tak, włączając wersję klucza.
SsemUserErrorKeyDetailsNotFound Nie można pobrać klucza dostępu, ponieważ nie można odnaleźć klucza zarządzanego przez klienta. Jeśli magazyn kluczy został usunięty, nie można odzyskać klucza zarządzanego przez klienta. Jeśli przeprowadzono migrację magazynu kluczy do innej dzierżawy, zobacz Zmienianie identyfikatora dzierżawy magazynu kluczy po przeniesieniu subskrypcji. Jeśli magazyn kluczy został usunięty:
  1. Tak, jeśli jest w czasie trwania ochrony przed przeczyszczeniem, wykonaj kroki opisane w temacie Odzyskiwanie magazynu kluczy.
  2. Nie, jeśli wykracza poza czas trwania ochrony przed przeczyszczeniem.

Jeśli magazyn kluczy przeszedł migrację dzierżawy, tak, można go odzyskać, wykonując jedną z poniższych czynności:
  1. Przywróć magazyn kluczy do starej dzierżawy.
  2. Ustaw Identity = None , a następnie ustaw wartość z powrotem na Identity = SystemAssigned. Spowoduje to usunięcie i ponowne utworzenie tożsamości po utworzeniu nowej tożsamości. Włącz Get, WrapKeyi UnwrapKey uprawnienia do nowej tożsamości w zasadach dostępu magazynu kluczy.
SsemUserErrorKeyVaultBadRequestException Zastosowano klucz zarządzany przez klienta, ale nie udzielono dostępu do klucza lub został odwołany lub nie można uzyskać dostępu do magazynu kluczy z powodu włączenia zapory. Dodaj tożsamość wybraną do magazynu kluczy, aby umożliwić dostęp do klucza zarządzanego przez klienta. Jeśli magazyn kluczy ma włączoną zaporę, przełącz się do tożsamości przypisanej przez system, a następnie dodaj klucz zarządzany przez klienta. Aby uzyskać więcej informacji, zobacz jak włączyć klucz.
SsemUserErrorKeyVaultDetailsNotFound Nie można pobrać klucza dostępu, ponieważ nie można odnaleźć skojarzonego magazynu kluczy dla klucza zarządzanego przez klienta. Jeśli magazyn kluczy został usunięty, nie można odzyskać klucza zarządzanego przez klienta. Jeśli przeprowadzono migrację magazynu kluczy do innej dzierżawy, zobacz Zmienianie identyfikatora dzierżawy magazynu kluczy po przeniesieniu subskrypcji. Jeśli magazyn kluczy został usunięty:
  1. Tak, jeśli jest w czasie trwania ochrony przed przeczyszczeniem, wykonaj kroki opisane w temacie Odzyskiwanie magazynu kluczy.
  2. Nie, jeśli wykracza poza czas trwania ochrony przed przeczyszczeniem.

Jeśli magazyn kluczy przeszedł migrację dzierżawy, tak, można go odzyskać, wykonując jedną z poniższych czynności:
  1. Przywróć magazyn kluczy do starej dzierżawy.
  2. Ustaw Identity = None , a następnie ustaw wartość z powrotem na Identity = SystemAssigned. Spowoduje to usunięcie i ponowne utworzenie tożsamości po utworzeniu nowej tożsamości. Włącz Get, WrapKeyi UnwrapKey uprawnienia do nowej tożsamości w zasadach dostępu magazynu kluczy.
SsemUserErrorSystemAssignedIdentityAbsent Nie można pobrać klucza dostępu, ponieważ nie można odnaleźć klucza zarządzanego przez klienta. Tak, sprawdź, czy:
  1. Magazyn kluczy nadal ma tożsamość usługi zarządzanej w zasadach dostępu.
  2. Tożsamość jest typu Przypisano system.
  3. Włącz Get, WrapKeyi UnwrapKey uprawnienia do tożsamości w zasadach dostępu magazynu kluczy. Te uprawnienia muszą pozostać przez cały okres istnienia zamówienia. Są one używane podczas tworzenia zamówienia i na początku fazy kopiowania danych.
SsemUserErrorUserAssignedLimitReached Dodanie nowej tożsamości przypisanej przez użytkownika nie powiodło się, ponieważ osiągnięto limit całkowitej liczby tożsamości przypisanych przez użytkownika, które można dodać. Spróbuj ponownie wykonać operację z mniejszą liczbą tożsamości użytkowników lub usuń niektóre tożsamości przypisane przez użytkownika z zasobu przed ponowieniu próby.
SsemUserErrorCrossTenantIdentityAccessForbidden Operacja dostępu tożsamości zarządzanej nie powiodła się.
Uwaga: ten błąd może wystąpić, gdy subskrypcja zostanie przeniesiona do innej dzierżawy. Klient musi ręcznie przenieść tożsamość do nowej dzierżawy.		 Spróbuj dodać inną tożsamość przypisaną przez użytkownika do magazynu kluczy, aby umożliwić dostęp do klucza zarządzanego przez klienta. Możesz też przenieść tożsamość do nowej dzierżawy, w ramach której znajduje się subskrypcja. Aby uzyskać więcej informacji, zobacz jak włączyć klucz.
SsemUserErrorKekUserIdentityNotFound Zastosowano klucz zarządzany przez klienta, ale tożsamość przypisana przez użytkownika, która ma dostęp do klucza, nie została znaleziona w usłudze Active Directory.
Uwaga: ten błąd może wystąpić, gdy tożsamość użytkownika zostanie usunięta z platformy Azure.		 Spróbuj dodać inną tożsamość przypisaną przez użytkownika do magazynu kluczy, aby umożliwić dostęp do klucza zarządzanego przez klienta. Aby uzyskać więcej informacji, zobacz jak włączyć klucz.
SsemUserErrorUserAssignedIdentityAbsent Nie można pobrać klucza dostępu, ponieważ nie można odnaleźć klucza zarządzanego przez klienta. Nie można uzyskać dostępu do klucza zarządzanego przez klienta. Tożsamość przypisana przez użytkownika skojarzona z kluczem jest usuwana lub typ interfejsu użytkownika uległ zmianie.
SsemUserErrorKeyVaultBadRequestException Zastosowano klucz zarządzany przez klienta, ale nie udzielono dostępu do klucza lub został odwołany albo nie można uzyskać dostępu do magazynu kluczy, ponieważ włączono zaporę. Dodaj tożsamość wybraną do magazynu kluczy, aby umożliwić dostęp do klucza zarządzanego przez klienta. Jeśli magazyn kluczy ma włączoną zaporę, przełącz się do tożsamości przypisanej przez system, a następnie dodaj klucz zarządzany przez klienta. Aby uzyskać więcej informacji, zobacz jak włączyć klucz.
SsemUserErrorEncryptionKeyTypeNotSupported Typ klucza szyfrowania nie jest obsługiwany dla operacji. Włącz obsługiwany typ szyfrowania w kluczu — na przykład RSA lub RSA-HSM. Aby uzyskać więcej informacji, zobacz Typy kluczy, algorytmy i operacje.
SsemUserErrorSoftDeleteAndPurgeProtectionNotEnabled Magazyn kluczy nie ma włączonej ochrony przed usuwaniem nietrwałym ani przeczyszczaniem. Upewnij się, że w magazynie kluczy włączono ochronę usuwania nietrwałego i przeczyszczania.
SsemUserErrorInvalidKeyVaultUrl
(Tylko wiersz polecenia)		 Użyto nieprawidłowego identyfikatora URI magazynu kluczy. Pobierz prawidłowy identyfikator URI magazynu kluczy. Aby uzyskać identyfikator URI magazynu kluczy, użyj polecenia Get-AzKeyVault w programie PowerShell.
SsemUserErrorKeyVaultUrlWithInvalidScheme Tylko protokół HTTPS jest obsługiwany do przekazywania identyfikatora URI magazynu kluczy. Przekaż identyfikator URI magazynu kluczy za pośrednictwem protokołu HTTPS.
SsemUserErrorKeyVaultUrlInvalidHost Host identyfikatora URI magazynu kluczy nie jest dozwolonym hostem w regionie geograficznym. W chmurze publicznej identyfikator URI magazynu kluczy powinien kończyć się ciągiem vault.azure.net. W chmurze azure Government identyfikator URI magazynu kluczy powinien kończyć się ciągiem vault.usgovcloudapi.net.
Błąd ogólny Nie można pobrać klucza dostępu. Ten błąd jest błędem ogólnym. Skontaktuj się z pomoc techniczna firmy Microsoft, aby rozwiązać problem z błędem i określić następne kroki.

Następne kroki