Używanie kluczy zarządzanych przez klienta w usłudze Azure Key Vault do importowania/eksportowania

  • Artykuł

Usługa Azure Import/Export chroni klucze funkcji BitLocker używane do blokowania dysków za pomocą klucza szyfrowania. Domyślnie klucze funkcji BitLocker są szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. Aby uzyskać dodatkową kontrolę nad kluczami szyfrowania, możesz również udostępnić klucze zarządzane przez klienta.

Klucze zarządzane przez klienta muszą być tworzone i przechowywane w usłudze Azure Key Vault. Aby uzyskać więcej informacji na temat usługi Azure Key Vault, zobacz Co to jest usługa Azure Key Vault?

W tym artykule pokazano, jak używać kluczy zarządzanych przez klienta z usługą Import/Export w witrynie Azure Portal.

Wymagania wstępne

Przed rozpoczęciem upewnij się, że spełniono następujące warunki:

  1. Utworzono zadanie importu lub eksportu zgodnie z instrukcjami podanymi w temacie:

  2. Masz istniejącą usługę Azure Key Vault z kluczem, którego można użyć do ochrony klucza funkcji BitLocker. Aby dowiedzieć się, jak utworzyć magazyn kluczy przy użyciu witryny Azure Portal, zobacz Szybki start: tworzenie usługi Azure Key Vault przy użyciu witryny Azure Portal.

    • Usuwanie nietrwałe i nie przeczyszczanie są ustawione w istniejącym magazynie Key Vault. Te właściwości nie są domyślnie włączone. Aby włączyć te właściwości, zobacz sekcje zatytułowane Włączanie usuwania nietrwałego i Włączanie ochrony przed przeczyszczeniem w jednym z następujących artykułów:

    • Istniejący magazyn kluczy powinien mieć klucz RSA o rozmiarze 2048 lub większym. Aby uzyskać więcej informacji na temat kluczy, zobacz About keys (Informacje o kluczach).

    • Magazyn kluczy musi znajdować się w tym samym regionie co konto magazynu dla danych.

    • Jeśli nie masz istniejącej usługi Azure Key Vault, możesz również utworzyć ją w tekście zgodnie z opisem w poniższej sekcji.

Włączanie kluczy

Konfigurowanie klucza zarządzanego przez klienta dla usługi Import/Export jest opcjonalne. Domyślnie usługa Import/Export używa klucza zarządzanego przez firmę Microsoft do ochrony klucza funkcji BitLocker. Aby włączyć klucze zarządzane przez klienta w witrynie Azure Portal, wykonaj następujące kroki:

  1. Przejdź do bloku Przegląd zadania importu.

  2. W okienku po prawej stronie wybierz pozycję Wybierz sposób szyfrowania kluczy funkcji BitLocker.

    Screenshot of Overview blade for Azure Import/Export job. Overview menu item and link that opens BitLocker key options are highlighted.

  3. W bloku Szyfrowanie można wyświetlić i skopiować klucz funkcji BitLocker urządzenia. W obszarze Typ szyfrowania możesz wybrać sposób ochrony klucza funkcji BitLocker. Domyślnie jest używany klucz zarządzany przez firmę Microsoft.

    Screenshot of Encryption blade for an Azure Import/Export order. Encryption menu item is highlighted.

  4. Istnieje możliwość określenia klucza zarządzanego przez klienta. Po wybraniu klucza zarządzanego przez klienta wybierz magazyn kluczy i klucz.

    Screenshot of Encryption blade for Azure Import/Export job.

  5. W bloku Wybierz klucz z usługi Azure Key Vault subskrypcja jest wypełniana automatycznie. W polu Magazyn kluczy możesz wybrać istniejący magazyn kluczy z listy rozwijanej.

    Screenshot of the

  6. Możesz również wybrać pozycję Utwórz nowy , aby utworzyć nowy magazyn kluczy. W bloku Tworzenie magazynu kluczy wprowadź grupę zasobów i nazwę magazynu kluczy. Zaakceptuj wszystkie inne wartości domyślne. Wybierz pozycję Przejrzyj i utwórz.

    Screenshot of

  7. Przejrzyj informacje skojarzone z magazynem kluczy i wybierz pozycję Utwórz. Poczekaj kilka minut na ukończenie tworzenia magazynu kluczy.

    Screenshot of the Review Plus Create screen for a new Azure key vault. The Create button is highlighted.

  8. W obszarze Wybieranie klucza z usługi Azure Key Vault możesz wybrać klucz w istniejącym magazynie kluczy.

  9. Jeśli utworzono nowy magazyn kluczy, wybierz pozycję Utwórz nowy , aby utworzyć klucz. Rozmiar klucza RSA może być 2048 lub większy.

    Screenshot of the

    Jeśli nie włączono ochrony przed usuwaniem nietrwałym i przeczyszczaniem podczas tworzenia magazynu kluczy, magazyn kluczy zostanie zaktualizowany w celu włączenia ochrony przed usuwaniem nietrwałym i przeczyszczaniem.

  10. Podaj nazwę klucza, zaakceptuj inne wartości domyślne, a następnie wybierz pozycję Utwórz.

    Screenshot of the

  11. Wybierz pozycję Wersja , a następnie wybierz pozycję Wybierz. Otrzymasz powiadomienie o utworzeniu klucza w magazynie kluczy.

    Screenshot of the

W bloku Szyfrowanie można wyświetlić magazyn kluczy i klucz wybrany dla klucza zarządzanego przez klienta.

Ważne

Możesz wyłączyć tylko klucze zarządzane przez firmę Microsoft i przejść do kluczy zarządzanych przez klienta na dowolnym etapie zadania importowania/eksportowania. Nie można jednak wyłączyć klucza zarządzanego przez klienta po jego utworzeniu.

Rozwiązywanie problemów z błędami klucza zarządzanego przez klienta

Jeśli wystąpią jakiekolwiek błędy związane z kluczem zarządzanym przez klienta, skorzystaj z poniższej tabeli, aby rozwiązać problemy:

Kod błędu Szczegóły Odzyskania?
CmkErrorAccessRevoked Dostęp do klucza zarządzanego przez klienta zostanie odwołany. Tak, sprawdź, czy:
  1. Magazyn kluczy nadal ma tożsamość usługi zarządzanej w zasadach dostępu.
  2. Zasady dostępu mają włączone uprawnienia Get, Wrap i Unwrap.
  3. Jeśli magazyn kluczy znajduje się w sieci wirtualnej za zaporą, sprawdź, czy opcja Zezwalaj na zaufane usługi firmy Microsoft jest włączona.
  4. Sprawdź, czy tożsamość usługi zarządzanej zasobu zadania została zresetowana do None używania interfejsów API.
    Jeśli tak, ustaw wartość z powrotem na Identity = SystemAssigned. Spowoduje to ponowne utworzenie tożsamości zasobu zadania.
    Po utworzeniu nowej tożsamości włącz GetWrap, i Unwrap uprawnienia do nowej tożsamości w zasadach dostępu magazynu kluczy
CmkErrorKeyDisabled Klucz zarządzany przez klienta jest wyłączony. Tak, włączając wersję klucza
CmkErrorKeyNotFound Nie można odnaleźć klucza zarządzanego przez klienta. Tak, jeśli klucz został usunięty, ale nadal jest w czasie trwania przeczyszczania, przy użyciu polecenia Cofnij usuwanie klucza magazynu kluczy.
Innego
  1. Tak, jeśli klient ma kopię zapasową klucza i przywraca go.
  2. Nie, w przeciwnym razie.
CmkErrorVaultNotFound Nie można odnaleźć magazynu kluczy klucza zarządzanego przez klienta. Jeśli magazyn kluczy został usunięty:
  1. Tak, jeśli jest w czasie trwania ochrony przed przeczyszczeniem, wykonaj kroki opisane w temacie Odzyskiwanie magazynu kluczy.
  2. Nie, jeśli wykracza poza czas trwania ochrony przed przeczyszczeniem.

Jeśli magazyn kluczy został zmigrowany do innej dzierżawy, tak, można go odzyskać, wykonując jedną z poniższych czynności:
  1. Przywróć magazyn kluczy do starej dzierżawy.
  2. Ustaw Identity = None , a następnie ustaw wartość z powrotem na Identity = SystemAssigned. Spowoduje to usunięcie i ponowne utworzenie tożsamości po utworzeniu nowej tożsamości. Włącz Get, Wrapi Unwrap uprawnienia do nowej tożsamości w zasadach dostępu magazynu kluczy.

Następne kroki