Konfigurowanie kluczy zarządzanych przez klienta na potrzeby szyfrowania woluminów usługi Azure NetApp Files

Klucze zarządzane przez klienta na potrzeby szyfrowania woluminów usługi Azure NetApp Files umożliwiają używanie własnych kluczy zamiast klucza zarządzanego przez platformę podczas tworzenia nowego woluminu. Za pomocą kluczy zarządzanych przez klienta można w pełni zarządzać relacją między cyklem życia klucza, uprawnieniami do użycia klucza i operacjami inspekcji kluczy.

Na poniższym diagramie przedstawiono sposób działania kluczy zarządzanych przez klienta z usługą Azure NetApp Files:

1. Usługa Azure NetApp Files udziela uprawnień do kluczy szyfrowania tożsamości zarządzanej. Tożsamość zarządzana to tożsamość zarządzana przypisana przez użytkownika, którą tworzysz i zarządzasz tożsamością zarządzaną przypisaną przez system lub skojarzona z kontem usługi NetApp.

2. Szyfrowanie należy skonfigurować przy użyciu klucza zarządzanego przez klienta dla konta usługi NetApp.

3. Tożsamość zarządzana, do której administrator usługi Azure Key Vault udzielił uprawnień w kroku 1, aby uwierzytelnić dostęp do usługi Azure Key Vault za pośrednictwem identyfikatora Entra firmy Microsoft.

4. Usługa Azure NetApp Files opakowuje klucz szyfrowania konta za pomocą klucza zarządzanego przez klienta w usłudze Azure Key Vault.

   Klucze zarządzane przez klienta nie mają wpływu na wydajność usługi Azure NetApp Files. Jego jedyną różnicą od kluczy zarządzanych przez platformę jest sposób zarządzania kluczem.

5. W przypadku operacji odczytu/zapisu usługa Azure NetApp Files wysyła żądania do usługi Azure Key Vault, aby odpakować klucz szyfrowania konta w celu wykonania operacji szyfrowania i odszyfrowywania.

Kwestie wymagające rozważenia

• Klucze zarządzane przez klienta można skonfigurować tylko na nowych woluminach. Nie można migrować istniejących woluminów do szyfrowania kluczy zarządzanych przez klienta.
• Aby utworzyć wolumin przy użyciu kluczy zarządzanych przez klienta, należy wybrać funkcje sieciowe w warstwie Standardowa . Nie można używać woluminów kluczy zarządzanych przez klienta z woluminem skonfigurowanym przy użyciu podstawowych funkcji sieciowych. Postępuj zgodnie z instrukcjami w sekcji Ustawianie opcji Funkcje sieciowe na stronie tworzenia woluminu.
• Aby zwiększyć bezpieczeństwo, możesz wybrać opcję Wyłącz dostęp publiczny w ustawieniach sieci magazynu kluczy. Po wybraniu tej opcji należy również wybrać opcję Zezwalaj na zaufane usługi firmy Microsoft, aby pominąć tę zaporę, aby zezwolić usłudze Azure NetApp Files na dostęp do klucza szyfrowania.
• Klucze zarządzane przez klienta obsługują automatyczne odnawianie certyfikatu tożsamości systemu zarządzanego (MSI). Jeśli certyfikat jest prawidłowy, nie musisz go aktualizować ręcznie.
• Stosowanie sieciowych grup zabezpieczeń platformy Azure w podsieci łącza prywatnego do usługi Azure Key Vault nie jest obsługiwane w przypadku kluczy zarządzanych przez klienta usługi Azure NetApp Files. Sieciowe grupy zabezpieczeń nie mają wpływu na łączność z usługą Private Link, chyba że Private endpoint network policy jest włączona w podsieci. Ta opcja musi być wyłączona.
• Jeśli usługa Azure NetApp Files nie może utworzyć woluminu klucza zarządzanego przez klienta, zostaną wyświetlone komunikaty o błędach. Aby uzyskać więcej informacji, zobacz sekcję Komunikaty o błędach i rozwiązywanie problemów.
• Jeśli usługa Azure Key Vault stanie się niedostępna, usługa Azure NetApp Files utraci dostęp do kluczy szyfrowania oraz możliwość odczytywania lub zapisywania danych w woluminach włączanych za pomocą kluczy zarządzanych przez klienta. W takiej sytuacji utwórz bilet pomocy technicznej, aby ręcznie przywrócić dostęp dla woluminów, których dotyczy problem.
• Usługa Azure NetApp Files obsługuje klucze zarządzane przez klienta na woluminach replikacji źródła i danych z replikacją między regionami lub relacjami replikacji między strefami.

Obsługiwane regiony

Klucze zarządzane przez klienta usługi Azure NetApp Files są obsługiwane w następujących regionach:

• Australia Środkowa
• Australia Środkowa 2
• Australia Wschodnia
• Australia Południowo-Wschodnia
• Brazylia Południowa
• Brazylia Południowo–Wschodnia
• Kanada Środkowa
• Kanada Wschodnia
• Indie Środkowe
• Central US
• Azja Wschodnia
• East US
• Wschodnie stany USA 2
• Francja Środkowa
• Niemcy Północne
• Niemcy Środkowo-Zachodnie
• Izrael Centralny
• Japonia Wschodnia
• Japonia Zachodnia
• Korea Środkowa
• Korea Południowa
• Północno-środkowe stany USA
• Europa Północna
• Norwegia Wschodnia
• Norwegia Zachodnia
• Katar Środkowy
• Północna Republika Południowej Afryki
• South Central US
• Indie Południowe
• Southeast Asia
• Szwecja Środkowa
• Szwajcaria Północna
• Szwajcaria Zachodnia
• Środkowe Zjednoczone Emiraty Arabskie
• Północne Zjednoczone Emiraty Arabskie
• Południowe Zjednoczone Królestwo
• Zachodnie Zjednoczone Królestwo
• West Europe
• Zachodnie stany USA
• Zachodnie stany USA 2
• Zachodnie stany USA 3

Wymagania

Przed utworzeniem pierwszego woluminu klucza zarządzanego przez klienta należy skonfigurować:

• Usługa Azure Key Vault zawierająca co najmniej jeden klucz.
  • Magazyn kluczy musi mieć włączoną ochronę usuwania nietrwałego i przeczyszczania.
  • Klucz musi być typu RSA.
• Magazyn kluczy musi mieć prywatny punkt końcowy platformy Azure.
  • Prywatny punkt końcowy musi znajdować się w innej podsieci niż ten delegowany do usługi Azure NetApp Files. Podsieć musi znajdować się w tej samej sieci wirtualnej co ta, która jest delegowana do usługi Azure NetApp.

Aby uzyskać więcej informacji na temat usługi Azure Key Vault i prywatnego punktu końcowego platformy Azure, zobacz:

• Szybki start: tworzenie magazynu kluczy
• Tworzenie lub importowanie klucza do magazynu
• Tworzenie prywatnego punktu końcowego
• Więcej informacji o kluczach i obsługiwanych typach kluczy
• Sieciowe grupy zabezpieczeń
• Zarządzanie zasadami sieci dla prywatnych punktów końcowych

Konfigurowanie konta usługi NetApp do używania kluczy zarządzanych przez klienta

Portal

1. W witrynie Azure Portal i w obszarze Azure NetApp Files wybierz pozycję Szyfrowanie.

   Strona Szyfrowanie umożliwia zarządzanie ustawieniami szyfrowania dla konta usługi NetApp. Obejmuje ona opcję ustawienia konta usługi NetApp na użycie własnego klucza szyfrowania, który jest przechowywany w usłudze Azure Key Vault. To ustawienie zapewnia tożsamość przypisaną przez system do konta usługi NetApp i dodaje zasady dostępu dla tożsamości z wymaganymi uprawnieniami klucza.

   

2. Po ustawieniu konta usługi NetApp do używania klucza zarządzanego przez klienta istnieją dwa sposoby określania identyfikatora URI klucza:

   • Opcja Wybierz z magazynu kluczy umożliwia wybranie magazynu kluczy i klucza.

   • Opcja Wprowadź identyfikator URI klucza umożliwia ręczne wprowadzenie identyfikatora URI klucza.

3. Wybierz typ tożsamości, którego chcesz użyć do uwierzytelniania w usłudze Azure Key Vault. Jeśli usługa Azure Key Vault jest skonfigurowana do używania zasad dostępu magazynu jako modelu uprawnień, dostępne są obie opcje. W przeciwnym razie dostępna jest tylko opcja przypisana przez użytkownika.

   • Jeśli wybierzesz pozycję Przypisane przez system, wybierz przycisk Zapisz . Witryna Azure Portal automatycznie konfiguruje konto usługi NetApp przy użyciu następującego procesu: tożsamość przypisana przez system zostanie dodana do konta usługi NetApp. Zasady dostępu należy utworzyć w usłudze Azure Key Vault z uprawnieniami klucza Get, Encrypt, Decrypt.

   

   • Jeśli wybierzesz opcję Przypisane przez użytkownika, musisz wybrać tożsamość. Wybierz pozycję Wybierz tożsamość , aby otworzyć okienko kontekstowe, w którym wybierzesz tożsamość zarządzaną przypisaną przez użytkownika.

   

   Jeśli skonfigurowano usługę Azure Key Vault do używania zasad dostępu do magazynu, witryna Azure Portal automatycznie konfiguruje konto usługi NetApp przy użyciu następującego procesu: wybrana tożsamość przypisana przez użytkownika zostanie dodana do konta usługi NetApp. Zasady dostępu są tworzone w usłudze Azure Key Vault z uprawnieniami klucza Pobierz, Szyfruj, Odszyfruj.

   Jeśli skonfigurowano usługę Azure Key Vault do korzystania z kontroli dostępu opartej na rolach platformy Azure, upewnij się, że wybrana tożsamość przypisana przez użytkownika ma przypisanie roli w magazynie kluczy z uprawnieniami do akcji:

   • Microsoft.KeyVault/vaults/keys/read
   • Microsoft.KeyVault/vaults/keys/encrypt/action
   • Microsoft.KeyVault/vaults/keys/decrypt/action Wybrana tożsamość przypisana przez użytkownika zostanie dodana do konta usługi NetApp. Ze względu na możliwy do dostosowania charakter kontroli dostępu opartej na rolach (RBAC) witryna Azure Portal nie konfiguruje dostępu do magazynu kluczy. Aby uzyskać szczegółowe informacje na temat konfigurowania usługi Azure Key Vault, zobacz Zapewnianie dostępu do kluczy, certyfikatów i wpisów tajnych przy użyciu kontroli dostępu opartej na rolach platformy Azure.

4. Wybierz pozycję Zapisz , a następnie obserwuj powiadomienie informujące o stanie operacji. Jeśli operacja nie powiodła się, zostanie wyświetlony komunikat o błędzie. Zapoznaj się z komunikatami o błędach i rozwiązywaniem problemów, aby uzyskać pomoc dotyczącą rozwiązywania błędu.

Interfejs wiersza polecenia platformy Azure

Sposób konfigurowania konta usługi NetApp przy użyciu kluczy zarządzanych przez klienta za pomocą interfejsu wiersza polecenia platformy Azure zależy od tego, czy używasz tożsamości przypisanej przez system, czy tożsamości przypisanej przez użytkownika.

Używanie tożsamości przypisanej przez system

1. Zaktualizuj konto usługi NetApp, aby używało tożsamości przypisanej przez system.

   az netappfiles account update \
       --name <account_name> \
       --resource-group <resource_group> \
       --identity-type SystemAssigned
   

2. Aby użyć zasad dostępu, utwórz zmienną zawierającą identyfikator podmiotu zabezpieczeń tożsamości konta, a następnie uruchom az keyvault set-policy i przypisz uprawnienia "Pobierz", "Szyfruj" i "Odszyfruj".

   netapp_account_principal=$(az netappfiles account show \
       --name <account_name> \
       --resource-group <resource_group> \
       --query identity.principalId \
       --output tsv)
   
   az keyvault set-policy \
       --name <key_vault_name> \
       --resource-group <resource-group> \
       --object-id $netapp_account_principal \
       --key-permissions get encrypt decrypt
   

3. Zaktualizuj konto usługi NetApp przy użyciu magazynu kluczy.

   key_vault_uri=$(az keyvault show \
       --name <key-vault> \
       --resource-group <resource_group> \
       --query properties.vaultUri \
       --output tsv)
   az netappfiles account update --name <account_name> \  
       --resource-group <resource_group> \
       --key-source Microsoft.Keyvault \
       --key-vault-uri $key_vault_uri \
       --key-name <key>
   

Używanie nowej tożsamości przypisanej przez użytkownika

1. Utwórz nową tożsamość przypisaną przez użytkownika.

   az identity create \
       --name <identity_name> \
       --resource-group <resource_group>
   

2. Ustaw zasady dostępu dla magazynu kluczy.

   user_assigned_identity_principal=$(az identity show \
       --name <identity_name> \
       --resource-group <resource_group> \
       --query properties.principalId \
       -output tsv)
   az keyvault set-policy \
       --name <key_vault_name> \
       --resource-group <resource-group> \
       --object-id $user_assigned_identity_principal \
       --key-permissions get encrypt decrypt
   

   Uwaga

   Możesz również użyć kontroli dostępu opartej na rolach, aby udzielić dostępu do magazynu kluczy.

3. Przypisz tożsamość przypisaną przez użytkownika do konta usługi NetApp i zaktualizuj szyfrowanie magazynu kluczy.

   key_vault_uri=$(az keyvault show \
       --name <key-vault> \
       --resource-group <resource_group> \
       --query properties.vaultUri \
       --output tsv)
   user_assigned_identity=$(az identity show \
       --name <identity_name> \
       --resource-group <resource_group> \
       --query id \
       -output tsv)
   az netappfiles account update --name <account_name> \  
       --resource-group <resource_group> \
       --identity-type UserAssigned \
       --key-source Microsoft.Keyvault \
       --key-vault-uri $key_vault_uri \
       --key-name <key> \
       --keyvault-resource-id <key-vault> \   
       --user-assigned-identity $user_assigned_identity
   

Azure PowerShell

Proces konfigurowania konta usługi NetApp z kluczami zarządzanymi przez klienta w interfejsie wiersza polecenia platformy Azure zależy od tego, czy używasz tożsamości przypisanej przez system, czy tożsamości przypisanej przez użytkownika.

Włączanie dostępu dla tożsamości przypisanej przez system

1. Zaktualizuj konto usługi NetApp, aby używało tożsamości przypisanej przez system.

   $netappAccount = Update-AzNetAppFilesAccount -ResourceGroupName <resource_group> -Name <account_name> -AssignIdentity
   

2. Aby użyć zasad dostępu, uruchom polecenie Set-AzKeyVaultAccessPolicy z nazwą magazynu kluczy, głównym identyfikatorem tożsamości konta oraz uprawnieniami "Get", "Encrypt" i "Decrypt".

   Set-AzKeyVaultAccessPolicy -VaultName <key_vault_name> -ResourceGroupname <resource_group> -ObjectId $netappAccount.Identity.PrincipalId -PermissionsToKeys get,encrypt,decrypt
   

3. Zaktualizuj konto usługi NetApp przy użyciu informacji o magazynie kluczy.

   Update-AzNetAppFilesAccount -ResourceGroupName $netappAccount.ResourceGroupName -AccountName $netappAccount.ResourceGroupName   -KeyVaultEncryption -KeyVaultUri <keyVaultUri> -KeyName <keyName>
   

Włączanie dostępu dla tożsamości przypisanej przez użytkownika

1. Utwórz nową tożsamość przypisaną przez użytkownika.

   $userId = New-AzUserAssignedIdentity -ResourceGroupName <resourceGroupName> -Name $userIdName
   

2. Przypisz zasady dostępu do magazynu kluczy.

   Set-AzKeyVaultAccessPolicy -VaultName <key_vault_name> `
       -ResourceGroupname <resource_group> `
       -ObjectId $userId.PrincipalId `
       -PermissionsToKeys get,encrypt,decrypt `
       -BypassObjectIdValidation
   

   Uwaga

   Możesz również użyć kontroli dostępu opartej na rolach, aby udzielić dostępu do magazynu kluczy.

3. Przypisz tożsamość przypisaną przez użytkownika do konta usługi NetApp i zaktualizuj szyfrowanie magazynu kluczy.

   $netappAccount = Update-AzNetAppFilesAccount -ResourceGroupName <resource_group> `
       -Name <account_name> `
       -IdentityType UserAssigned `
       -UserAssignedIdentityId $userId.Id `
       -KeyVaultEncryption `
       -KeyVaultUri <keyVaultUri> `
       -KeyName <keyName> `
       -EncryptionUserAssignedIdentity $userId.Id
   

Korzystanie z kontroli dostępu opartej na rolach

Możesz użyć usługi Azure Key Vault skonfigurowanej do korzystania z kontroli dostępu opartej na rolach platformy Azure. Aby skonfigurować klucze zarządzane przez klienta za pośrednictwem witryny Azure Portal, musisz podać tożsamość przypisaną przez użytkownika.

1. Na koncie platformy Azure przejdź do pozycji Magazyny kluczy, a następnie pozycję Zasady dostępu.

2. Aby utworzyć zasady dostępu, w obszarze Model uprawnień wybierz pozycję Kontrola dostępu oparta na rolach na platformie Azure.

3. Podczas tworzenia roli przypisanej przez użytkownika istnieją trzy uprawnienia wymagane dla kluczy zarządzanych przez klienta:

   1. Microsoft.KeyVault/vaults/keys/read
   2. Microsoft.KeyVault/vaults/keys/encrypt/action
   3. Microsoft.KeyVault/vaults/keys/decrypt/action

   Chociaż istnieją wstępnie zdefiniowane role, które obejmują te uprawnienia, te role przyznają więcej uprawnień niż są wymagane. Zaleca się utworzenie roli niestandardowej tylko z minimalnymi wymaganymi uprawnieniami. Aby uzyskać więcej informacji, zobacz Role niestandardowe platformy Azure.

   {
       "id": "/subscriptions/<subscription>/Microsoft.Authorization/roleDefinitions/<roleDefinitionsID>",
       "properties": {
           "roleName": "NetApp account",
           "description": "Has the necessary permissions for customer-managed key encryption: get key, encrypt and decrypt",
           "assignableScopes": [
               "/subscriptions/<subscriptionID>/resourceGroups/<resourceGroup>"
           ],
           "permissions": [
             {
               "actions": [],
               "notActions": [],
               "dataActions": [
                   "Microsoft.KeyVault/vaults/keys/read",
                   "Microsoft.KeyVault/vaults/keys/encrypt/action",
                   "Microsoft.KeyVault/vaults/keys/decrypt/action"
               ],
               "notDataActions": []
               }
           ]
         }
   }
   

4. Po utworzeniu roli niestandardowej i udostępnieniu jej do użycia z magazynem kluczy należy zastosować ją do tożsamości przypisanej przez użytkownika.

Tworzenie woluminu usługi Azure NetApp Files przy użyciu kluczy zarządzanych przez klienta

1. W usłudze Azure NetApp Files wybierz pozycję Woluminy , a następnie pozycję + Dodaj wolumin.

2. Postępuj zgodnie z instrukcjami w temacie Konfigurowanie funkcji sieciowych dla woluminu usługi Azure NetApp Files:

   • Ustaw opcję Funkcje sieciowe na stronie tworzenia woluminu.
   • Sieciowa grupa zabezpieczeń dla delegowanej podsieci woluminu musi zezwalać na ruch przychodzący z maszyny wirtualnej magazynu NetApp.

3. W przypadku konta usługi NetApp skonfigurowanego do używania klucza zarządzanego przez klienta strona Tworzenie woluminu zawiera opcję Źródło klucza szyfrowania.

   Aby zaszyfrować wolumin przy użyciu klucza, wybierz pozycję Klucz zarządzany przez klienta w menu rozwijanym Źródło klucza szyfrowania.

   Podczas tworzenia woluminu przy użyciu klucza zarządzanego przez klienta należy również wybrać opcję Standardowa dla opcji Funkcje sieciowe. Podstawowe funkcje sieciowe nie są obsługiwane.

   Należy również wybrać prywatny punkt końcowy magazynu kluczy. Menu rozwijane wyświetla prywatne punkty końcowe w wybranej sieci wirtualnej. Jeśli w wybranej sieci wirtualnej nie ma prywatnego punktu końcowego dla magazynu kluczy, lista rozwijana jest pusta i nie będzie można kontynuować. Jeśli tak, zobacz prywatny punkt końcowy platformy Azure.

   

4. Kontynuuj, aby ukończyć proces tworzenia woluminu. Zapoznaj się z:

   • Tworzenie woluminu NFS
   • Tworzenie woluminu SMB
   • Tworzenie woluminu z podwójnym protokołem

Ponowne tworzenie klucza wszystkich woluminów na koncie usługi NetApp

Jeśli konto usługi NetApp zostało już skonfigurowane dla kluczy zarządzanych przez klienta i ma co najmniej jeden wolumin zaszyfrowany przy użyciu kluczy zarządzanych przez klienta, możesz zmienić klucz używany do szyfrowania wszystkich woluminów w ramach konta usługi NetApp. Możesz wybrać dowolny klucz, który znajduje się w tym samym magazynie kluczy. Zmiana magazynów kluczy nie jest obsługiwana.

1. W obszarze konta usługi NetApp przejdź do menu Szyfrowanie . W polu Bieżący klucz wejściowy wybierz link Zmień klucz.

2. W menu Zmień klucz wybierz jeden z dostępnych kluczy z menu rozwijanego. Wybrany klucz musi być inny niż bieżący klucz.

3. Wybierz opcję OK, aby zapisać. Operacja ponownego klucza może potrwać kilka minut.

Przełączanie z przypisanej przez system tożsamości przypisanej do użytkownika

Aby przełączyć się z przypisanej przez system do tożsamości przypisanej przez użytkownika, musisz przyznać docelowy dostęp tożsamości do magazynu kluczy używanego z uprawnieniami odczytu/pobierania, szyfrowania i odszyfrowywania.

1. Zaktualizuj konto usługi NetApp, wysyłając żądanie PATCH przy użyciu az rest polecenia :

   az rest -m PATCH -u <netapp-account-resource-id>?api-versions=2022-09-01 -b @path/to/payload.json
   

   Ładunek powinien używać następującej struktury:

   {
     "identity": {
       "type": "UserAssigned",
       "userAssignedIdentities": {
        "<identity-resource-id>": {}
       }
     },
     "properties": {
       "encryption": {
         "identity": {
           "userAssignedIdentity": "<identity-resource-id>"
         }
       }
     }
   }
   

2. Upewnij się, że operacja została ukończona pomyślnie za az netappfiles account show pomocą polecenia . Dane wyjściowe zawierają następujące pola:

       "id": "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.NetApp/netAppAccounts/account",
       "identity": {
           "principalId": null,
           "tenantId": null,
           "type": "UserAssigned",
           "userAssignedIdentities": {
               "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity>": {
                   "clientId": "<client-id>",
                   "principalId": "<principalId>",
                   "tenantId": <tenantId>"
               }
           }
       },
   

   Upewnij się, że:

   • encryption.identity.principalId pasuje do wartości w identity.userAssignedIdentities.principalId
   • encryption.identity.userAssignedIdentity pasuje do wartości w identity.userAssignedIdentities[]

   "encryption": {
       "identity": {
           "principalId": "<principal-id>",
           "userAssignedIdentity": "/subscriptions/<subscriptionId>/resourceGroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity>"
       },
       "KeySource": "Microsoft.KeyVault",
   },
   

Komunikaty o błędach i rozwiązywanie problemów

W tej sekcji wymieniono komunikaty o błędach i możliwe rozwiązania, gdy usługa Azure NetApp Files nie może skonfigurować szyfrowania kluczy zarządzanych przez klienta lub utworzyć wolumin przy użyciu klucza zarządzanego przez klienta.

Błędy podczas konfigurowania szyfrowania kluczy zarządzanych przez klienta na koncie usługi NetApp

Warunek błędu	Rozwiązanie
The operation failed because the specified key vault key was not found	Podczas ręcznego wprowadzania identyfikatora URI klucza upewnij się, że identyfikator URI jest poprawny.
Azure Key Vault key is not a valid RSA key	Upewnij się, że wybrany klucz jest typu RSA.
Azure Key Vault key is not enabled	Upewnij się, że wybrany klucz jest włączony.
Azure Key Vault key is expired	Upewnij się, że wybrany klucz nie wygasł.
Azure Key Vault key has not been activated	Upewnij się, że wybrany klucz jest aktywny.
Key Vault URI is invalid	Podczas ręcznego wprowadzania identyfikatora URI klucza upewnij się, że identyfikator URI jest poprawny.
Azure Key Vault is not recoverable. Make sure that Soft-delete and Purge protection are both enabled on the Azure Key Vault	Zaktualizuj poziom odzyskiwania magazynu kluczy na: “Recoverable/Recoverable+ProtectedSubscription/CustomizedRecoverable/CustomizedRecoverable+ProtectedSubscription”
Account must be in the same region as the Vault	Upewnij się, że magazyn kluczy znajduje się w tym samym regionie co konto usługi NetApp.

Błędy podczas tworzenia woluminu zaszyfrowanego przy użyciu kluczy zarządzanych przez klienta

Warunek błędu	Rozwiązanie
Volume cannot be encrypted with Microsoft.KeyVault, NetAppAccount has not been configured with KeyVault encryption	Twoje konto usługi NetApp nie ma włączonego szyfrowania kluczy zarządzanych przez klienta. Skonfiguruj konto usługi NetApp do używania klucza zarządzanego przez klienta.
EncryptionKeySource cannot be changed	Brak rozwiązania. Właściwości EncryptionKeySource woluminu nie można zmienić.
Unable to use the configured encryption key, please check if key is active	Sprawdź, czy: -Czy wszystkie zasady dostępu są poprawne w magazynie kluczy: Pobierz, Szyfruj, Odszyfruj? -Czy istnieje prywatny punkt końcowy dla magazynu kluczy? -Czy w sieci wirtualnej istnieje translator adresów sieci wirtualnych z włączoną delegowanym podsiecią usługi Azure NetApp Files?
Could not connect to the KeyVault	Upewnij się, że prywatny punkt końcowy jest poprawnie skonfigurowany, a zapory nie blokują połączenia z sieci wirtualnej do usługi KeyVault.

Następne kroki

• Azure NetApp Files API