Rozwiązywanie problemów z kluczem zarządzanym przez klienta

Ten artykuł jest częścią czterech części czteroczęściowej serii samouczków. Część pierwsza zawiera omówienie kluczy zarządzanych przez klienta, ich funkcji i zagadnień przed włączeniem go w rejestrze. W drugiej części dowiesz się, jak włączyć klucz zarządzany przez klienta przy użyciu interfejsu wiersza polecenia platformy Azure, Azure Portal lub szablonu usługi Azure Resource Manager. W części trzeciej dowiesz się, jak obracać, aktualizować i odwoływać klucz zarządzany przez klienta. Ten artykuł ułatwia rozwiązywanie typowych problemów z kluczami zarządzanymi przez klienta.

Błąd podczas usuwania tożsamości zarządzanej

Jeśli spróbujesz usunąć tożsamość zarządzaną przypisaną przez użytkownika lub przypisaną przez system do skonfigurowania szyfrowania dla rejestru, może zostać wyświetlony błąd:

Azure resource '/subscriptions/xxxx/resourcegroups/myGroup/providers/Microsoft.ContainerRegistry/registries/myRegistry' does not have access to identity 'xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx' Try forcibly adding the identity to the registry <registry name>. For more information on bring your own key, please visit 'https://aka.ms/acr/cmk'.

Nie można zmienić (obracać) klucza szyfrowania. Kroki rozwiązywania zależą od typu tożsamości używanej do szyfrowania.

Usuwanie tożsamości przypisanej przez użytkownika

Jeśli podczas próby usunięcia tożsamości przypisanej przez użytkownika wystąpi błąd, wykonaj następujące kroki:

1. Ponownie przypisz tożsamość przypisaną przez użytkownika przy użyciu polecenia az acr identity assign .

2. Przekaż identyfikator zasobu tożsamości przypisanej przez użytkownika lub użyj nazwy tożsamości, gdy znajduje się ona w tej samej grupie zasobów co rejestr.

   Przykład:

   az acr identity assign -n myRegistry \
       --identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"
   

3. Zmień klucz i przypisz inną tożsamość.

4. Teraz możesz usunąć oryginalną tożsamość przypisaną przez użytkownika.

Usuwanie tożsamości przypisanej przez system

Jeśli podczas próby usunięcia tożsamości przypisanej przez system wystąpi błąd, utwórz bilet pomoc techniczna platformy Azure, aby uzyskać pomoc w przywracaniu tożsamości.

Błąd po włączeniu zapory magazynu kluczy

Jeśli włączysz zaporę magazynu kluczy lub sieć wirtualną po utworzeniu zaszyfrowanego rejestru, może zostać wyświetlony komunikat HTTP 403 lub inne błędy związane z importowaniem obrazu lub automatyczną rotacją kluczy. Aby rozwiązać ten problem, skonfiguruj ponownie tożsamość zarządzaną i klucz, który początkowo był używany do szyfrowania. Zobacz kroki opisane w temacie Obracanie klucza zarządzanego przez klienta.

Jeśli problem będzie się powtarzać, skontaktuj się z pomocą techniczną platformy Azure.

Błąd wygaśnięcia tożsamości

Tożsamość dołączona do rejestru jest ustawiana dla autorenewal, aby uniknąć wygaśnięcia. Jeśli usuniesz skojarzenie tożsamości z rejestru, zostanie wyświetlony komunikat o błędzie wyjaśniający, że nie można usunąć tożsamości używanej dla klucza cmK. Próba usunięcia tożsamości zagraża autorenewal tożsamości. Operacje ściągania/wypychania artefaktu działają do momentu wygaśnięcia tożsamości (zwykle trzy miesiące). Po wygaśnięciu tożsamości zobaczysz komunikat HTTP 403 z komunikatem o błędzie "Tożsamość skojarzona z rejestrem jest nieaktywna. Może to być spowodowane próbą usunięcia tożsamości. Ponownie przypisz tożsamość ręcznie".

Musisz ponownie przypisać tożsamość z powrotem do rejestru.

1. Uruchom polecenie az acr identity assign , aby ponownie przypisać tożsamość ręcznie.

   • Na przykład

   az acr identity assign -n myRegistry \
   --identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"
   

Przypadkowe usunięcie magazynu kluczy lub klucza

Usunięcie magazynu kluczy lub klucza używanego do szyfrowania rejestru przy użyciu klucza zarządzanego przez klienta sprawia, że zawartość rejestru jest niedostępna. Jeśli usuwanie nietrwałe jest włączone w magazynie kluczy (opcja domyślna), możesz odzyskać usunięty magazyn lub obiekt magazynu kluczy i wznowić operacje rejestru.

Następne kroki

Aby zapoznać się ze scenariuszami usuwania i odzyskiwania magazynu kluczy, zobacz Zarządzanie odzyskiwaniem w usłudze Azure Key Vault za pomocą usuwania nietrwałego i ochrony przed przeczyszczeniem.