Udostępnij za pośrednictwem

Używanie kluczy zarządzanych przez klienta w usłudze Azure Key Vault do importowania/eksportowania

Usługa Azure Import/Export chroni klucze BitLocker używane do blokowania dysków za pomocą klucza szyfrowania. Domyślnie klucze funkcji BitLocker są szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. Aby uzyskać dodatkową kontrolę nad kluczami szyfrowania, możesz również udostępnić klucze zarządzane przez klienta.

Klucze zarządzane przez klienta muszą być tworzone i przechowywane w usłudze Azure Key Vault. Aby uzyskać więcej informacji na temat usługi Azure Key Vault, zobacz Co to jest usługa Azure Key Vault?

W tym artykule pokazano, jak używać kluczy zarządzanych przez klienta z usługą Import/Export w witrynie Azure Portal.

Wymagania wstępne

Przed rozpoczęciem upewnij się, że spełniono następujące warunki:

  1. Utworzono zadanie importu lub eksportu zgodnie z instrukcjami zawartymi w:

  2. Masz istniejącą usługę Azure Key Vault z kluczem, którego można użyć do ochrony klucza BitLocker. Aby dowiedzieć się, jak utworzyć magazyn kluczy przy użyciu witryny Azure Portal, zobacz Szybki start: tworzenie usługi Azure Key Vault przy użyciu witryny Azure Portal.

    • Miękkie usunięcie i nie usuwać na stałe są ustawione w istniejącym magazynie Key Vault. Te właściwości nie są domyślnie włączone. Aby włączyć te właściwości, zobacz sekcje zatytułowane Włączanie usuwania nietrwałego i Włączanie ochrony przed przeczyszczeniem w jednym z następujących artykułów:

    • Istniejący magazyn kluczy powinien mieć klucz RSA o rozmiarze 2048 lub większym. Aby uzyskać więcej informacji na temat kluczy, zobacz About keys (Informacje o kluczach).

    • Magazyn kluczy musi znajdować się w tym samym regionie co konto magazynu dla danych.

    • Jeśli nie masz istniejącego Azure Key Vault, możesz również utworzyć go bezpośrednio, zgodnie z opisem w następnej sekcji.

Włączanie kluczy

Konfigurowanie klucza zarządzanego przez klienta dla usługi Import/Export jest opcjonalne. Domyślnie usługa Import/Export używa klucza zarządzanego przez firmę Microsoft do ochrony klucza funkcji BitLocker. Aby włączyć klucze zarządzane przez klienta w witrynie Azure Portal, wykonaj następujące kroki:

  1. Przejdź do panelu Przegląd zadania importu.

  2. W okienku po prawej stronie wybierz pozycję Wybierz sposób szyfrowania kluczy funkcji BitLocker.

    Zrzut ekranu przedstawiający blok Przegląd zadania importu/eksportu platformy Azure. Element menu Przegląd i link otwierający opcje klucza funkcji BitLocker są wyróżnione.

  3. W panelu Szyfrowania można wyświetlić i skopiować klucz BitLocker urządzenia. W obszarze Typ szyfrowania możesz wybrać sposób ochrony klucza funkcji BitLocker. Domyślnie jest używany klucz zarządzany przez firmę Microsoft.

    Zrzut ekranu przedstawiający blok Szyfrowanie dla zamówienia importu/eksportu platformy Azure. Element menu szyfrowania został wyróżniony.

  4. Istnieje możliwość określenia klucza zarządzanego przez klienta. Po wybraniu klucza zarządzanego przez klienta wybierz magazyn kluczy i klucz.

    Zrzut ekranu przedstawiający blok Szyfrowanie dla zadania importu/eksportu platformy Azure. Wybrano opcję

  5. W bloku Wybierz klucz z usługi Azure Key Vault subskrypcja jest wypełniana automatycznie. W polu Magazyn kluczy możesz wybrać istniejący magazyn kluczy z listy rozwijanej.

    Zrzut ekranu

  6. Możesz również wybrać pozycję Utwórz nowy , aby utworzyć nowy magazyn kluczy. W bloku Tworzenie magazynu kluczy wprowadź grupę zasobów i nazwę magazynu kluczy. Zaakceptuj wszystkie inne wartości domyślne. Wybierz Przejrzyj i utwórz.

    Zrzut ekranu przedstawiający ekran

  7. Przejrzyj informacje skojarzone z magazynem kluczy i wybierz Utwórz. Poczekaj kilka minut na ukończenie tworzenia magazynu kluczy.

    Zrzut ekranu przedstawiający ekran Przegląd i Tworzenie dla nowego Azure Key Vault. Przycisk Utwórz jest wyróżniony.

  8. W obszarze Wybieranie klucza z usługi Azure Key Vault możesz wybrać klucz w istniejącym magazynie kluczy.

  9. Jeśli utworzyłeś nowy magazyn kluczy, wybierz Utwórz nowy, aby utworzyć klucz. Rozmiar klucza RSA może być 2048 lub większy.

    Zrzut ekranu

    Jeśli nie włączono ochrony przed usuwaniem nietrwałym i przeczyszczaniem podczas tworzenia magazynu kluczy, magazyn kluczy zostanie zaktualizowany w celu włączenia ochrony przed usuwaniem nietrwałym i przeczyszczaniem.

  10. Podaj nazwę klucza, zaakceptuj inne wartości domyślne, a następnie wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający ekran

  11. Wybierz pozycję Wersja , a następnie wybierz pozycję Wybierz. Otrzymasz powiadomienie o utworzeniu klucza w magazynie kluczy.

    Zrzut ekranu

W panelu Szyfrowanie można wyświetlić magazyn kluczy i klucz wybrany dla klucza zarządzanego przez klienta.

Ważne

Możesz wyłączyć tylko klucze zarządzane przez firmę Microsoft i przejść do kluczy zarządzanych przez klienta na dowolnym etapie zadania importowania/eksportowania. Nie można jednak wyłączyć klucza zarządzanego przez klienta po jego utworzeniu.

Rozwiązywanie problemów z błędami zarządzania kluczami przez klienta

Jeśli wystąpią jakiekolwiek błędy związane z kluczem zarządzanym przez klienta, skorzystaj z poniższej tabeli, aby rozwiązać problemy:

Kod błędu Szczegóły Odzyskiwalne?
BłądCmkDostępOdmówiony Dostęp do klucza zarządzanego przez klienta zostanie odwołany. Tak, sprawdź, czy:
  1. Magazyn kluczy nadal ma tożsamość usługi zarządzanej (MSI) w polityce dostępu.
  2. Zasady dostępu mają włączone uprawnienia Get, Wrap i Unwrap.
  3. Jeśli magazyn kluczy znajduje się w sieci wirtualnej za zaporą, sprawdź, czy opcja Zezwalaj na zaufane usługi firmy Microsoft jest włączona.
  4. Sprawdź, czy zarządzana tożsamość serwisowa zasobu zadania została zresetowana do None za pomocą interfejsów API.
    Jeśli tak, ustaw wartość z powrotem na Identity = SystemAssigned. Spowoduje to ponowne utworzenie tożsamości zasobu zadania.
    Po utworzeniu nowej tożsamości, umożliw Get, Wrap i Unwrap uprawnienia do nowej tożsamości w polityce dostępu do magazynu kluczy
CmkBłądKluczWyłączony Klucz zarządzany przez klienta jest wyłączony. Tak, poprzez włączenie wersji klucza
CmkErrorKeyNotFound Nie można odnaleźć klucza zarządzanego przez klienta. Tak, jeśli klucz został usunięty, ale nadal znajduje się w okresie czyszczenia, można skorzystać z polecenia Cofnij usunięcie klucza magazynu kluczy.
Inaczej
  1. Tak, jeśli klient ma kopię zapasową klucza i przywraca go.
  2. Nie, w przeciwnym razie.
CmkErrorVaultNotFound Nie można znaleźć skrytki kluczy dla klucza zarządzanego przez klienta. Jeśli magazyn kluczy został usunięty:
  1. Tak, jeśli znajduje się w okresie ochrony przed usunięciem, użyj kroków opisanych w temacie Odzyskiwanie Key Vault.
  2. Nie, jeśli wykracza poza czas trwania ochrony przed usunięciem.

Jeśli magazyn kluczy został zmigrowany do innej dzierżawy, tak, można go odzyskać, wykonując jedną z poniższych czynności:
  1. Przywróć sejf kluczy do starej dzierżawy.
  2. Ustaw Identity = None , a następnie ustaw wartość z powrotem na Identity = SystemAssigned. Spowoduje to usunięcie i ponowne utworzenie tożsamości po utworzeniu nowej tożsamości. Włącz Get, Wrap, i Unwrap uprawnienia dla nowej tożsamości w zasadach dostępu magazynu kluczy.

Następne kroki