Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Azure Import/Export chroni klucze BitLocker używane do blokowania dysków za pomocą klucza szyfrowania. Domyślnie klucze funkcji BitLocker są szyfrowane przy użyciu kluczy zarządzanych przez firmę Microsoft. Aby uzyskać dodatkową kontrolę nad kluczami szyfrowania, możesz również udostępnić klucze zarządzane przez klienta.
Klucze zarządzane przez klienta muszą być tworzone i przechowywane w usłudze Azure Key Vault. Aby uzyskać więcej informacji na temat usługi Azure Key Vault, zobacz Co to jest usługa Azure Key Vault?
W tym artykule pokazano, jak używać kluczy zarządzanych przez klienta z usługą Import/Export w witrynie Azure Portal.
Wymagania wstępne
Przed rozpoczęciem upewnij się, że spełniono następujące warunki:
Utworzono zadanie importu lub eksportu zgodnie z instrukcjami zawartymi w:
Masz istniejącą usługę Azure Key Vault z kluczem, którego można użyć do ochrony klucza BitLocker. Aby dowiedzieć się, jak utworzyć magazyn kluczy przy użyciu witryny Azure Portal, zobacz Szybki start: tworzenie usługi Azure Key Vault przy użyciu witryny Azure Portal.
Miękkie usunięcie i nie usuwać na stałe są ustawione w istniejącym magazynie Key Vault. Te właściwości nie są domyślnie włączone. Aby włączyć te właściwości, zobacz sekcje zatytułowane Włączanie usuwania nietrwałego i Włączanie ochrony przed przeczyszczeniem w jednym z następujących artykułów:
Istniejący magazyn kluczy powinien mieć klucz RSA o rozmiarze 2048 lub większym. Aby uzyskać więcej informacji na temat kluczy, zobacz About keys (Informacje o kluczach).
Magazyn kluczy musi znajdować się w tym samym regionie co konto magazynu dla danych.
Jeśli nie masz istniejącego Azure Key Vault, możesz również utworzyć go bezpośrednio, zgodnie z opisem w następnej sekcji.
Włączanie kluczy
Konfigurowanie klucza zarządzanego przez klienta dla usługi Import/Export jest opcjonalne. Domyślnie usługa Import/Export używa klucza zarządzanego przez firmę Microsoft do ochrony klucza funkcji BitLocker. Aby włączyć klucze zarządzane przez klienta w witrynie Azure Portal, wykonaj następujące kroki:
Przejdź do panelu Przegląd zadania importu.
W okienku po prawej stronie wybierz pozycję Wybierz sposób szyfrowania kluczy funkcji BitLocker.
W panelu Szyfrowania można wyświetlić i skopiować klucz BitLocker urządzenia. W obszarze Typ szyfrowania możesz wybrać sposób ochrony klucza funkcji BitLocker. Domyślnie jest używany klucz zarządzany przez firmę Microsoft.
Istnieje możliwość określenia klucza zarządzanego przez klienta. Po wybraniu klucza zarządzanego przez klienta wybierz magazyn kluczy i klucz.
W bloku Wybierz klucz z usługi Azure Key Vault subskrypcja jest wypełniana automatycznie. W polu Magazyn kluczy możesz wybrać istniejący magazyn kluczy z listy rozwijanej.
Możesz również wybrać pozycję Utwórz nowy , aby utworzyć nowy magazyn kluczy. W bloku Tworzenie magazynu kluczy wprowadź grupę zasobów i nazwę magazynu kluczy. Zaakceptuj wszystkie inne wartości domyślne. Wybierz Przejrzyj i utwórz.
Przejrzyj informacje skojarzone z magazynem kluczy i wybierz Utwórz. Poczekaj kilka minut na ukończenie tworzenia magazynu kluczy.
W obszarze Wybieranie klucza z usługi Azure Key Vault możesz wybrać klucz w istniejącym magazynie kluczy.
Jeśli utworzyłeś nowy magazyn kluczy, wybierz Utwórz nowy, aby utworzyć klucz. Rozmiar klucza RSA może być 2048 lub większy.
Jeśli nie włączono ochrony przed usuwaniem nietrwałym i przeczyszczaniem podczas tworzenia magazynu kluczy, magazyn kluczy zostanie zaktualizowany w celu włączenia ochrony przed usuwaniem nietrwałym i przeczyszczaniem.
Podaj nazwę klucza, zaakceptuj inne wartości domyślne, a następnie wybierz pozycję Utwórz.
Wybierz pozycję Wersja , a następnie wybierz pozycję Wybierz. Otrzymasz powiadomienie o utworzeniu klucza w magazynie kluczy.
W panelu Szyfrowanie można wyświetlić magazyn kluczy i klucz wybrany dla klucza zarządzanego przez klienta.
Ważne
Możesz wyłączyć tylko klucze zarządzane przez firmę Microsoft i przejść do kluczy zarządzanych przez klienta na dowolnym etapie zadania importowania/eksportowania. Nie można jednak wyłączyć klucza zarządzanego przez klienta po jego utworzeniu.
Rozwiązywanie problemów z błędami zarządzania kluczami przez klienta
Jeśli wystąpią jakiekolwiek błędy związane z kluczem zarządzanym przez klienta, skorzystaj z poniższej tabeli, aby rozwiązać problemy:
Kod błędu | Szczegóły | Odzyskiwalne? |
---|---|---|
BłądCmkDostępOdmówiony | Dostęp do klucza zarządzanego przez klienta zostanie odwołany. | Tak, sprawdź, czy:
|
CmkBłądKluczWyłączony | Klucz zarządzany przez klienta jest wyłączony. | Tak, poprzez włączenie wersji klucza |
CmkErrorKeyNotFound | Nie można odnaleźć klucza zarządzanego przez klienta. | Tak, jeśli klucz został usunięty, ale nadal znajduje się w okresie czyszczenia, można skorzystać z polecenia Cofnij usunięcie klucza magazynu kluczy. Inaczej
|
CmkErrorVaultNotFound | Nie można znaleźć skrytki kluczy dla klucza zarządzanego przez klienta. | Jeśli magazyn kluczy został usunięty:
Jeśli magazyn kluczy został zmigrowany do innej dzierżawy, tak, można go odzyskać, wykonując jedną z poniższych czynności:
|