Salvar e gerenciar a frase secreta do agente MARS com segurança no Azure Key Vault

Usar o Backup do Azure com o agente dos Serviços de Recuperação (MARS) permite fazer backup de dados do estado do sistema e arquivos/pastas no cofre dos Serviços de Recuperação do Azure. Esses dados são criptografados usando uma frase secreta fornecida durante a instalação e o registro do agente MARS. Essa frase secreta é necessária para recuperar e restaurar os dados de backup e deve ser salva em um local externo seguro.

Importante

Se essa frase secreta for perdida, a Microsoft não poderá recuperar dados de backup armazenados no cofre dos Serviços de Recuperação. Recomendamos armazenar essa frase secreta em um local externo seguro, como o Azure Key Vault.

Agora, você pode salvar sua frase secreta de criptografia com segurança no Azure Key Vault como um Segredo do console MARS durante a instalação de novos computadores e alterando a frase secreta de computadores existentes. Para poder salvar a frase secreta no Azure Key Vault, você deve conceder ao cofre dos Serviços de Recuperação as permissões para criar um Segredo no Azure Key Vault.

Antes de começar

• Crie um cofre dos Serviços de Recuperação se você não tiver um.
• Você deve usar um único Azure Key Vault para armazenar todas as frases secretas. Crie um Key Vault se você não tiver um.
• O preço do Azure Key Vault é aplicável quando você cria um novo Azure Key Vault para armazenar sua frase secreta.
• Depois de criar o Key Vault, para proteger contra exclusão acidental ou mal-intencionada da frase secreta, verifique se a exclusão temporária e a proteção contra limpeza estão ativadas.
• Esse recurso tem suporte apenas em regiões públicas do Azure com o agente MARS na versão 2.0.9262.0 ou superior.

Configure o cofre dos Serviços de Recuperação para armazenar a frase secreta no Azure Key Vault

Antes de salvar a frase secreta no Azure Key Vault, configure o cofre dos Serviços de Recuperação e o Azure Key Vault,

Para configurar um cofre, siga essas etapas na sequência determinada para alcançar os resultados pretendido. Cada ação é abordada em detalhes nas seções abaixo:

1. Identidade gerenciada atribuída pelo sistema habilitada para o cofre dos Serviços de Recuperação.
2. Atribua permissões ao cofre dos Serviços de Recuperação para salvar a frase secreta como um Segredo no Azure Key Vault.
3. Habilite a exclusão temporária e a proteção contra limpeza no Azure Key Vault.

Observação

• Depois de habilitar esse recurso, você não deve desabilitar a identidade gerenciada (mesmo temporariamente). Desabilitar a identidade gerenciada pode levar a um comportamento inconsistente.
• Atualmente, não há suporte para a identidade gerenciada atribuída pelo usuário para salvar a frase secreta no Azure Key Vault.

Identidade gerenciada atribuída pelo sistema habilitada para o cofre dos Serviços de Recuperação

Selecione um cliente:

Azure portal

Siga estas etapas:

1. Acesse o cofre dos Serviços de Recuperação>Identidade.

   

2. Selecione a guia Atribuído pelo sistema.

3. Altere o Status para Ativado.

4. Clique em Salvar a fim de habilitar a identidade para o cofre.

Uma ID de objeto é gerada, que é a identidade gerenciada atribuída pelo sistema do cofre.

PowerShell

Para habilitar a identidade gerenciada atribuída pelo sistema no cofre dos Serviços de Recuperação, use o comando Update-AzRecoveryServicesVault.

Exemplo

$vault=Get-AzRecoveryServicesVault -ResourceGroupName "testrg" -Name "testvault"
Update-AzRecoveryServicesVault -IdentityType SystemAssigned -ResourceGroupName TestRG -Name TestVault
$vault.Identity | fl

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : SystemAssigned

CLI

Para habilitar a identidade gerenciada atribuída pelo sistema no cofre dos Serviços de Recuperação, use o comando az backup vault identity assign.

Exemplo

az backup vault identity assign --system-assigned --resource-group MyResourceGroup --name MyVault

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : SystemAssigned

Atribua as permissões para salvar a frase secreta no Azure Key Vault

Com base no modelo de permissão do Key Vault (permissões de acesso baseadas em função ou modelo de permissão baseado em política de acesso) configurado para o Key Vault, consulte as seções a seguir.

Habilite as permissões usando o modelo de permissão de acesso baseado em função para o Key Vault

Selecione um cliente:

Azure portal

Para atribuir as permissões, siga essas etapas:

1. Acesse Azure Key Vault>Configurações> Configuração de acesso para garantir que o modelo de permissão seja RBAC.

   

2. Selecione Controle de acesso (IAM)>+ Adicionar para adicionar a atribuição de função.

3. A identidade do cofre dos Serviços de Recuperação exige Definir permissão no Segredo para criar e adicionar a frase secreta como um Segredo ao Key Vault.

   Você pode selecionar uma função interna, como Responsável pelos Segredos do Key Vault que tenha a permissão (juntamente com outras permissões não necessárias para esse recurso) ou criar uma função personalizada com apenas Definir permissão no Segredo.

   Em Detalhes, selecione Exibir para exibir as permissões concedidas pela função e verifique se a permissão Conjunto no Segredo está disponível.

   

   

4. Selecione Avançar para prosseguir com a seleção dos Membros para a atribuição.

5. Selecione Identidade gerenciada e, em seguida, + Selecionar membros. escolha a Assinatura do cofre dos Serviços de Recuperação de destino, selecione o cofre dos Serviços de Recuperação em Identidade gerenciada atribuída pelo sistema.

   Pesquise e selecione o nome do cofre dos Serviços de Recuperação.

   

6. Selecione Avançar, analise a atribuição e selecione Examinar + atribuir.

   

7. Acesse Controle de acesso (IAM) no Key Vault, selecione Atribuições de função e verifique se o cofre dos Serviços de Recuperação está listado.

   

PowerShell

Para atribuir as permissões, execute o seguinte cmdlet:

#Find the application id for your recovery services vault
Get-AzADServicePrincipal -SearchString <principalName>
#Identify a role with Set permission on Secret, like Key Vault Secret Office
Get-AzRoleDefinition | Format-Table -Property Name, IsCustom, Id
#Assign role to Recovery Services Vault identity 
Get-AzRoleDefinition -Name <roleName>
#Assign by Service Principal ApplicationId
New-AzRoleAssignment -RoleDefinitionName 'Key Vault Secrets Officer' -ApplicationId {i.e 8ee5237a-816b-4a72-b605-446970e5f156} -Scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}

CLI

Para atribuir as permissões, execute o seguinte comando:

#Find the application id for your recovery services vault
az ad sp list --all --filter "displayname eq '<my recovery vault name>' and servicePrincipalType eq 'ManagedIdentity'"
#Identify a role with Set permission on Secret, like Key Vault Secret Office
az role definition list --query "[].{name:name, roleType:roleType, roleName:roleName}" --output tsv
az role definition list --name "{roleName}"
#Assign role to Recovery Services Vault identity 
az role assignment create --role "Key Vault Secrets Officer" --assignee "<application id>" {i.e "55555555-5555-5555-5555-555555555555"} --scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}

Habilite as permissões usando o modelo de permissão da Política de Acesso do Key Vault

Selecione um cliente:

Azure portal

Siga estas etapas:

1. Acesse Azure Key Vault>Políticas de Acesso>Políticas de acesso, e depois selecione + Criar.

   

2. Em Permissões de Segredos, selecione a operação Definir.

   Isso especifica as ações permitidas no Segredo.

   

3. Vá para Selecionar Entidade de Segurança e pesquise seu cofre na caixa de pesquisa usando o nome ou a identidade gerenciada dele.

   Selecione o cofre no resultado da pesquisa e clique em Selecionar.

   

4. Acesse Examinar + criar, verifique se Definir permissão está disponível e se a Entidade de segurança é o cofre dos Serviços de Recuperação correto e, depois, selecione Criar.

   

   

PowerShell

Para obter a ID da Entidade de segurança do cofre dos Serviços de Recuperação, use o cmdlet Get-AzADServicePrincipal. Em seguida, use essa ID no cmdlet Get-AzADServicePrincipal para definir uma política de acesso para o Cofre de chaves.

Exemplo

$sp = Get-AzADServicePrincipal -DisplayName MyVault
$Set-AzKeyVaultAccessPolicy -VaultName myKeyVault -ObjectId $sp.Id -PermissionsToSecrets set

CLI

Para obter a ID da entidade de segurança do cofre dos Serviços de Recuperação, use o comando az ad sp list. Em seguida, use essa ID no comando az keyvault set-policy para definir uma política de acesso para o Cofre de chaves.

Exemplo

az ad sp list --display-name MyVault
az keyvault set-policy --name myKeyVault --object-id <object-id> --secret-permissions set

Habilitar a exclusão temporária e a proteção contra limpeza no Azure Key Vault

Você precisa habilitar a exclusão temporária e a proteção contra limpeza no Azure Key Vault que armazena sua chave de criptografia.

Selecione um cliente*

Azure portal

Você pode habilitar a exclusão temporária e a proteção contra limpeza no Azure Key Vault.

Como alternativa, é possível definir essas propriedades podem ao criar o Key Vault. Saiba mais sobre essas propriedades do Key Vault.

PowerShell

1. Entre em sua conta do Azure.

   Login-AzAccount
   

2. Selecione a assinatura que contém seu cofre.

   Set-AzContext -SubscriptionId SubscriptionId
   

3. Habilite a exclusão reversível.

   ($resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "AzureKeyVaultName").ResourceId).Properties | Add-Member -MemberType "NoteProperty" -Name "enableSoftDelete" -Value "true"
   Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
   

4. Habilite proteção contra limpeza.

   ($resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "AzureKeyVaultName").ResourceId).Properties | Add-Member -MemberType "NoteProperty" -Name "enablePurgeProtection" -Value "true"
   Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
   
   

CLI

1. Entre em sua Conta do Azure.

   az login
   

2. Selecione a assinatura que contém seu cofre.

   az account set --subscription "Subscription1"
   

3. Habilitar exclusão reversível

   az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-soft-delete true
   

4. Habilitar proteção contra limpeza

   az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-purge-protection true 
   

Salve a frase secreta no Azure Key Vault para uma nova instalação MARS

Antes de continuar com a instalação do agente MARS, verifique se você configurou o cofre dos Serviços de Recuperação para armazenar a frase secreta no Azure Key Vault e se você configurou com sucesso:

1. Criou seu cofre dos Serviços de Recuperação.

2. Habilitou a identidade gerenciada atribuída pelo sistema do cofre dos Serviços de Recuperação.

3. Atribuiu as permissões ao cofre dos Serviços de Recuperação para criar o Segredo no Key Vault.

4. Habilitou a exclusão temporária e a proteção contra limpeza no Key Vault.

5. Para instalar o agente MARS em um computador, baixe o instalador MARS a partir do portal do Azure e use o assistente de instalação.

6. Depois de fornecer as credenciais do cofre dos Serviços de Recuperação durante o registro, na Configuração de Criptografia, selecione a opção para salvar a frase secreta no Azure Key Vault.

   

7. Insira sua frase secreta ou selecione Gerar frase secreta.

8. No portal do Azure, abra o Key Vault e copie o URI do Key Vault.

   

9. Cole o URI do Key Vault no console MARS e selecione Registrar.

   Se você encontrar um erro, verifique a seção de solução de problemas para obter mais informações.

10. Depois que o registro for bem-sucedido, a opção de copiar o identificador para o Segredo será criada e a frase secreta NÃO será salva em um arquivo localmente.

    

    Se você alterar a frase secreta no futuro para este agente MARS, uma nova versão do Segredo será adicionada com a frase secreta mais recente.

Você pode automatizar esse processo usando a nova opção de KeyVaultUri no Set-OBMachineSetting command no script de instalação.

Salve a frase secreta no Azure Key Vault em uma instalação MARS existente

Se você tiver uma instalação de agente MARS existente e quiser salvar sua frase secreta no Azure Key Vault, atualize o agente para a versão 2.0.9262.0 ou posteriores e execute uma operação de alteração de frase secreta.

Após atualizar o agente MARS, verifique se você configurou o cofre dos Serviços de Recuperação para armazenar a frase secreta no Azure Key Vault e se você configurou com sucesso:

1. Criou seu cofre dos Serviços de Recuperação.
2. Habilitou a identidade gerenciada atribuída pelo sistema do cofre dos Serviços de Recuperação.
3. Atribuiu as permissões ao cofre dos Serviços de Recuperação para criar o Segredo no Key Vault.
4. Habilitar a exclusão temporária e a proteção contra limpeza no Key Vault

Para salvar a frase secreta no Key Vault:

1. Abra o console do agente MARS.

   Você deverá ver uma faixa solicitando que você selecione um link para salvar a frase secreta no Azure Key Vault.

   Como alternativa, selecione Alterar Propriedades>Alterar Frase Secreta para continuar.

   

2. Na caixa de diálogo Alterar Propriedades, a opção para salvar a frase secreta no Key Vault fornecendo um URI do Key Vault é exibida.

   Observação

   Se o computador já estiver configurado para salvar a frase secreta no Key Vault, o URI do Key Vault será preenchido na caixa de texto automaticamente.

   

3. Abra o portal do Azure, depois o Key Vault e copie o URI do Key Vault.

   

4. Cole o URI do Key Vault no console MARS e selecione Ok.

   Se você encontrar um erro, verifique a seção de solução de problemas para obter mais informações.

5. Depois que a operação de alteração da frase secreta for bem-sucedida, uma opção de copiar o identificador para o Segredo será criada e a frase secreta NÃO será salva em um arquivo localmente.

   

   Se você alterar a frase secreta no futuro para este agente MARS, uma nova versão do Segredo será adicionada com a frase secreta mais recente.

Você pode automatizar essa etapa usando a nova opção KeyVaultUri no cmdlet Set-OBMachineSetting.

Recuperar frase secreta do Azure Key Vault para um computador

Se o computador ficar indisponível e você precisar restaurar dados de backup do cofre dos Serviços de Recuperação por meio de uma restauração de local alternativa, precisará da frase secreta do computador para continuar.

A frase secreta é salva no Azure Key Vault como um Segredo. Um Segredo é criado por computador e uma nova versão é adicionada ao Segredo quando a frase secreta do computador for alterada. O Segredo é nomeado como AzBackup-machine fully qualified name-vault name.

Para localizar a frase secreta do computador:

1. No portal do Azure, abra o Key Vault usado para salvar a frase secreta do computador.

   Recomendamos usar um Key Vault para salvar todas as suas frases secretas.

2. Selecione Segredos e pesquise o segredo chamado AzBackup-<machine name>-<vaultname>.

   

3. Selecione o Segredo, abra a versão mais recente e copie o valor do Segredo.

   Essa é a frase secreta do computador a ser usada durante a recuperação.

   

   Se você tiver um grande número de Segredos no Key Vault, use a CLI do Key Vault para listar e pesquisar o segredo.

az keyvault secret list --vault-name 'myvaultname’ | jq '.[] | select(.name|test("AzBackup-<myvmname>"))'

Solucionar problemas de cenários comuns

Essa seção lista erros geralmente encontrados ao salvar a frase secreta no Azure Key Vault.

A identidade do sistema não está configurada – 391224

Causa: esse erro ocorre se o cofre dos Serviços de Recuperação não tiver uma identidade gerenciada atribuída pelo sistema configurada.

Ação recomendada: verifique se a identidade gerenciada atribuída pelo sistema está configurada corretamente para o cofre dos Serviços de Recuperação de acordo com os pré-requisitos.

As permissões não estão configuradas – 391225

Causa: o cofre dos Serviços de Recuperação tem uma identidade gerenciada atribuída pelo sistema, mas não tem Definir permissão para criar um Segredo no Key Vault de destino.

Ação recomendada:

1. Verifique se a credencial do cofre usada corresponde ao cofre dos serviços de recuperação pretendidos.
2. Verifique se o URI do Key Vault corresponde ao Key Vault pretendido.
3. Verifique se o nome do cofre dos Serviços de Recuperação está listado no Key Vault –> Políticas de acesso –> Aplicativo, com Permissões Secretas como Definidas.

Se ele não estiver listado, configure a permissão novamente.

O URI do Azure Key Vault está incorreto – 100272

Causa: o URI do Key Vault inserido não está no formato certo.

Ação recomendada: verifique se você inseriu um URI do Key Vault copiado do portal do Azure. Por exemplo, https://myvault.vault.azure.net/.

 

UserErrorSecretExistsSoftDeleted (391282)

Causa: um segredo no formato esperado já existe no Key Vault, mas está em um estado de exclusão temporária. A menos que o segredo seja restaurado, o MARS não poderá salvar a frase secreta desse computador no Key Vault fornecido.

Ação recomendada: verifique se existe um segredo no cofre com o nome AzBackup-<machine name>-<vaultname> e se ele está em um estado de exclusão temporária. Recupere o segredo com exclusão temporária para salvar a frase secreta nele.

UserErrorKeyVaultSoftDeleted (391283)

Causa: o Key Vault fornecido ao MARS está em um estado de exclusão temporária.

Ação recomendada: recuperar o Key Vault ou fornecer um novo Key Vault.

O registro está incompleto

Causa: você não concluiu o registro MARS registrando a frase secreta. Portanto, você não poderá configurar backups até se registrar.

Ação recomendada: selecione a mensagem de aviso e conclua o registro.