Solucionar problemas de uma chave gerenciada pelo cliente
Este artigo é a quarta parte de uma série de tutoriais de quatro partes. A parte um, fornece uma visão geral das chaves gerenciadas pelo cliente, seus recursos e considerações antes de habilitar uma em seu registro. Na parte dois, você aprenderá como habilitar uma chave gerenciada pelo cliente usando a CLI do Azure, o portal do Azure ou um modelo do Azure Resource Manager. Na parte três, você aprenderá como girar, atualizar e revogar uma chave gerenciada pelo cliente. Este artigo ajuda a solucionar problemas e resolver problemas comuns com chaves gerenciadas pelo cliente.
Erro ao remover uma identidade gerenciada
Se você tentar remover uma identidade gerenciada atribuída pelo usuário ou pelo sistema que você usou para configurar a criptografia do seu Registro, poderá ver um erro:
Azure resource '/subscriptions/xxxx/resourcegroups/myGroup/providers/Microsoft.ContainerRegistry/registries/myRegistry' does not have access to identity 'xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx' Try forcibly adding the identity to the registry <registry name>. For more information on bring your own key, please visit 'https://aka.ms/acr/cmk'.
Você também não poderá alterar (girar) a chave de criptografia. As etapas de resolução dependem do tipo de identidade que você usou na criptografia.
Removendo uma identidade atribuída pelo usuário
Se você receber o erro ao tentar remover uma identidade atribuída pelo usuário, siga estas etapas:
Reatribua a identidade atribuída pelo usuário usando o comando az acr identity assign.
Passe a ID do recurso da identidade atribuída pelo usuário ou use o nome da identidade quando estiver no mesmo grupo de recursos que o Registro.
Por exemplo:
az acr identity assign -n myRegistry \ --identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"Altere a chave e atribua uma identidade diferente.
Agora, você pode remover a identidade original atribuída pelo usuário.
Removendo uma identidade atribuída pelo sistema
Se você receber o erro ao tentar remover uma identidade atribuída pelo sistema, crie um tíquete Suporte do Azure para obter assistência na restauração da identidade.
Erro depois de habilitar um firewall do cofre de chaves
Se você habilitar um firewall do cofre de chaves ou uma rede virtual depois de criar um registro criptografado, poderá ver o HTTP 403 ou outros erros com importação de imagem ou rotação de chave automatizada. Para corrigir esse problema, reconfigure a identidade gerenciada e a chave que você usou inicialmente para a criptografia. Confira as etapas em Girar uma chave gerenciada pelo cliente.
Se o problema persistir, contate o Suporte do Azure.
Erro de expiração de identidade
A identidade anexada a um registro é definida para renovação automática para evitar a expiração. Se você desassociar uma identidade de um registro, ocorrerá uma mensagem de erro explicando que você não pode remover a identidade em uso para CMK. A tentativa de remover a identidade coloca em risco a renovação automática da identidade. As operações de pull/push do artefato funcionam até que a identidade expire (geralmente três meses). Após a expiração da identidade, você verá o HTTP 403 com uma mensagem de erro "A identidade associada ao registro está inativa. Isso pode ser devido à tentativa de remoção da identidade. Reatribua a identidade manualmente".
Você precisa reatribuir a identidade de volta ao registro explicitamente.
Execute o comando az acr identity assign para reatribuir a identidade manualmente.
- Por exemplo,
az acr identity assign -n myRegistry \ --identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"
Exclusão acidental de um cofre de chaves ou da chave
A exclusão do cofre de chaves ou da chave usada para criptografar um registro com uma chave gerenciada pelo cliente tornará o conteúdo do registro inacessível. Se a exclusão temporária estiver habilitada no cofre de chaves (a opção padrão), você poderá recuperar um cofre excluído ou um objeto do cofre de chaves e retomar as operações de registro.
Próximas etapas
Para cenários de exclusão e recuperação do Key Vault, consulte Azure Key Vault gerenciamento de recuperação com exclusão temporária e proteção de limpeza.