Guia de solução de problemas de CMK entre locatários

APLICA-SE AO: NoSQL MongoDB Cassandra Gremlin Table

Este artigo ajuda a solucionar erros de CMK entre locatários

Links de documentação pública

• Documentação da Chave Gerenciada pelo Cliente do Cosmos DB:
• Documentação do MSI do Cosmos DB:

A conta do Cosmos DB está em estado de revogação

• O Key Vault foi excluído?
  • Se a resposta for sim, recupere o cofre de chaves da lixeira.
• A chave do Key Vault está desabilitada?
  • Se a resposta for sim, habilite novamente a chave.
• Verifique se Key Vault -> Rede -> Firewalls e redes virtuais estão definidos como "Permitir acesso público de todas as redes" ou "Permitir acesso público de redes virtuais e endereços IP específicos". Se a opção “mais tarde” estiver selecionada, verifique se as listas de permissões do Firewall estão configuradas corretamente e se a opção "Permitir que serviços confiáveis da Microsoft ignorem esse firewall" está selecionada.
• Verifique se o Key Vault está sem qualquer uma das permissões Wrap/Unwrap/Get na política de acesso a seguir Documentação da Chave Gerenciada pelo Cliente do Cosmos DB:
  • Se a resposta for SIM, conceda o acesso novamente
• Caso o Aplicativo Multilocatário usado na identidade padrão tenha sido excluído por engano
  • Se esse for o caso, siga a documentação do aplicativo de restauração para restaurar o Aplicativo.
• Caso a identidade UserAssigned usada na identidade padrão tenha sido excluída por engano
  • Se a resposta for SIM porque a identidade UserAssigned não é recuperável depois de excluída. O cliente precisa criar uma nova Identidade UserAssigned para a conta DB e, em seguida, seguir exatamente as mesmas etapas de configuração durante o provisionamento, como definir FedereatedCrdential com Aplicativo Multilocatário. Por fim, o cliente precisa atualizar a identidade padrão da conta DB com a nova identidade UserAssigned.
    • Exemplo: _az cosmosdb update --resource-group \<rg\> --name \<dbname\> --default-identity "UserAssignedIdentity=\<New\_UA\_Resource\_ID1\>&FederatedClientId=00000000-0000-0000-0000-000000000000"_.
    • O cliente também precisa limpar a antiga identidade UserAssigned da conta do Cosmos DB que foi excluída no Azure. Comando de exemplo: az cosmosdb identity remove --resource-group \<rg\> --name \<dbname\> --identities \<OLD\_UA\_Resource\_ID\>
  • Aguarde 1 hora para que a conta se recupere do Estado de Revogação
  • Tente acessar o plano de dados do Cosmos DB fazendo uma solicitação de API REST/SDK ou usando o Data Explorer do portal do Azure para exibir um documento.

1. Casos de erro básicos de criação/atualização do painel de controle

---

1.1

---

Cenário

O cliente cria uma conta CMK do por meio do modelo da CLI/ARM do Azure com a configuração de Firewall do Key Vault "Permitir que serviços confiáveis da Microsoft ignorem este firewall" desmarcada.

Mensagem de erro

Database account creation failed. Operation Id: 00000000-0000-0000-0000-000000000000, Error: {\"error\":{\"code\":\"Forbidden\",\"message\":\"Client address is not authorized and caller was ignored **because bypass is set to None** \\r\\nClient address: xx.xx.xx.xx\\r\\nCaller: name=Unknown/unknown;appid=00001111-aaaa-2222-bbbb-3333cccc4444;oid=ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0\\r\\nVault: mykeyvault;location=eastus\",\"innererror\":{\"code\":\" **ForbiddenByFirewall** \"}}}\r\nActivityId: 00000000-0000-0000-0000-000000000000,

Código de status

Proibido (403)

Causa raiz

O Key Vault não está configurado corretamente para permitir o Bypass de VNet/Serviço Confiável. O provisionamento detecta que ele não pode acessar o cofre de chaves e gera o erro. | | Mitigação | Vá para portal do Azure -> Key Vault -> Rede -> Firewalls e redes virtuais -> Verifique se a opção "Permitir acesso público de redes virtuais e endereços IP específicos" está selecionada e se a opção "Permitir que os serviços confiáveis da Microsoft ignorem este firewall" está marcada -> Salvar

---

1.2

---

Cenário

1. Um cliente tenta criar uma conta CMK com um URI do Key Vault que não existe no locatário.
2. Um cliente tenta criar uma conta CMK entre locatários com a conta DB e o cofre de chaves em um locatário diferente, mas esquece de incluir "&FederatedClientId=<00000000-0000-0000-0000-000000000000>" na identidade padrão.

Por exemplo: az cosmosdb create -n mydb -g myresourcegroup --key-uri "https://myvault.vault.azure.net/keys/mykey" --assign-identity "/subscriptions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0/resourceGroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myuserassignedidentity" --default-identity "UserAssignedIdentity=/subscriptions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0/resourceGroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myuserassignedidentity"

The "&FederatedClientId=<00000000-0000-0000-0000-000000000000>" está ausente na identidade padrão.

3. O cliente tenta criar uma conta CMK entre locatários com a conta DB e o cofre de chaves em um locatário diferente com "&FederatedClientId=<00000000-0000-0000-0000-000000000000>" na identidade padrão. No entanto, o aplicativo multilocatário não existe ou foi excluído.

Mensagem de erro

Database account creation failed. Operation Id: 00000000-0000-0000-0000-000000000000, Error: Error contacting the Azure Key Vault resource. Please try again.

Código de status

ServiceUnavailable(503)

Causa raiz

No Cenário 1: Esperado

No Cenário 2: A falta de “&FederatedClientId=<00000000-0000-0000-0000-000000000000>” faz com que o sistema pense que o cofre de chaves está no mesmo locatário que a conta DB, mas o cliente pode não ter o cofre de chaves com o mesmo nome no mesmo locatário, o que resulta nesse erro.

No Cenário 3: Esperado, pois o aplicativo multilocatário não está lá ou foi excluído.

Mitigação

Para o Cenário 1: O cliente precisa seguir a seção Configurar sua instância do Azure Key Vault na documentação de configuração de chaves gerenciadas pelo cliente para recuperar o Uri de Chave do Key Vault

Para o Cenário 2: O cliente precisa adicionar “&FederatedClientId=<00000000-0000-0000-0000-000000000000>” à identidade padrão.

Para o Cenário 3: O cliente precisa usar o FederatedClientId correto ou restaurar o aplicativo multilocatário usando a documentação do aplicativo de restauração

---

1.3

---

Cenário

O cliente tenta criar/atualizar uma conta CMK com um URI do Key Vault inválido.

Mensagem de erro

Provided KeyVaultKeyUri http://mykeyvault.vault1.azure2.net3/keys4/mykey is Invalid. ActivityId: 00000000-0000-0000-0000-000000000000, Microsoft.Azure.Documents.Common/2.14.0

Código de status

BadRequest (400)

Causa raiz

O URI da chave do Key Vault de entrada é inválido.

Mitigação

O cliente deve seguir a documentação de configuração de chaves gerenciadas pelo cliente para recuperar o URI de chave de Key Vault correto no portal.

---

1.4

---

Cenário

1. Um cliente está tentando criar uma conta CMK com "keyVaultKeyUri" ao usar a versão da API menor que "2019-12-12".
2. O cliente atualiza o "keyVaultKeyUri" de uma conta CMK ao usar a versão da API menor que "2019-12-12".
3. O cliente tenta atualizar "keyVaultKeyUri" na conta CMK existente com "keyVaultKeyUri" não nulo em um valor nulo. (Converter conta CMK em conta não CMK)

Mensagem de erro

ActivityId: 00000000-0000-0000-0000-000000000000

Código de status

BadRequest (400)

Causa raiz

1. cliente que usa a versão da API menor que "2019-12-12" ao atualizar o KeyVaultKeyUri.
2. Atualmente, não há suporte para converter a conta CMK em uma conta não CMK.

Mitigação

N/A, sem suporte no momento.

---

1.5

---

Cenário

Um cliente está tentando atualizar a conta CMK do Cosmos DB que está em estado de revogação. Observe que a atualização do cliente não está atualizando a identidade padrão nem atribuindo/desatribuindo a identidade do serviço gerenciado.

Mensagem de erro

No Update is allowed on Database Account with Customer Managed Key in Revoked Status
ActivityId: 00000000-0000-0000-0000-000000000000, Microsoft.Azure.Documents.Common/2.14.0

Código de status

BadRequest (400)

Causa raiz

Durante o estado Revogar, somente a atualização da identidade padrão ou a atribuição/cancelamento da atribuição da identidade de serviço gerenciado é permitida na conta. Outras atualizações são proibidas até que a conta DB se recupere do estado Revogar.

Mitigação

O cliente deve seguir o “Guia de solução de problemas de estado de revogação do Key Vault” para conceder novamente o acesso ao Key Vault

---

1.6

---

Cenário

Um cliente está tentando criar uma conta DB CMK com SystemAssigned como a identidade padrão.

Comando de exemplo: az cosmosdb create -n mydb -g myresourcegroup --key-uri "https://myvault.vault.azure.net/keys/mykey" --assign-identity "[system]" --default-identity "SystemAssignedIdentity&FederatedClientId=00000000-0000-0000-0000-000000000000" --backup-policy-type Continuous

Mensagem de erro

Database account creation failed. Operation Id: 00000000-0000-0000-0000-000000000000, Error: Updating default identity not allowed. Cannot set SystemAssignedIdentity as the default identity during provision. ActivityId: 00000000-0000-0000-0000-000000000000

Código de status

BadRequest (400)

Causa raiz

A identidade SystemAssigned como a identidade padrão atualmente não é suportada na criação da conta DB. A identidade SystemAssigned como identidade padrão só tem suporte no cenário quando o cliente atualiza a identidade padrão para a identidade SystemAssignedIdentity. O cofre de chaves e a conta DB devem estar no mesmo locatário.

Atenuação

Se um cliente quiser criar uma conta CMK com o link backup contínuo/Synapse/Feed de alterações de fidelidade total/Exibição materializada habilitada, a identidade UserAssigned será a única identidade padrão com suporte no momento. Observe que SystemAssignedIdentity como identidade padrão só tem suporte no cenário quando o cliente atualiza a identidade padrão para a identidade SystemAssigned. O cofre de chaves e a conta DB devem estar no mesmo locatário.

Comando de exemplo para criação de conta DB usando a identidade UserAssigned. (Consulte "Provisionar uma conta de CMK entre locatários por meio de UserAssigned Identity")

---

1,7

---

Cenário

Um cliente está tentando atualizar o KeyVaultKeyUri de uma conta DB CMK entre locatários para um novo cofre de chaves que tem um locatário diferente do cofre de chaves antigo.

Mensagem de erro

The tenant for the new Key Vault 00000000-0000-0000-0000-000000000000 does not match the one in the old Key Vault 00000000-0000-0000-0000-000000000001. New Key Vaults must be on the same tenant as the old ones.

Código de status

BadRequest (400)

Causa raiz

Depois que a identidade padrão for definida como entre locatários com "FedereatedClientId", só permitiremos atualizar o Key Vault Key Uri para um novo que tenha o mesmo locatário que o antigo. Não permitimos atualizar o URI da chave do cofre de chaves para um locatário diferente por motivos de segurança.

Mitigação

N/D, sem suporte

---

1.8

---

Cenário

O cliente tenta alterar a identidade padrão de "UserAssignedIdentity=<UA_Resource_ID>&FederatedClientId=00000000-0000-0000-0000-000000000000" em "SystemAssignedIdentity&FederatedClientId=00000000-0000-0000-0000-000000000000" em uma conta CMK entre locatários existente.

Mensagem de erro

Cross-tenant CMK is not supported with System Assigned identities as Default identities. Please use a User Assigned Identity instead.

Código de status

BadRequest (400)

Causa raiz

Não há suporte para a identidade SystemAssigned no cenário de CMK entre locatários no momento.

Mitigação

N/D, sem suporte

---

1,9

---

Cenário

• Um cliente está tentando provisionar uma conta CMK entre locatários com FirstPartyIdentity como a identidade padrão.

• O cliente tenta alterar a identidade padrão de "UserAssignedIdentity=<UA_Resource_ID>&FederatedClientId=00000000-0000-0000-0000-000000000000" em "FirstPartyIdentity" em uma conta CMK entre locatários existente.

Mensagem de erro

Cross-tenant CMK is not supported with First Party identities as Default identities. Please use a User Assigned identity instead

Código de status

BadRequest (400)

Causa raiz

Não há suporte para a Identidade Interna no cenário de CMK entre locatários no momento

Mitigação

N/D, sem suporte

---

2. Casos de erro do plano de dados

---

2.1

---

Cenário

Um cliente está tentando consultar documentos SQL /Table Entity/Graph Vertex via Cosmos DB DataPlane por meio do SDK/DocumentDBStudio/DataExplorer do Portal enquanto a conta DB está em Estado de Revogação.

Mensagem de erro

{"Errors":["Request is blocked due to Customer Managed Key not being accessible."]} ActivityId: 00000000-0000-0000-0000-000000000000, Request URI: /apps/00000000-0000-0000-0000-000000000000/services/00000000-0000-0000-0000-000000000000/partitions/00000000-0000-0000-0000-000000000000/replicas/1234567p/, RequestStats: Microsoft.Azure.Cosmos.Tracing.TraceData.ClientSideRequestStatisticsTraceDatum, SDK

Código de status

Proibido (403)

Causa raiz

A conta DB pode revogar o estado por vários motivoso. Consulte as "6 verificações" do "Guia de solução de problemas do estado de revogação de Key Vault".

Mitigação

O cliente deve seguir o “Guia de solução de problemas de estado de revogação do Key Vault” para conceder novamente o acesso ao Key Vault.

---

2.2

---

Cenário

Um cliente está tentando consultar o Cassandra Row via Cosmos DB DataPlane por meio do SDK/DocumentDBStudio/DataExplorer do Portal enquanto a conta DB está em Estado de Revogação.

Mensagem de erro

{"readyState":4,"responseText":"","status":401,"statusText":"error"}

Código de status

Não autorizado (401)

Causa raiz

A conta DB pode revogar o estado por vários motivoso. Consulte as "6 verificações" do "Guia de solução de problemas do estado de revogação de Key Vault".

Mitigação

O cliente deve seguir o “Guia de solução de problemas de estado de revogação do Key Vault” para conceder novamente o acesso ao Key Vault.

---

2.3

---

Cenário

O cliente está tentando consultar a API do Mongo via Cosmos DB DataPlane por meio do SDK/DocumentDBStudio/DataExplorer do Portal enquanto a conta DB está em Estado de Revogação.

Mensagem de erro

Error querying documents: An exception occurred while opening a connection to the server., Payload: {<redacted>}

Código de status

Erro interno do servidor (500)

Causa raiz

A conta DB pode revogar o estado por vários motivoso. Consulte as "seis verificações" do "Guia de solução de problemas do estado de revogação de Key Vault".

Mitigação

O cliente deve seguir o “Guia de solução de problemas de estado de revogação do Key Vault” para conceder novamente o acesso ao Key Vault.

---

2.4

---

Cenário

O cliente tenta criar/modificar coleção/documentos (ou outra nomenclatura, dependendo da API) por meio do Plano de Dados do Cosmos DB via SDK/DocumentDBStudio/Portal’s DataExplorer enquanto a conta DB está no Estado de Revogação.

Mensagem de erro

Request timed out.

Código de status

Tempo limite da solicitação (408)

Causa raiz

A conta DB pode revogar o estado por vários motivoso. Consulte as "seis verificações" do "Guia de solução de problemas do estado de revogação de Key Vault".

Mitigação

O cliente deve seguir o “Guia de solução de problemas de estado de revogação do Key Vault” para conceder novamente o acesso ao Key Vault.

---

3. CMK entre locatários do Cosmos DB com backup contínuo/Link do Azure Synapse/Feed de alterações de fidelidade total/Exibição Materializada

---

3.1

---

Cenário

1. Os clientes tentam criar uma conta DB com o modo de backup contínuo e vários locais de gravação habilitados
2. Os clientes tentam habilitar o modo de backup contínuo na conta DB existente com vários locais de gravação habilitados
3. Os clientes tentam habilitar vários locais de gravação na conta DB existente com o modo de backup contínuo habilitado.

Mensagem de erro

Continuous backup mode and multiple write locations cannot be enabled together for a global database account
ActivityId: 00000000-0000-0000-0000-000000000000

Código de status

BadRequest (400)

Causa raiz

O modo de backup contínuo e o modo vários locais de gravação não podem ser habilitados juntos

Mitigação

N/A, sem suporte no momento.

---

3.2

---

Cenário

1. O cliente cria uma conta DB CMK com backup contínuo/Link do Azure Synapse/feed de alterações de fidelidade total/exibição materializada com a Identidade Interna como a identidade padrão.
2. O cliente habilita o backup contínuo/Link do Azure Synapse/Feed de alterações de fidelidade total/Exibição materializada em uma conta existente com a Identidade Interna como padrão.

Comando de Exemplo: az cosmosdb create -n mydb -g myresourcegroup --key-uri "https://myvault.vault.azure.net/keys/mykey" --assign-identity "[system]" --default-identity "FirstPartyIdentity" --backup-policy-type Continuous

Mensagem de erro

Setting Non-FPI default identity is required for dedicated storage account features. Please set a valid System or User Assigned Identity to default and retry the request.\r\nActivityId: 00000000-0000-0000-0000-000000000000

Código de status

BadRequest (400)

Causa raiz

Os recursos de backup contínuo/Link do Azure Synapse/feed de alterações de fidelidade total/exibição materializada exigem uma conta de armazenamento dedicada, que não dá suporte a FirstPartyIdentity como a identidade padrão.

Mitigação

Se o cliente quiser criar uma conta CMK com backup contínuo/Synapse/Feed de alterações de fidelidade total/Exibição materializada habilitada, a identidade UserAssigned é a única identidade padrão com suporte no momento. Observe que SystemAssignedIdentity como identidade padrão só tem suporte no cenário quando o cliente atualiza a identidade padrão para a identidade SystemAssigned. O cofre de chaves e a conta DB devem estar no mesmo locatário.

Comando de exemplo para criação de conta DB usando a identidade UserAssigned. az cosmosdb create -n mydb -g myresourcegroup --key-uri "https://myvault.vault.azure.net/keys/mykey" --assign-identity "/subscriptions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0/resourceGroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myuserassignedidentity" --default-identity "UserAssignedIdentity=/subscriptions/ffffffff-eeee-dddd-cccc-bbbbbbbbbbb0/resourceGroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myuserassignedidentity&FederatedClientId=00000000-0000-0000-0000-000000000000"

---

3.3

---

Cenário

O cliente tenta habilitar a CMK em uma conta não CMK existente com Backup contínuo/Link do Synapse/Feed de alterações de fidelidade total/Exibição materializada já habilitados.

Mensagem de erro

Customer Managed Key enablement on an existing Analytical Store/Continuous Backup/Materialized View/Full Fidelity Change Feed enabled Account is not supported ActivityId: 00000000-0000-0000-0000-000000000000

Código de status

BadRequest (400)

Causa raiz

A habilitação de CMK em uma conta não CMK existente com backup contínuo/Link do Azure Synapse/feed de alterações de fidelidade total/exibição materializada já habilitada está em desenvolvimento e ainda não tem suporte.

Mitigação

N/A, sem suporte no momento.

---

3.4

---

Cenário

O cliente tenta desativar o Link do Azure Synapse (também chamado de armazenamento analítico) em contas de DB existentes que já têm Link do Azure Synapse habilitado.

Mensagem de erro

EnableAnalyticalStorage cannot be disabled once it is enabled on an account.\r\nActivityId: 00000000-0000-0000-0000-000000000000, Microsoft.Azure.Documents.Common/2.14.0

Código de status

BadRequest (400)

Causa raiz

Atualmente não é possível desativar o Link do Azure Synapse que está ativado.

Mitigação

N/A, sem suporte no momento.

---

3,5

---

Cenário

O cliente tenta desativar o modo de backup contínuo (também chamado de recuperação pontual) em contas DB existentes que têm o modo de backup contínuo já habilitado.

Mensagem de erro

Continuous backup mode cannot be disabled once it is enabled on the account.\\r\\nActivityId: 00000000-0000-0000-0000-000000000000, Microsoft.Azure.Documents.Common/2.14.0\

Código de status

BadRequest (400)

Causa raiz

Atualmente o modo de backup contínuo uma vez ativado não pode ser desativado.

Mitigação

N/A, sem suporte no momento.

---

3,6

---

Cenário

O cliente tenta desativar a Exibição Materializada em contas DB existentes que já têm a Exibição Materializada habilitada.

Mensagem de erro

EnableMaterializedViews cannot be disabled once it is enabled on an account.\r\nActivityId: 00000000-0000-0000-0000-000000000000

Código de status

BadRequest (400)

Causa raiz

Atualmente a Exibição Materializada uma vez ativada não pode ser desativada.

Mitigação

N/A, sem suporte no momento.

---

3.7

---

Cenário

Os clientes tentam habilitar o modo de backup contínuo com outras propriedades. Por exemplo: az cosmosdb update -n mydb -g myresourcegroup --backup-policy-type Continuous --enable-analytical-storage

Mensagem de erro

Cannot update continuous backup mode and other properties at the same time. ActivityId: 00000000-0000-0000-0000-000000000000

Código de status

BadRequest (400)

Causa raiz

Não há suporte para habilitar o modo de backup contínuo com quaisquer outras propriedades na conta existente.

Mitigação

Habilite o modo de backup contínuo sem nenhuma outra propriedade na conta existente.

---

3.8

---

Cenário

O cliente tenta criar uma conta CMK com backup contínuo (também chamado de recuperação pontual) e Link do Azure Synapse (também chamado de armazenamento analítico) habilitados.

Mensagem de erro

Continuous backup mode cannot be enabled together with Storage Analytics feature.

Código de status

BadRequest (400)

Causa raiz

O backup contínuo (também chamado de recuperação pontual) e o Link do Azure Synapse (também chamado de armazenamento analítico) não podem ser habilitados ao mesmo tempo durante a criação. No entanto, o cliente pode habilitar o Link do Azure Synapse em uma conta DB existente com backup contínuo habilitado.

Mitigação

N/A, sem suporte no momento.

---

3.9

---

Cenário

O cliente tenta criar uma conta CMK com o Feed de Alterações de Fidelidade Total habilitado.

Mensagem de erro

Customer Managed Key and Full Fidelity Change Feed cannot be enabled together for a global database account\r\nActivityId: 00000000-0000-0000-0000-000000000000

Código de status

BadRequest (400)

Causa raiz

Atualmente a Chave Gerenciada pelo Cliente e o Feed de Alterações de Fidelidade Total não podem ser habilitados juntos para uma conta DB global.

Mitigação

N/A, sem suporte no momento.

---

3.10

---

Cenário

O cliente tenta habilitar a Exibição Materializada em uma conta DB existente com o modo de backup contínuo já habilitado.

Mensagem de erro

Cannot enable Materialized View when continuous backup mode is already enabled.\r\nActivityId: 00000000-0000-0000-0000-000000000000

Código de status

BadRequest (400)

Causa raiz

não há suporte para habilitar a Exibição Materializada quando o modo de backup contínuo já estiver habilitado.

Mitigação

N/A, sem suporte no momento.

---

3.11

---

Cenário

O cliente tenta habilitar o modo de backup contínuo em uma conta existente com a Exibição Materializada habilitado.

Mensagem de erro

Cannot enable continuous backup mode when Materialized View is already enabled.\r\nActivityId: 00000000-0000-0000-0000-000000000000

Código de status

BadRequest (400)

Causa raiz

Não é possível habilitar o modo de backup contínuo quando a Exibição Materializada já está habilitada

Mitigação

N/A, sem suporte no momento.

---

3.12

---

Cenário

O cliente tenta habilitar o feed de alterações de fidelidade total em uma conta existente com a Exibição Materializada habilitado.

Mensagem de erro

Cannot enable full fidelity change feed when materialized view is already enabled.\r\nActivityId: 00000000-0000-0000-0000-000000000000

Código de status

BadRequest (400)

Causa raiz

Não é possível habilitar o feed de alterações de fidelidade total quando a exibição materializada já estiver habilitada

Mitigação

N/A, sem suporte no momento.

---

4. Casos de erro da compatibilidade multi-API do Cosmos DB com backup contínuo/Link do Azure Synapse/ Feed de alteração de fidelidade total de exibição materializada

---

4.1

---

Cenário

1. Provisione contas DB CMK do Mongo/Gremlin/Table com exibições materializadas habilitadas.
2. Habilite MaterializedViews em contas CMK DB do Mongo/Gremlin/Table.

Mensagem de erro

MaterializedViews is not supported on this account type.\r\nActivityId: 00000000-0000-0000-0000-000000000000

Código de status

BadRequest (400)

Causa raiz

Somente o modo SQL e API do Cassandra são compatíveis com a Exibição Materializada. Não há suporte para Mongo, Gremlin, API de tabela no momento.

Mitigação

1. Provisione uma conta DB CMK com exibições materializadas habilitadas apenas com SQL e API do Cassandra.
2. Habilite Exibições Materializadas em uma conta CMK com apenas SQL e API do Cassandra.

---

4.2

---

Cenário

1. O cliente cria uma conta DB CMK usando a API do Cassandra com o modo de backup contínuo habilitado.
2. O cliente habilita o modo de backup contínuo em uma conta DB CMK usando a API do Cassandra.

Mensagem de erro

Continuous backup mode cannot be enabled together with Cassandra database account\r\nActivityId: e2b1b7c8-211a-4fa5-bd9c-253e6c65d6f0, Microsoft.Azure.Documents.Common/2.14.0

Código de status

BadRequest (400)

Causa raiz

O modo de backup contínuo não pode ser habilitado junto com o banco de dados do Cassandra

Mitigação

N/A, não há suporte a partir de hoje.

---

4.3

---

Cenário

1. O cliente tenta criar uma conta DB com o Gremlin V1 e o modo de backup contínuo habilitados.
2. O cliente tenta habilitar o modo de backup contínuo na conta DB existente com a API do Gremlin.

Mensagem de erro

Continuous backup mode cannot be enabled together with Gremlin V1 enabled database account\\r\\nActivityId: 00000000-0000-0000-0000-000000000000

Código de status

BadRequest (400)

Causa raiz

O modo de backup contínuo não pode ser habilitado junto com a conta do Gremlin V1 no momento.

Mitigação

Comportamento esperado.

---

4.4

---

Cenário

1. O cliente tenta criar uma conta DB com a API de tabela e o modo de backup contínuo habilitados.
2. O cliente tenta habilitar o modo de backup contínuo na conta DB existente com a API de Tabela.

Mensagem de erro

Continuous backup mode cannot be enabled together with table enabled database account\\r\\nActivityId: 00000000-0000-0000-0000-000000000000

Código de status

BadRequest (400)

Causa raiz

O modo de backup contínuo não pode ser habilitado junto com a conta DB habilitada para tabela.

Mitigação

Comportamento esperado.

---

5. Casos de erro do Link do Azure Synapse

---

5,1

---

Cenário

O cliente que tenta usar Link do Azure Synapse para consultar dados de uma conta CMK do Cosmos DB com Link do Azure Synapse habilitado, no entanto, ao mesmo tempo, o acesso ao cofre de chaves é perdido.

Por exemplo, o cliente tenta usar o Notebook Spark do Azure Synapse Studio para consultar dados do Cosmos DB por meio do Link do Azure Synapse e, ao mesmo tempo, o cliente removeu a permissão "GET/WRAP/Unwrap" da identidade padrão atual da política de acesso Key Vault por um tempo.

Mensagem de erro

Py4JJavaError                             Traceback (most recent call last)
<ipython-input-30-668efb4> in <module>
----> 1 df = spark.read.format("cosmos.olap").option("spark.synapse.linkedService", "CosmosDb1").option("spark.cosmos.container", "cc").load()
      2 
      3 display(df.limit(10))

/opt/spark/python/lib/pyspark.zip/pyspark/sql/readwriter.py in load(self, path, format, schema, **options)
    162             return self._df(self._jreader.load(self._spark._sc._jvm.PythonUtils.toSeq(path)))
    163         else:
--> 164             return self._df(self._jreader.load())
    165 
    166     def json(self, path, schema=None, primitivesAsString=None, prefersDecimal=None,

~/cluster-env/env/lib/python3.8/site-packages/py4j/java_gateway.py in __call__(self, *args)
   1319 
   1320         answer = self.gateway_client.send_command(command)
-> 1321         return_value = get_return_value(
   1322             answer, self.gateway_client, self.target_id, self.name)
   1323 

/opt/spark/python/lib/pyspark.zip/pyspark/sql/utils.py in deco(*a, **kw)
    109     def deco(*a, **kw):
    110         try:
--> 111             return f(*a, **kw)
    112         except py4j.protocol.Py4JJavaError as e:
    113             converted = convert_exception(e.java_exception)

~/cluster-env/env/lib/python3.8/site-packages/py4j/protocol.py in get_return_value(answer, gateway_client, target_id, name)
    324             value = OUTPUT_CONVERTER[type](answer[2:], gateway_client)
    325             if answer[1] == REFERENCE_TYPE:
--> 326                 raise Py4JJavaError(
    327                     "An error occurred while calling {0}{1}{2}.\n".
    328                     format(target_id, ".", name), value)

Py4JJavaError: An error occurred while calling o1292.load.
: org.apache.hadoop.fs.azure.AzureException: java.util.NoSuchElementException: An error occurred while enumerating the result, check the original exception for details.
	at org.apache.hadoop.fs.azure.AzureNativeFileSystemStore.retrieveMetadata(AzureNativeFileSystemStore.java:2223)
...
**Caused by: com.microsoft.azure.storage.StorageException: The key vault key is not found to unwrap the encryption key.**
	at com.microsoft.azure.storage.StorageException.translateException(StorageException.java:87)
	at com.microsoft.azure.storage.core.StorageRequest.materializeException(StorageRequest.java:315)
	at com.microsoft.azure.storage.core.ExecutionEngine.executeWithRetry(ExecutionEngine.java:185)
	at com.microsoft.azure.storage.core.LazySegmentedIterator.hasNext(LazySegmentedIterator.java:109)
  

Código de status

BadRequest (400)

Causa raiz

Como o cliente removeu a permissão "GET/WRAP/Unwrap" da identidade padrão atual da política de acesso do Key Vault por um tempo, tanto a conta do Cosmos DB quanto a conta de armazenamento dedicada não podem mais acessar o cofre de chaves e irão revogar o estado. O Link do Azure Synapse consultará dados da conta de armazenamento dedicada, que está em estado de revogação: "Causado por: com.microsoft.azure.storage.StorageException: A chave do Key Vault não foi encontrada para desencapsular a chave de criptografia"”

Mitigação

O cliente deve seguir o “Guia de solução de problemas de estado de revogação do Key Vault” para conceder novamente o acesso ao Key Vault.

---