Salve e gerencie a senha do agente MARS com segurança no Azure Key Vault

O Backup do Azure usando o agente dos Serviços de Recuperação (MARS) permite fazer backup de arquivos/pastas e dados de estado do sistema no cofre dos Serviços de Recuperação do Azure. Esses dados são criptografados usando uma senha que você fornece durante a instalação e o registro do agente MARS. Essa senha é necessária para recuperar e restaurar os dados de backup e precisa ser salva em um local externo seguro.

Importante

Se essa senha for perdida, a Microsoft não poderá recuperar os dados de backup armazenados no cofre dos Serviços de Recuperação. Recomendamos que você armazene essa senha em um local externo seguro, como o Cofre da Chave do Azure.

Agora, você pode salvar sua senha de criptografia com segurança no Cofre de Chaves do Azure como um Segredo do console MARS durante a instalação para novas máquinas e alterando a senha para máquinas existentes. Para permitir salvar a senha no Cofre da Chave do Azure, você deve conceder ao cofre dos Serviços de Recuperação as permissões para criar um Segredo no Cofre da Chave do Azure.

Antes de começar

• Crie um cofre dos Serviços de Recuperação caso não tenha um.
• Você deve usar um único Cofre da Chave do Azure para armazenar todas as suas senhas. Crie um Cofre de Chaves caso não tenha um.
• O preço do Azure Key Vault é aplicável quando você cria um novo Azure Key Vault para armazenar sua senha.
• Depois de criar o Cofre da Chave, para proteger contra a exclusão acidental ou mal-intencionada de frase secreta, verifique se a proteção de exclusão suave e limpeza está ativada.
• Este recurso é suportado apenas em regiões públicas do Azure com agente MARS versão 2.0.9262.0 ou superior.

Configurar o cofre dos Serviços de Recuperação para armazenar a frase secreta no Cofre de Chaves do Azure

Antes de salvar sua senha no Cofre da Chave do Azure, configure o cofre dos Serviços de Recuperação e o Cofre da Chave do Azure,

Para configurar um cofre, siga estas etapas na sequência fornecida para obter os resultados pretendidos. Cada ação é discutida em detalhes nas seções abaixo:

1. Identidade gerenciada atribuída pelo sistema habilitada para o cofre dos Serviços de Recuperação.
2. Atribua permissões ao cofre dos Serviços de Recuperação para salvar a senha como um Segredo no Cofre de Chaves do Azure.
3. Ativar a eliminação recuperável e a proteção contra a remoção no Azure Key Vault.

Nota

• Depois de habilitar esse recurso, você não deve desativar a identidade gerenciada (mesmo temporariamente). A desativação da identidade gerenciada pode levar a um comportamento inconsistente.
• Atualmente, não há suporte para identidade gerenciada atribuída pelo usuário para salvar a senha no Cofre da Chave do Azure.

Habilite a identidade gerenciada atribuída ao sistema para o cofre dos Serviços de Recuperação

Escolha um cliente:

Portal do Azure

Siga estes passos:

1. Aceda à Identidade do cofre>dos Serviços de Recuperação.

   

2. Selecione a guia Sistema atribuído .

3. Altere o status para Ativado.

4. Selecione Salvar para ativar a identidade do cofre.

É gerada uma ID de objeto, que é a identidade gerenciada atribuída pelo sistema do cofre.

PowerShell

Para habilitar a identidade gerenciada atribuída pelo sistema para o cofre dos Serviços de Recuperação, use o cmdlet Update-AzRecoveryServicesVault .

Exemplo

$vault=Get-AzRecoveryServicesVault -ResourceGroupName "testrg" -Name "testvault"
Update-AzRecoveryServicesVault -IdentityType SystemAssigned -ResourceGroupName TestRG -Name TestVault
$vault.Identity | fl

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : SystemAssigned

CLI

Para habilitar a identidade gerenciada atribuída pelo sistema para o cofre dos Serviços de Recuperação, use o az backup vault identity assign comando.

Exemplo

az backup vault identity assign --system-assigned --resource-group MyResourceGroup --name MyVault

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : SystemAssigned

Atribuir permissões para salvar a senha no Cofre da Chave do Azure

Com base no modelo de permissão do Cofre da Chave (permissões de acesso baseadas em função ou modelo de permissão baseado em política de acesso) configurado para o Cofre da Chave, consulte as seções a seguir.

Habilitar permissões usando o modelo de permissão de acesso baseado em função para o Cofre da Chave

Escolha um cliente:

Portal do Azure

Para atribuir as permissões, siga estes passos:

1. Vá para a Configuração de Acesso às Configurações>do Cofre da Chave do>Azure para garantir que o modelo de permissão seja RBAC.

   

2. Selecione Controle de acesso (IAM)>+Adicionar para adicionar atribuição de função.

3. A identidade do cofre dos Serviços de Recuperação requer a permissão Definir em Segredo para criar e adicionar a frase secreta como Segredo ao Cofre de Chaves.

   Você pode selecionar uma função interna, como Key Vault Secrets Officer, que tenha a permissão (junto com outras permissões não necessárias para esse recurso) ou criar uma função personalizada com apenas a permissão Definir em Segredo.

   Em Detalhes, selecione Exibir para exibir as permissões concedidas pela função e garantir que Definir permissão em Segredo esteja disponível.

   

   

4. Selecione Avançar para prosseguir para selecionar Membros para atribuição.

5. Selecione Identidade gerenciada e, em seguida, + Selecionar membros. escolha a Subscrição do cofre dos Serviços de Recuperação de destino, selecione Cofre dos Serviços de Recuperação em Identidade gerida atribuída pelo sistema.

   Pesquise e selecione o nome do cofre dos Serviços de Recuperação.

   

6. Selecione Seguinte, reveja a atribuição e selecione Rever + atribuir.

   

7. Vá para Controle de acesso (IAM) no Cofre da chave, selecione Atribuições de função e verifique se o cofre dos Serviços de Recuperação está listado.

   

PowerShell

Para atribuir as permissões, execute o seguinte cmdlet:

#Find the application id for your recovery services vault
Get-AzADServicePrincipal -SearchString <principalName>
#Identify a role with Set permission on Secret, like Key Vault Secret Office
Get-AzRoleDefinition | Format-Table -Property Name, IsCustom, Id
#Assign role to Recovery Services Vault identity 
Get-AzRoleDefinition -Name <roleName>
#Assign by Service Principal ApplicationId
New-AzRoleAssignment -RoleDefinitionName 'Key Vault Secrets Officer' -ApplicationId {i.e 8ee5237a-816b-4a72-b605-446970e5f156} -Scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}

CLI

Para atribuir as permissões, execute o seguinte comando:

#Find the application id for your recovery services vault
az ad sp list --all --filter "displayname eq '<my recovery vault name>' and servicePrincipalType eq 'ManagedIdentity'"
#Identify a role with Set permission on Secret, like Key Vault Secret Office
az role definition list --query "[].{name:name, roleType:roleType, roleName:roleName}" --output tsv
az role definition list --name "{roleName}"
#Assign role to Recovery Services Vault identity 
az role assignment create --role "Key Vault Secrets Officer" --assignee "<application id>" {i.e "55555555-5555-5555-5555-555555555555"} --scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}

Habilitar permissões usando o modelo de permissão de Política de Acesso para o Cofre da Chave

Escolha um cliente:

Portal do Azure

Siga estes passos:

1. Aceda às políticas de acesso ao Azure Key Vault>Políticas>de acesso e, em seguida, selecione + Criar.

   

2. Em Permissões secretas, selecione Definir operação.

   Isso especifica as ações permitidas no Segredo.

   

3. Vá para Selecionar Principal e procure seu cofre na caixa de pesquisa usando seu nome ou identidade gerenciada.

   Selecione o cofre no resultado da pesquisa e escolha Selecionar.

   

4. Vá para Rever + criar, certifique-se de que Definir permissão está disponível e Principal é o cofre dos Serviços de Recuperação correto e, em seguida, selecione Criar.

   

   

PowerShell

Para obter a ID Principal do cofre dos Serviços de Recuperação, use o cmdlet Get-AzADServicePrincipal . Em seguida, use essa ID no cmdlet Get-AzADServicePrincipal para definir uma política de acesso para o cofre da chave.

Exemplo

$sp = Get-AzADServicePrincipal -DisplayName MyVault
$Set-AzKeyVaultAccessPolicy -VaultName myKeyVault -ObjectId $sp.Id -PermissionsToSecrets set

CLI

Para obter a ID principal do cofre dos Serviços de Recuperação, use o az ad sp list comando. Em seguida, use essa ID no az keyvault set-policy comando para definir uma política de acesso para o cofre da chave.

Exemplo

az ad sp list --display-name MyVault
az keyvault set-policy --name myKeyVault --object-id <object-id> --secret-permissions set

Habilite a proteção de exclusão suave e limpeza no Cofre da Chave do Azure

Você precisa habilitar a proteção de exclusão suave e limpeza no Cofre da Chave do Azure que armazena sua chave de criptografia.

Escolha um cliente*

Portal do Azure

Você pode habilitar a proteção de exclusão suave e limpeza do Cofre de Chaves do Azure.

Como alternativa, você pode definir essas propriedades ao criar o Cofre da Chave. Saiba mais sobre essas propriedades do Cofre da Chave.

PowerShell

1. Inicie sessão na sua conta do Azure.

   Login-AzAccount
   

2. Selecione a subscrição que contém o seu cofre.

   Set-AzContext -SubscriptionId SubscriptionId
   

3. Habilite a exclusão suave.

   ($resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "AzureKeyVaultName").ResourceId).Properties | Add-Member -MemberType "NoteProperty" -Name "enableSoftDelete" -Value "true"
   Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
   

4. Habilite a proteção contra purga.

   ($resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "AzureKeyVaultName").ResourceId).Properties | Add-Member -MemberType "NoteProperty" -Name "enablePurgeProtection" -Value "true"
   Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
   
   

CLI

1. Entre na sua Conta do Azure.

   az login
   

2. Selecione a subscrição que contém o seu cofre.

   az account set --subscription "Subscription1"
   

3. Ativar a eliminação recuperável

   az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-soft-delete true
   

4. Ativar proteção contra limpeza

   az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-purge-protection true 
   

Salvar senha no Azure Key Vault para uma nova instalação do MARS

Antes de continuar a instalar o agente MARS, verifique se você configurou o cofre dos Serviços de Recuperação para armazenar a senha no Cofre de Chaves do Azure e se obteve com êxito:

1. Criou o cofre dos Serviços de Recuperação.

2. Habilitada a identidade gerenciada atribuída ao sistema do cofre dos Serviços de Recuperação.

3. Permissões atribuídas ao cofre dos Serviços de Recuperação para criar Segredo no Cofre da Chave.

4. Ativada a proteção de eliminação suave e limpeza para o Cofre de Chaves.

5. Para instalar o agente MARS em uma máquina, baixe o instalador do MARS no portal do Azure e use o assistente de instalação.

6. Depois de fornecer as credenciais do cofre dos Serviços de Recuperação durante o registro, na Configuração de Criptografia, selecione a opção para salvar a senha no Cofre de Chaves do Azure.

   

7. Introduza a sua frase secreta ou selecione Gerar frase secreta.

8. No portal do Azure, abra o Cofre da Chave, copie o URI do Cofre da Chave.

   

9. Cole o URI do Cofre da Chave no console do MARS e selecione Registrar.

   Se você encontrar um erro, verifique a seção de solução de problemas para obter mais informações.

10. Quando o registro for bem-sucedido, a opção de copiar o identificador para o Segredo será criada e a senha NÃO será salva em um arquivo localmente.

    

    Se você alterar a senha no futuro para este agente MARS, uma nova versão do Segredo será adicionada com a senha mais recente.

Você pode automatizar esse processo usando a nova opção KeyVaultUri no Set-OBMachineSetting command script de instalação.

Salvar senha no Azure Key Vault para uma instalação MARS existente

Se você tiver uma instalação existente do agente MARS e quiser salvar sua senha no Cofre de Chaves do Azure, atualize seu agente para a versão 2.0.9262.0 ou superior e execute uma operação de alteração de senha.

Depois de atualizar seu agente MARS, verifique se você configurou o cofre dos Serviços de Recuperação para armazenar a senha no Cofre de Chaves do Azure e se obteve com êxito:

1. Criou o cofre dos Serviços de Recuperação.
2. Habilitada a identidade gerenciada atribuída ao sistema do cofre dos Serviços de Recuperação.
3. Permissões atribuídas ao cofre dos Serviços de Recuperação para criar Segredo no Cofre da Chave.
4. Proteção de exclusão e limpeza suave ativada para o Cofre da Chave

Para salvar a senha no Cofre da Chave:

1. Abra o console do agente MARS.

   Você verá um banner solicitando que você selecione um link para salvar a senha no Cofre da Chave do Azure.

   Como alternativa, selecione Alterar propriedades>Alterar senha para continuar.

   

2. Na caixa de diálogo Alterar Propriedades, a opção para salvar a senha no Cofre da Chave fornecendo um URI do Cofre da Chave é exibida.

   Nota

   Se a máquina já estiver configurada para salvar a senha no Cofre da Chave, o URI do Cofre da Chave será preenchido na caixa de texto automaticamente.

   

3. Abra o portal do Azure, abra o Cofre da Chave e copie o URI do Cofre da Chave.

   

4. Cole o URI do Cofre da Chave no console do MARS e selecione OK.

   Se você encontrar um erro, verifique a seção de solução de problemas para obter mais informações.

5. Quando a operação de alteração de senha for bem-sucedida, uma opção para copiar o identificador para o Segredo será criada e a senha NÃO será salva em um arquivo localmente.

   

   Se você alterar a senha no futuro para este agente MARS, uma nova versão do Segredo será adicionada com a senha mais recente.

Você pode automatizar esta etapa usando a nova opção KeyVaultUri no cmdlet Set-OBMachineSetting .

Recuperar senha do Cofre de Chaves do Azure para uma máquina

Se sua máquina ficar indisponível e você precisar restaurar os dados de backup do cofre dos Serviços de Recuperação por meio da restauração de local alternativo, precisará da senha da máquina para prosseguir.

A senha é salva no Cofre da Chave do Azure como um Segredo. Um Segredo é criado por máquina e uma nova versão é adicionada ao Segredo quando a senha da máquina é alterada. O Segredo é nomeado como AzBackup-machine fully qualified name-vault name.

Para localizar a senha da máquina:

1. No portal do Azure, abra o Cofre da Chave usado para salvar a senha da máquina.

   Recomendamos que você use um Cofre de Chaves para salvar todas as suas senhas.

2. Selecione Segredos e procure o segredo chamado AzBackup-<machine name>-<vaultname>.

   

3. Selecione o Segredo, abra a versão mais recente e copie o valor do Segredo.

   Esta é a senha da máquina a ser usada durante a recuperação.

   

   Se você tiver um grande número de Segredos no Cofre da Chave, use a CLI do Cofre da Chave para listar e procurar o segredo.

az keyvault secret list --vault-name 'myvaultname’ | jq '.[] | select(.name|test("AzBackup-<myvmname>"))'

Solucionar problemas de cenários comuns

Esta seção lista os erros mais comuns encontrados ao salvar a senha no Cofre da Chave do Azure.

A identidade do sistema não está configurada – 391224

Causa: este erro ocorre se o cofre dos Serviços de Recuperação não tiver uma identidade gerenciada atribuída pelo sistema configurada.

Ação recomendada: verifique se a identidade gerenciada atribuída pelo sistema está configurada corretamente para o cofre dos Serviços de Recuperação de acordo com os pré-requisitos.

As permissões não estão configuradas – 391225

Causa: o cofre dos Serviços de Recuperação tem uma identidade gerenciada atribuída ao sistema, mas não tem permissão Definir para criar um Segredo no Cofre da Chave de destino.

Ação recomendada:

1. Verifique se a credencial do cofre usada corresponde ao cofre de serviços de recuperação pretendido.
2. Verifique se o URI do Cofre da Chave corresponde ao Cofre da Chave pretendido.
3. Verifique se o nome do cofre dos Serviços de Recuperação está listado em Cofre da Chave - Políticas de acesso ->> Aplicativo, com Permissões Secretas como Definidas.

Se não estiver listado, configure a permissão novamente.

O URI do Azure Key Vault está incorreto - 100272

Causa: O URI do Cofre da Chave inserido não está no formato correto.

Ação recomendada: verifique se você inseriu um URI do Cofre da Chave copiado do portal do Azure. Por exemplo, https://myvault.vault.azure.net/.

 

UserErrorSecretExistsSoftDeleted (391282)

Causa: um segredo no formato esperado já existe no Cofre da Chave, mas está em um estado de exclusão suave. A menos que o segredo seja restaurado, o MARS não pode salvar a senha dessa máquina no Cofre da Chave fornecido.

Ação recomendada: verifique se existe um segredo no cofre com o nome AzBackup-<machine name>-<vaultname> e se ele está em um estado de exclusão suave. Recupere o segredo apagado suave para salvar a frase secreta nele.

UserErrorKeyVaultSoftDeleted (391283)

Causa: O Cofre de Chaves fornecido ao MARS está em um estado de exclusão suave.

Ação recomendada: Recupere o Cofre da Chave ou forneça um novo Cofre da Chave.

O registo está incompleto

Causa: Você não concluiu o registro MARS registrando a senha. Assim, você não poderá configurar backups até se registrar.

Ação recomendada: Selecione a mensagem de aviso e conclua o registo.