Resolver problemas de uma chave gerida pelo cliente

Este artigo é a quarta parte de uma série de tutoriais de quatro partes. A primeira parte fornece uma descrição geral das chaves geridas pelo cliente, das respetivas funcionalidades e considerações antes de ativar uma no seu registo. Na segunda parte, vai aprender a ativar uma chave gerida pelo cliente com a CLI do Azure, o portal do Azure ou um modelo de Resource Manager do Azure. Na terceira parte, vai aprender a rodar, atualizar e revogar uma chave gerida pelo cliente. Este artigo ajuda-o a resolver problemas comuns com chaves geridas pelo cliente.

Erro ao remover uma identidade gerida

Se tentar remover uma identidade gerida atribuída pelo utilizador ou atribuída pelo sistema que utilizou para configurar a encriptação do seu registo, poderá ver um erro:

Azure resource '/subscriptions/xxxx/resourcegroups/myGroup/providers/Microsoft.ContainerRegistry/registries/myRegistry' does not have access to identity 'xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx' Try forcibly adding the identity to the registry <registry name>. For more information on bring your own key, please visit 'https://aka.ms/acr/cmk'.

Não é possível alterar (rodar) a chave de encriptação. Os passos de resolução dependem do tipo de identidade que utilizou para encriptação.

Remover uma identidade atribuída pelo utilizador

Se receber o erro ao tentar remover uma identidade atribuída pelo utilizador, siga estes passos:

1. Reatribua a identidade atribuída pelo utilizador com o comando az acr identity assign .

2. Transmita o ID de recurso da identidade atribuída pelo utilizador ou utilize o nome da identidade quando estiver no mesmo grupo de recursos que o registo.

   Por exemplo:

   az acr identity assign -n myRegistry \
       --identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"
   

3. Altere a chave e atribua uma identidade diferente.

4. Agora, pode remover a identidade original atribuída pelo utilizador.

Remover uma identidade atribuída pelo sistema

Se receber o erro ao tentar remover uma identidade atribuída pelo sistema, crie um pedido de suporte do Azure para obter assistência no restauro da identidade.

Erro depois de ativar uma firewall do cofre de chaves

Se ativar uma firewall do cofre de chaves ou uma rede virtual depois de criar um registo encriptado, poderá ver HTTP 403 ou outros erros com a importação de imagens ou a rotação automatizada de chaves. Para corrigir este problema, reconfigure a identidade gerida e a chave que utilizou inicialmente para encriptação. Veja os passos em Rodar uma chave gerida pelo cliente.

Se o problema persistir, contacte o Suporte do Azure.

Erro de expiração da identidade

A identidade anexada a um registo está definida para a renovação automática para evitar a expiração. Se desassociar uma identidade de um registo, ocorre uma mensagem de erro a explicar que não pode remover a identidade em utilização para a CMK. Tentar remover a identidade põe em risco a renovação automática da identidade. As operações de extração/push do artefacto funcionam até que a identidade expire (normalmente, três meses). Após a expiração da identidade, verá o HTTP 403 com uma mensagem de erro "A identidade associada ao registo está inativa. Tal pode dever-se à tentativa de remoção da identidade. Reatribuir a identidade manualmente".

Tem de reatribuir explicitamente a identidade ao registo.

1. Execute o comando az acr identity assign para reatribuir a identidade manualmente.

   • Por exemplo,

   az acr identity assign -n myRegistry \
   --identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"
   

Eliminação acidental de um cofre de chaves ou chave

A eliminação do cofre de chaves ou da chave utilizada para encriptar um registo com uma chave gerida pelo cliente torna o conteúdo do registo inacessível. Se a eliminação recuperável estiver ativada no cofre de chaves (a opção predefinida), pode recuperar um cofre eliminado ou um objeto do cofre de chaves e retomar as operações de registo.

Passos seguintes

Para cenários de eliminação e recuperação do cofre de chaves, veja Gestão de recuperação de Key Vault do Azure com eliminação recuperável e proteção contra remoção.