Usar chaves gerenciadas pelo cliente no Azure Key Vault for Azure Data Box
O Azure Data Box protege a chave de desbloqueio do dispositivo (também conhecida como palavra-passe do dispositivo), utilizada para bloquear um dispositivo, através de uma chave de encriptação. Por predefinição, esta chave de encriptação é uma chave gerida pela Microsoft. Para maior controlo, pode utilizar uma chave gerida pelo cliente.
A utilização de uma chave gerida pelo cliente não afeta a forma como os dados do dispositivo são encriptados. Só afeta a forma como a chave de desbloqueio do dispositivo é encriptada.
Para manter este nível de controlo durante todo o processo de encomenda, utilize uma chave gerida pelo cliente quando criar a encomenda. Para obter mais informações, consulte Tutorial: Solicitar o Azure Data Box.
Este artigo mostra como habilitar uma chave gerenciada pelo cliente para seu pedido existente do Data Box no portal do Azure. Você descobrirá como alterar o cofre de chaves, a chave, a versão ou a identidade da sua chave gerenciada pelo cliente atual ou voltar a usar uma chave gerenciada pela Microsoft.
Este artigo aplica-se aos dispositivos Azure Data Box e Azure Data Box Heavy.
Requisitos
A chave gerenciada pelo cliente para um pedido Data Box deve atender aos seguintes requisitos:
- A chave deve ser criada e armazenada em um Cofre de Chaves do Azure que tenha Exclusão flexível e Não limpar habilitado. Para obter mais informações, consulte O que é o Azure Key Vault?. Você pode criar um cofre de chaves e uma chave ao criar ou atualizar seu pedido.
- A chave deve ser uma chave RSA de tamanho 2048 ou maior.
- Você deve habilitar as
Getpermissões ,UnwrapKeyeWrapKeypara a chave no Cofre de Chaves do Azure. As permissões devem permanecer em vigor durante o tempo de vigência do pedido. Caso contrário, a chave gerenciada pelo cliente não poderá ser acessada no início da fase de Cópia de dados.
Ativar chave
Para habilitar uma chave gerenciada pelo cliente para seu pedido de Data Box existente no portal do Azure, siga estas etapas:
Vá para a tela Visão geral do seu pedido Data Box.
Vá para Criptografia de configurações> e selecione Chave gerenciada pelo cliente. Em seguida, selecione Selecionar uma chave e cofre de chaves.
Na tela Selecionar chave do Cofre da Chave do Azure, sua assinatura é preenchida automaticamente.
Para Cofre de chaves, você pode selecionar um cofre de chaves existente na lista suspensa ou selecionar Criar novo e criar um novo cofre de chaves.
Para criar um novo cofre de chaves, insira a assinatura, o grupo de recursos, o nome do cofre de chaves e outras informações na tela Criar novo cofre de chaves. Em Opções de recuperação, verifique se a proteção Exclusão suave e Limpeza está ativada. Em seguida, selecione Rever + Criar.
Reveja as informações do cofre de chaves e selecione Criar. Aguarde alguns minutos até que a criação do cofre de chaves seja concluída.
Na tela Selecionar chave do Cofre de Chaves do Azure, você pode selecionar uma chave existente no cofre de chaves ou criar uma nova.
Se quiser criar uma nova chave, selecione Criar nova. Tem de utilizar uma chave RSA. O tamanho pode ser 2048 ou superior.
Insira um nome para sua nova chave, aceite os outros padrões e selecione Criar. Você será notificado de que uma chave foi criada no cofre de chaves.
Para Versão, você pode selecionar uma versão de chave existente na lista suspensa.
Se quiser gerar uma nova versão de chave, selecione Criar nova.
Escolha as configurações para a nova versão da chave e selecione Criar.
Quando tiver selecionado um cofre de chaves, uma chave e uma versão de chave, escolha Selecionar.
As configurações de Tipo de criptografia mostram o cofre de chaves e a chave que você escolheu.
Selecione o tipo de identidade a ser usado para gerenciar a chave gerenciada pelo cliente para este recurso. Você pode usar a identidade atribuída ao sistema que foi gerada durante a criação do pedido ou escolher uma identidade atribuída pelo usuário.
Uma identidade atribuída ao usuário é um recurso independente que você pode usar para gerenciar o acesso aos recursos. Para obter mais informações, consulte Tipos de identidade gerenciados.
Para atribuir uma identidade de usuário, selecione Usuário atribuído. Em seguida, selecione Selecionar uma identidade de usuário e selecione a identidade gerenciada que você deseja usar.
Não é possível criar uma nova identidade de usuário aqui. Para saber como criar uma, consulte Criar, listar, excluir ou atribuir uma função a uma identidade gerenciada atribuída pelo usuário usando o portal do Azure.
A identidade de usuário selecionada é mostrada nas configurações de tipo de criptografia.
Selecione Salvar para salvar as configurações atualizadas do tipo de criptografia.
O URL da chave é exibido em Tipo de criptografia.
Importante
Você deve habilitar as Getpermissões , UnwrapKeye na WrapKey chave. Para definir as permissões na CLI do Azure, consulte az keyvault set-policy.
Alterar chave
Para alterar o cofre de chaves, a chave e/ou a versão da chave para a chave gerenciada pelo cliente que você está usando no momento, siga estas etapas:
Na tela Visão geral do seu pedido Data Box, vá para Criptografia de configurações> e clique em Alterar chave.
Escolha Selecionar um cofre de chaves e uma chave diferentes.
A tela Selecionar chave do cofre de chaves mostra a assinatura, mas nenhuma versão do cofre de chaves, chave ou chave. Você pode fazer qualquer uma das seguintes alterações:
Selecione uma chave diferente no mesmo cofre de chaves. Você precisará selecionar o cofre de chaves antes de selecionar a chave e a versão.
Selecione um cofre de chaves diferente e atribua uma nova chave.
Altere a versão da chave atual.
Quando terminar as alterações, escolha Selecionar.
Selecione Guardar.
Importante
Você deve habilitar as Getpermissões , UnwrapKeye na WrapKey chave. Para definir as permissões na CLI do Azure, consulte az keyvault set-policy.
Alterar identidade
Para alterar a identidade usada para gerenciar o acesso à chave gerenciada pelo cliente para esse pedido, siga estas etapas:
Na tela Visão geral do seu pedido de Data Box concluído, vá para Criptografia de configurações>.
Faça uma das seguintes alterações:
Para alterar para uma identidade de usuário diferente, clique em Selecionar uma identidade de usuário diferente. Em seguida, selecione uma identidade diferente no painel do lado direito da tela e escolha Selecionar.
Para alternar para a identidade atribuída pelo sistema gerada durante a criação do pedido, selecione Sistema atribuído por Selecionar tipo de identidade.
Selecione Guardar.
Usar chave gerenciada da Microsoft
Para mudar de usar uma chave gerenciada pelo cliente para a chave gerenciada pela Microsoft para seu pedido, siga estas etapas:
Na tela Visão geral do seu pedido de Data Box concluído, vá para Criptografia de configurações>.
Por Selecionar tipo, selecione Chave gerenciada pela Microsoft.
Selecione Guardar.
Resolver erros
Se você receber erros relacionados à sua chave gerenciada pelo cliente, use a tabela a seguir para solucionar problemas.
| Código de erro | Detalhes do erro | Recuperável? |
|---|---|---|
| SsemUserErrorEncryptionKeyDisabled | Não foi possível buscar a chave de acesso, pois a chave gerenciada pelo cliente está desabilitada. | Sim, ativando a versão chave. |
| SsemUserErrorEncryptionKeyExpired | Não foi possível buscar a chave de acesso, pois a chave gerenciada pelo cliente expirou. | Sim, ativando a versão chave. |
| SsemUserErrorKeyDetailsNotFound | Não foi possível buscar a chave de acesso, pois a chave gerenciada pelo cliente não pôde ser encontrada. | Se você excluiu o cofre de chaves, não poderá recuperar a chave gerenciada pelo cliente. Se você migrou o cofre de chaves para um locatário diferente, consulte Alterar um ID de locatário do cofre de chaves após uma mudança de assinatura. Se você excluiu o cofre de chaves:
Caso contrário, se o cofre de chaves passou por uma migração de locatário, sim, ele pode ser recuperado usando uma das etapas abaixo:
|
| SsemUserErrorKeyVaultBadRequestException | Aplicou uma chave gerenciada pelo cliente, mas o acesso à chave não foi concedido ou foi revogado, ou não foi possível acessar o cofre de chaves devido ao firewall estar habilitado. | Adicione a identidade selecionada ao seu cofre de chaves para permitir o acesso à chave gerenciada pelo cliente. Se o cofre de chaves tiver o firewall habilitado, alterne para uma identidade atribuída ao sistema e adicione uma chave gerenciada pelo cliente. Para obter mais informações, consulte como habilitar a chave. |
| SsemUserErrorKeyVaultDetailsNotFound | Não foi possível buscar a chave de acesso, pois o cofre de chaves associado para a chave gerenciada pelo cliente não pôde ser encontrado. | Se você excluiu o cofre de chaves, não poderá recuperar a chave gerenciada pelo cliente. Se você migrou o cofre de chaves para um locatário diferente, consulte Alterar um ID de locatário do cofre de chaves após uma mudança de assinatura. Se você excluiu o cofre de chaves:
Caso contrário, se o cofre de chaves passou por uma migração de locatário, sim, ele pode ser recuperado usando uma das etapas abaixo:
|
| SsemUserErrorSystemAssignedIdentityAbsent | Não foi possível buscar a chave de acesso, pois a chave gerenciada pelo cliente não pôde ser encontrada. | Sim, verifique se:
|
| SsemUserErrorUserAssignedLimitReached | A adição de nova Identidade Atribuída ao Usuário falhou quando você atingiu o limite do número total de identidades atribuídas ao usuário que podem ser adicionadas. | Tente novamente a operação com menos identidades de usuário ou remova algumas identidades atribuídas pelo usuário do recurso antes de tentar novamente. |
| SsemUserErrorCrossTenantIdentityAccessForbidden | Falha na operação de acesso de identidade gerenciada. Nota: Este erro pode ocorrer quando uma subscrição é movida para um inquilino diferente. O cliente tem de mover manualmente a identidade para o novo inquilino. |
Tente adicionar uma identidade atribuída pelo usuário diferente ao seu cofre de chaves para habilitar o acesso à chave gerenciada pelo cliente. Ou mova a identidade para o novo locatário sob o qual a assinatura está presente. Para obter mais informações, consulte como habilitar a chave. |
| SsemUserErrorKekUserIdentityNotFound | Aplicou uma chave gerenciada pelo cliente, mas a identidade atribuída ao usuário que tem acesso à chave não foi encontrada no diretório ativo. Observação: esse erro pode ocorrer quando uma identidade de usuário é excluída do Azure. |
Tente adicionar uma identidade atribuída pelo usuário diferente ao seu cofre de chaves para habilitar o acesso à chave gerenciada pelo cliente. Para obter mais informações, consulte como habilitar a chave. |
| SsemUserErrorUserAssignedIdentityAbsent | Não foi possível buscar a chave de acesso, pois a chave gerenciada pelo cliente não pôde ser encontrada. | Não foi possível acessar a chave gerenciada pelo cliente. A Identidade Atribuída ao Usuário (UAI) associada à chave é excluída ou o tipo de UAI foi alterado. |
| SsemUserErrorKeyVaultBadRequestException | Aplicada uma chave gerenciada pelo cliente, mas o acesso à chave não foi concedido ou revogado, ou o cofre de chaves não pôde ser acessado porque um firewall está habilitado. | Adicione a identidade selecionada ao seu cofre de chaves para permitir o acesso à chave gerenciada pelo cliente. Se o cofre de chaves tiver um firewall habilitado, alterne para uma identidade atribuída ao sistema e adicione uma chave gerenciada pelo cliente. Para obter mais informações, consulte como habilitar a chave. |
| SsemUserErrorEncryptionKeyTypeNotSupported | O tipo de chave de criptografia não é suportado para a operação. | Habilite um tipo de criptografia suportado na chave - por exemplo, RSA ou RSA-HSM. Para obter mais informações, consulte Tipos de chave, algoritmos e operações. |
| SsemUserErrorSoftDeleteAndPurgeProtectionNotEnabled | O cofre de chaves não tem a proteção de exclusão suave ou limpeza habilitada. | Certifique-se de que a proteção contra exclusão suave e limpeza esteja ativada no cofre de chaves. |
| SsemUserErrorInvalidKeyVaultUrl (Somente linha de comando) |
Um URI de cofre de chave inválido foi usado. | Obtenha o URI correto do cofre de chaves. Para obter o URI do cofre de chaves, use Get-AzKeyVault no PowerShell. |
| SsemUserErrorKeyVaultUrlWithInvalidScheme | Somente HTTPS é suportado para passar o URI do cofre de chaves. | Passe o URI do cofre de chaves sobre HTTPS. |
| SsemUserErrorKeyVaultUrlInvalidHost | O host URI do cofre de chaves não é um host permitido na região geográfica. | Na nuvem pública, o URI do cofre de chaves deve terminar com vault.azure.net. Na nuvem do Azure Government, o URI do cofre de chaves deve terminar com vault.usgovcloudapi.net. |
| Erro genérico | Não foi possível buscar a chave de acesso. | Este erro é um erro genérico. Entre em contato com o Suporte da Microsoft para solucionar o erro e determinar as próximas etapas. |