Использование ключей, управляемых клиентом, в Azure Key Vault для Azure Data Box.

  • Статья

Azure Data Box защищает ключ разблокировки устройства (также называемый паролем устройства), который используется для блокировки устройства с помощью ключа шифрования. По умолчанию этот ключ шифрования управляется корпорацией Майкрософт. Для дополнительного контроля можно использовать ключ, управляемый клиентом.

Использование ключа, управляемого клиентом, не влияет на шифрование данных на устройстве. Он влияет только на шифрование ключа разблокировки устройства.

Чтобы обеспечить этот уровень контроля в рамках процесса заказа, используйте ключ, управляемый клиентом, при создании заказа. Дополнительные сведения см. в статье Руководство по оформлению заказа на Azure Data Box.

В этой статье показано, как включить ключ, управляемый клиентом, для существующего заказа Data Box на портале Azure. Вы узнаете, как изменить хранилище ключей, ключ, версию или удостоверение для текущего управляемого клиентом ключа или вернуться к использованию ключа, управляемого Майкрософт.

Эта статья относится к устройствам как Azure Data Box, так и Azure Data Box Heavy.

Требования

Ключ, управляемый клиентом, для заказа Data Box, должен соответствовать следующим требованиям.

  • Ключ должен быть создан и сохранен в Azure Key Vault, в котором включено обратимое удаление и защита от очистки. Дополнительные сведения см. в статье Что такое хранилище ключей Azure? Хранилище ключей и ключ можно создать при формировании или обновлении заказа.
  • В качестве ключа нужно использовать ключ RSA размером 2048 или больше.
  • Необходимо включить Getключ UnwrapKeyи WrapKey разрешения для ключа в Azure Key Vault. Разрешения должны оставаться на месте в течение всего времени существования заказа. В противном случае ключ, управляемый клиентом, не может бытьдоступ в начале этапа копирования данных.

Включение ключа

Чтобы включить ключ, управляемый клиентом для существующего заказа Data Box на портале Azure, выполните следующие действия.

  1. Перейдите на экран обзора заказа Data Box.

    Overview screen of a Data Box order - 1

  2. Перейдите к Параметры шифрованию и выберите управляемый клиентом ключ>. Затем выберите Выбрать ключ и хранилище ключей.

    Select the customer-managed key encryption option

    На экране Выбор ключа из Azure Key Vault подписка указывается автоматически.

  3. В качестве Хранилища ключей можно выбрать существующее хранилище ключей из раскрывающегося списка или выбрать Создать и создать новое хранилище ключей.

    Key vault options when selecting a customer-managed key

    Чтобы создать новое хранилище ключей, введите подписку, группу ресурсов, имя хранилища ключей и другие сведения на экране Создание хранилища ключей. В разделе Варианты восстановления должны быть включены настройки Обратимое удаление и Защита от очистки. Щелкните Просмотр и создание.

    Review and create Azure Key Vault

    Проверьте сведения о хранилище ключей и выберите Создать. Подождите несколько минут, пока не завершится создание хранилища ключей.

    Create Azure Key Vault with your settings

  4. На экране Выбор ключа из Azure Key Vault можно выбрать существующий ключ из хранилища ключей или создать новый.

    Select key from Azure Key Vault

    Если вы хотите создать новый ключ, выберите Создать новый. Необходимо использовать ключ RSA. Размер ключа может составлять 2048 бит или больше.

    Create new key in Azure Key Vault

    Введите имя для нового ключа, примите остальные значения по умолчанию и нажмите кнопку Создать. Вы получите уведомление о создании ключа в хранилище ключей.

    Name new key

  5. В поле Версия можно выбрать существующую версию ключа из раскрывающегося списка.

    Select version for new key

    Если вы хотите сформировать новую версию ключа, выберите Создать новую.

    Open a dialog box for creating a new key version

    Выберите параметры для новой версии ключа и выберите команду Создать.

    Create a new key version

  6. Указав хранилище ключей, ключ и версию ключа, нажмите кнопку Выбрать.

    A key in an Azure Key Vault

    Параметры Тип шифрования показывают выбранное хранилище ключей и ключ.

    Key and key vault for a customer-managed key

  7. Выберите тип удостоверения, которое будет использоваться для управляемого клиентом ключа, предназначенного для этого ресурса. Можно использовать назначенное системой удостоверение, сформированное во время создания заказа, или выбрать удостоверение, назначенное пользователем.

    Назначенное пользователем удостоверение — это независимый ресурс, который можно использовать для управления доступом к ресурсам. Дополнительные сведения см. в статье Что такое управляемые удостоверения для ресурсов Azure?

    Select the identity type

    Чтобы назначить удостоверение пользователя, выберите Назначенное пользователем. Затем нажмите Выбрать удостоверение пользователяи выберите управляемое удостоверение, которое вы хотите использовать.

    Select an identity to use

    Здесь нельзя создать новое удостоверение пользователя. Информацию о том, как создавать новое удостоверение см. в статье Создание, перечисление, удаление или назначение роли назначаемому и управляемому пользователем удостоверению с помощью портала Azure.

    Выбранное удостоверение пользователя отображается в параметрах Тип шифрования.

    A selected user identity shown in Encryption type settings

  8. Нажмите кнопку Сохранить, чтобы сохранить обновленные параметры типа шифрования.

    Save your customer-managed key

    URL-адрес ключа отображается в разделе Тип шифрования.

    Customer-managed key URL

Важно!

Необходимо включить GetUnwrapKeyWrapKey и разрешения ключа. Сведения о настройке разрешений в Azure CLI см. в статье az keyvault set-policy.

Изменить ключ

Чтобы изменить хранилище ключей, ключ или версию для ключа, управляемого клиентом, выполните следующие действия.

  1. На экране Обзор для заказа Data Box выберите Параметры>Шифрование и нажмите кнопку Изменить ключ.

    Overview screen of a Data Box order with customer-managed key - 1

  2. Нажмите Выбрать другое хранилище ключей и ключ.

    Overview screen of a Data Box order, Select a different key and key vault option

  3. На экране Выбор ключа из хранилища ключей отображается подписка, но нет хранилища ключей, ключа или версии ключа. Внесите любые из следующих изменений:

    • Выберите другой ключ из того же хранилища ключей. Перед выбором ключа и версии необходимо выбрать хранилище ключей.

    • Выберите другое хранилище ключей и назначьте новый ключ.

    • Измените версию текущего ключа.

    Завершив изменения, нажмите кнопку Выбрать.

    Choose encryption option - 2

  4. Выберите Сохранить.

    Save updated encryption settings - 1

Важно!

Необходимо включить GetUnwrapKeyWrapKey и разрешения ключа. Сведения о настройке разрешений в Azure CLI см. в статье az keyvault set-policy.

Изменение удостоверения

Чтобы изменить удостоверение, используемое для управления доступом к ключу, управляемому клиентом для этого заказа, выполните следующие действия.

  1. На экране Обзор для готового заказа Data Box выберите Параметры>Шифрование.

  2. Внесите любые из следующих изменений:

    • Чтобы выбрать другое удостоверение пользователя, щелкните Выбрать другое удостоверение пользователя. Затем выберите другое удостоверение на панели в правой части экрана и нажмите кнопку Выбрать.

      Option for changing the user-assigned identity for a customer-managed key

    • Чтобы переключиться на системное удостоверение, созданное во время формирования заказа, выберите Назначенное системой с помощью рядом с пунктом Тип удостоверения.

      Option for changing to a system-assigned for a customer-managed key

  3. Выберите Сохранить.

    Save updated encryption settings - 2

Использование ключей, управляемых корпорацией Майкрософт

Чтобы перейти от использования ключа, управляемого клиентом, к ключу, управляемому корпорацией Майкрософт для своего заказа, выполните следующие действия.

  1. На экране Обзор для готового заказа Data Box выберите Параметры>Шифрование.

  2. Рядом с пунктом Выбор типа выберите Ключ, управляемый Майкрософт.

    Overview screen of a Data Box order - 5

  3. Выберите Сохранить.

    Save updated encryption settings for a Microsoft managed key

Устранение неполадок

Если вы получаете ошибки, связанные с управляемым клиентом ключом, воспользуйтесь следующей таблицей для устранения неполадок.

Код ошибки Сведения об ошибке Восстановимая
SsemUserErrorEncryptionKeyDisabled Не удалось получить ключ доступа, так как ключ, управляемый клиентом, отключен. Да, включив версию ключа.
SsemUserErrorEncryptionKeyExpired Не удалось получить ключ доступа по мере истечения срока действия ключа, управляемого клиентом. Да, включив версию ключа.
SsemUserErrorKeyDetailsNotFound Не удалось получить ключ доступа, так как ключ, управляемый клиентом, не удалось найти. Если вы удалили хранилище ключей, вы не сможете восстановить ключ, управляемый клиентом. Если вы перенесли хранилище ключей на другой клиент, см. статью Изменение идентификатора клиента хранилища ключей после перемещения подписки. Если вы удалили хранилище ключей:
  1. Да, если срок действия защиты от очистки не истек, выполните шаги, описанные в разделе Восстановление хранилища ключей.
  2. Нет, если истек срок действия защиты от очистки.

Кроме того, если хранилище ключей выполняет миграцию клиента, да, его можно восстановить с помощью одного из следующих шагов:
  1. Верните Key Vault обратно на старый клиент.
  2. Установите значение Identity = None, а затем верните обратно значение Identity = SystemAssigned. Это приведет к удалению и повторному созданию удостоверения сразу же после создания удостоверения. Включите для нового удостоверения разрешения Get, WrapKey и UnwrapKey в политике доступа Key Vault.
SsemUserErrorKeyVaultBadRequestException Применен ключ, управляемый клиентом, но доступ к ключу не предоставлен или отменен или не удается получить доступ к хранилищу ключей из-за включения брандмауэра. Добавьте удостоверение, выбранное в хранилище ключей, чтобы включить доступ к ключу, управляемому клиентом. Если в хранилище ключей включен брандмауэр, переключитесь на назначенное системой удостоверение, а затем добавьте управляемый клиентом ключ. Дополнительные сведения см. в статье Включение ключа.
SsemUserErrorKeyVaultDetailsNotFound Не удалось получить ключ доступа в качестве связанного хранилища ключей для ключа, управляемого клиентом, не удалось найти. Если вы удалили хранилище ключей, вы не сможете восстановить ключ, управляемый клиентом. Если вы перенесли хранилище ключей на другой клиент, см. статью Изменение идентификатора клиента хранилища ключей после перемещения подписки. Если вы удалили хранилище ключей:
  1. Да, если срок действия защиты от очистки не истек, выполните шаги, описанные в разделе Восстановление хранилища ключей.
  2. Нет, если истек срок действия защиты от очистки.

Кроме того, если хранилище ключей выполняет миграцию клиента, да, его можно восстановить с помощью одного из следующих шагов:
  1. Верните Key Vault обратно на старый клиент.
  2. Установите значение Identity = None, а затем верните обратно значение Identity = SystemAssigned. Это приведет к удалению и повторному созданию удостоверения сразу же после создания удостоверения. Включите для нового удостоверения разрешения Get, WrapKey и UnwrapKey в политике доступа Key Vault.
SsemUserErrorSystemAssignedIdentityAbsent Не удалось получить ключ доступа, так как ключ, управляемый клиентом, не удалось найти. Да, проверка, если:
  1. В Key Vault по-прежнему есть MSI в политике доступа.
  2. Удостоверение назначено системой.
  3. Включите Getи WrapKeyUnwrapKey разрешения для удостоверения в политике доступа к хранилищу ключей. Эти разрешения должны оставаться в течение всего времени существования заказа. Они используются во время создания заказа и в начале этапа копирования данных.
SsemUserErrorUserAssignedLimitReached Добавить новое назначенное пользователем удостоверение не удалось, так как достигнуто максимальное количество таких удостоверений, которое можно добавить. Повторите операцию с меньшим количеством удостоверений пользователей или удалите некоторые удостоверения, назначенные пользователем, из ресурса, прежде чем повторить попытку.
SsemUserErrorCrossTenantIdentityAccessForbidden Сбой операции доступа для управляемого удостоверения.
Примечание. Эта ошибка может возникать при перемещении подписки в другой клиент. Клиент должен вручную переместить удостоверение в новый клиент.		 Попробуйте добавить другое удостоверение, назначаемое пользователем, в хранилище ключей, чтобы включить доступ к ключу, управляемому клиентом. Или переместите удостоверение в новый клиент, в котором присутствует подписка. Дополнительные сведения см. в статье Включение ключа.
SsemUserErrorKekUserIdentityNotFound Применен ключ, управляемый клиентом, но назначаемый пользователем идентификатор, имеющий доступ к ключу, не найден в Active Directory.
Примечание. Эта ошибка может возникать при удалении удостоверения пользователя из Azure.		 Попробуйте добавить другое удостоверение, назначаемое пользователем, в хранилище ключей, чтобы включить доступ к ключу, управляемому клиентом. Дополнительные сведения см. в статье Включение ключа.
SsemUserErrorUserAssignedIdentityAbsent Не удалось получить ключ доступа, так как ключ, управляемый клиентом, не удалось найти. Не удалось получить доступ к ключу, управляемому клиентом. Назначенное пользователю удостоверение, связанное с ключом, удалено, или его тип изменился.
SsemUserErrorKeyVaultBadRequestException Применен ключ, управляемый клиентом, но доступ к ключу не был предоставлен или отменен, или хранилище ключей не удалось получить доступ, так как брандмауэр включен. Добавьте удостоверение, выбранное в хранилище ключей, чтобы включить доступ к ключу, управляемому клиентом. Если в хранилище ключей включен брандмауэр, переключитесь на назначаемое системой удостоверение, а затем добавьте управляемый клиентом ключ. Дополнительные сведения см. в статье Включение ключа.
SsemUserErrorEncryptionKeyTypeNotSupported Тип ключа шифрования не поддерживается для операции. Включите поддерживаемый тип шифрования ключа, например RSA или RSA-HSM. Дополнительные сведения см. в разделе "Типы ключей", "Алгоритмы" и "Операции".
SsemUserErrorSoftDeleteAndPurgeProtectionNotEnabled Хранилище ключей не включает обратимое удаление или защиту очистки. Убедитесь, что в хранилище ключей включена защита от обратимого удаления и очистки.
SsemUserErrorInvalidKeyVaultUrl
(только командная строка)		 Использовался недопустимый универсальный код ресурса (URI) хранилища ключей. Получение правильного универсального кода ресурса (URI) хранилища ключей. Чтобы получить URI хранилища ключей, используйте Get-AzKeyVault в PowerShell.
SsemUserErrorKeyVaultUrlWithInvalidScheme Только HTTPS поддерживается для передачи URI хранилища ключей. Передайте универсальный код ресурса (URI) хранилища ключей по протоколу HTTPS.
SsemUserErrorKeyVaultUrlInvalidHost Узел URI хранилища ключей не является допустимым узлом в географическом регионе. В общедоступном облаке универсальный код ресурса (URI) хранилища ключей должен заканчиваться vault.azure.net. В облаке Azure для государственных организаций универсальный код ресурса (URI) хранилища ключей должен заканчиватьсяvault.usgovcloudapi.net.
Общая ошибка Не удалось получить ключ доступа. Эта ошибка является универсальной ошибкой. Обратитесь в служба поддержки Майкрософт, чтобы устранить ошибку и определить дальнейшие действия.

Следующие шаги