Устранение неполадок, связанных с ключом, управляемым клиентом

  • Статья

Эта статья является четвертой частью в серии учебников из четырех частей. Первая часть содержит общие сведения о ключах, управляемых клиентом, их функциях и рекомендациях перед их включением в реестре. Во второй части вы узнаете, как включить ключ, управляемый клиентом, с помощью Azure CLI, портал Azure или шаблона azure Resource Manager. В третьей части вы узнаете, как сменить, обновить и отозвать ключ, управляемый клиентом. Эта статья поможет устранить распространенные проблемы с ключами, управляемыми клиентом.

Ошибка при удалении управляемого удостоверения

При попытке удалить управляемое удостоверение, назначаемое пользователем или системой, которое использовалось для настройки шифрования для реестра, может появиться ошибка:

Azure resource '/subscriptions/xxxx/resourcegroups/myGroup/providers/Microsoft.ContainerRegistry/registries/myRegistry' does not have access to identity 'xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx' Try forcibly adding the identity to the registry <registry name>. For more information on bring your own key, please visit 'https://aka.ms/acr/cmk'.

Невозможно изменить (сменить) ключ шифрования. Действия по разрешению зависят от типа удостоверения, используемого для шифрования.

Удаление назначаемого пользователем удостоверения

Если при попытке удалить назначаемое пользователем удостоверение возникает ошибка, выполните следующие действия.

  1. Переназначьте назначаемое пользователем удостоверение с помощью команды az acr identity assign .

  2. Передайте идентификатор ресурса, назначаемого пользователем, или используйте имя удостоверения, если оно находится в той же группе ресурсов, что и реестр.

    Пример:

    az acr identity assign -n myRegistry \
    --identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"

  3. Измените ключ и назначьте другое удостоверение.

  4. Теперь можно удалить исходное удостоверение, назначаемое пользователем.

Удаление удостоверения, назначаемого системой

Если при попытке удалить удостоверение, назначаемое системой, возникает ошибка, создайте запрос на поддержка Azure для помощи в восстановлении удостоверения.

Ошибка после включения брандмауэра хранилища ключей

Если вы включите брандмауэр хранилища ключей или виртуальную сеть после создания зашифрованного реестра, вы можете увидеть HTTP 403 или другие ошибки при импорте образа или автоматической ротации ключей. Чтобы устранить эту проблему, перенастройте управляемое удостоверение и ключ, которые изначально использовались для шифрования. См. инструкции в статье Смена ключа, управляемого клиентом.

Если проблема не исчезла, обратитесь в службу поддержки Azure.

Ошибка истечения срока действия удостоверения

Удостоверение, присоединенное к реестру, настроено для автоматического изменения, чтобы избежать истечения срока действия. При отмене связи удостоверения с реестром появляется сообщение об ошибке, объясняющее, что не удается удалить удостоверение, используемое для CMK. Попытка удалить удостоверение ставит под угрозу автоматическое восстановление удостоверения. Операции извлечения и отправки артефакта работают до истечения срока действия удостоверения (обычно три месяца). После истечения срока действия удостоверения вы увидите HTTP 403 с сообщением об ошибке "Удостоверение, связанное с реестром, неактивно. Это может быть вызвано попыткой удаления удостоверения. Переназначение удостоверения вручную".

Необходимо явно переназначить удостоверение обратно в реестр.

  1. Выполните команду az acr identity assign , чтобы переназначить удостоверение вручную.

    • Например, примененная к объекту директива
    az acr identity assign -n myRegistry \
--identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"

Случайное удаление хранилища ключей или ключа

Удаление хранилища ключей или ключа, используемого для шифрования реестра с помощью ключа, управляемого клиентом, делает содержимое реестра недоступным. Если обратимое удаление включено в хранилище ключей (параметр по умолчанию), можно восстановить объект удаленного хранилища или хранилища ключей и возобновить операции с реестром.

Дальнейшие действия

Сценарии об удалении и восстановлении хранилища ключей см. в статье Управление восстановлением Azure Key Vault с обратимым удалением и защитой от очистки.