Использование ключей, управляемых клиентом, в Azure Key Vault для службы импорта и экспорта

Служба импорта и экспорта Azure защищает ключи BitLocker, используемые для блокировки дисков с помощью ключа шифрования. По умолчанию ключи BitLocker шифруются с помощью ключей, управляемых корпорацией Майкрософт. Для дополнительного контроля над ключами шифрования можно также предоставить управляемые клиентом ключи.

Управляемые клиентом ключи должны быть созданы и сохранены в Azure Key Vault. Дополнительные сведения об Azure Key Vault см. в статье Что такое Azure Key Vault?

В этой статье показано, как использовать управляемые клиентом ключи для службы импорта и экспорта на портале Azure.

Необходимые компоненты

Перед тем как начать, убедитесь в следующем:

1. Вы создали задание импорта или экспорта согласно следующим инструкциям:

   • Создание задания импорта для больших двоичных объектов.
   • Создание задания импорта для файлов.
   • Создание задания экспорта для больших двоичных объектов.

2. У вас уже есть Azure Key Vault с ключом, который можно использовать для защиты ключа BitLocker. Сведения о создании хранилища ключей с помощью портала Azure см. в статье Краткое руководство. Создание хранилища ключей с помощью портала Azure.

   • Функции обратимого удаления и Do not purge (Не очищать) установлены для существующего решения Key Vault. По умолчанию эти свойства отключены. Чтобы включить эти свойства, см. разделы Включение обратимого удаления и Включение защиты от очистки в одной из следующих статей:

     • Как использовать обратимое удаление в Key Vault с помощью PowerShell.
     • Как использовать обратимое удаление в Key Vault с помощью интерфейса командной строки.

   • Существующее хранилище Key Vault должно иметь ключ RSA размером 2048 бит или более. Подробнее см. в статье Сведения о ключах.

   • Key Vault должно находиться в том же регионе, что и учетная запись хранения ваших данных.

   • Вы можете создать встроенное решение Azure Key Vault, если его у вас нет, как описано в следующем разделе.

Включение ключей

Настройка управляемого клиентом ключа для службы импорта и экспорта является необязательной. По умолчанию служба импорта и экспорта использует ключ под управлением корпорации Майкрософт для защиты ключа BitLocker. Чтобы включить управляемый клиентом ключ на портале Azure, выполните следующие действия.

1. Перейдите к колонке Обзор для задания импорта.

2. В правой области выберите Choose how your BitLocker keys are encrypted (Выберите способ шифрования ключей BitLocker).

   

3. В колонке Шифрование можно просмотреть и скопировать ключ BitLocker устройства. В разделе Тип шифрования можно выбрать способ защиты ключа BitLocker. По умолчанию используется ключ под управлением корпорации Майкрософт.

   

4. Вы можете указать управляемый клиентом ключ. Выбрав управляемый клиентом ключ, щелкните Выберите хранилище ключей и ключ.

   

5. В колонке Select key from Azure Key Vault (Выбор ключа из Azure Key Vault) подписка заполняется автоматически. Для поля Хранилище ключей можно выбрать существующее хранилище Key Vault из раскрывающегося списка.

   

6. Чтобы создать Key Vault, можно также выбрать Создать. В колонке Создать Key Vault введите группу ресурсов и имя Key Vault. Примите все остальные значения по умолчанию. Выберите Review + Create (Просмотреть и создать).

   

7. Проверьте сведения, связанные с Key Vault, и выберите Создать. Подождите несколько минут, пока не завершится создание Key Vault.

   

8. В колонке Select key from Azure Key Vault (Выбор ключа из Azure Key Vault) можно выбрать ключ в существующем Key Vault.

9. После создания Key Vault выберите Создать, чтобы создать ключ. Размер ключа RSA может быть 2048 бит или больше.

   

   Если при создании Key Vault отключена защита от обратимого удаления и очистки, Key Vault будет обновлено для включения этих функций.

10. Укажите имя ключа, примите остальные значения по умолчанию и нажмите кнопку Создать.

    

11. Выберите версию и нажмите кнопку Выбрать. Вы получите уведомление о том, что в Key Vault создан ключ.

    

В колонке Шифрование можно просмотреть Key Vault и ключ, выбранный для управляемого клиентом ключа.

Внимание

Вы можете отключить только ключи под управлением корпорации Майкрософт и перейти на управляемые клиентом ключи на любом этапе задания импорта и экспорта. Однако нельзя отключить управляемый клиентом ключ после его создания.

Устранение ошибок ключей, управляемых клиентом

Если вы получаете ошибки, связанные с управляемым клиентом ключом, воспользуйтесь следующей таблицей для устранения неполадок:

Код ошибки	Сведения	Восстановимая
CmkErrorAccessRevoked	Доступ к управляемому клиентом ключу отозван.	Да, проверьте, есть ли: В Key Vault по-прежнему есть MSI в политике доступа. Политика доступа включает разрешения на получение, упаковку и распаковку. Если Key Vault находится в виртуальной сети за брандмауэром, проверьте, включен ли параметр Разрешить доверенные службы Майкрософт. Проверьте, установлено ли для MSI ресурса задания значение None с помощью интерфейсов API. Если да, то снова установите значение Identity = SystemAssigned. Это повторно создаст удостоверение для ресурса задания. После создания удостоверения включите для него разрешения Get, Wrap и Unwrap в политике доступа Key Vault.
CmkErrorKeyDisabled	Управляемый клиентом ключ отключен.	Да, включив версию ключа.
CmkErrorKeyNotFound	Не удается найти управляемый клиентом ключ.	Да, если ключ был удален, но все еще находится в пределах периода очистки, отмените удаление ключа Key vault. Еще Да, если пользователь имеет резервную копию ключа и восстанавливает его. Нет, в противном случае.
CmkErrorVaultNotFound	Не удается найти Key Vault для управляемого клиентом ключа.	Если Key Vault удалено: Да, если срок действия защиты от очистки не истек, выполните шаги, описанные в разделе Восстановление хранилища ключей. Нет, если истек срок действия защиты от очистки. В противном случае, если Key Vault было перенесено на другой клиент, его можно восстановить, выполнив одно из следующих действий: Верните Key Vault обратно на старый клиент. Установите значение Identity = None, а затем верните обратно значение Identity = SystemAssigned. Это приведет к удалению и повторному созданию удостоверения сразу же после создания удостоверения. Включите для нового удостоверения разрешения Get, Wrap и Unwrap в политике доступа Key Vault.

Следующие шаги

• Об Azure Key Vault