Шаг 2. Перенос аппаратно защищенного ключа в аппаратно защищенный ключ

Эти инструкции, входят в цикл статей по переходу с AD RMS на службу Azure Information Protection. Они применяются только в том случае, если ваш ключ службы AD RMS защищен аппаратно (HSM) и вы хотите перейти на Azure Information Protection с аппаратно защищенным (HSM) ключом в хранилище ключей Azure.

Если это не выбранный сценарий конфигурации, вернитесь к шагу 4. Экспортируйте данные конфигурации из AD RMS и импортируйте их в Azure RMS и выберите другую конфигурацию.

Примечание

Эти инструкции написаны с учетом того, что ваш ключ служб Active Directory Rights Management защищен аппаратным модулем. Это наиболее распространенный случай.

Это двухэтапная процедура импорта ключа HSM и данных конфигурации службы AD RMS в службу Azure Information Protection с последующим получением ключа клиента Azure Information Protection, которым вы управляете сами (BYOK).

Поскольку хранение ключа клиента Azure Information Protection и управление им будет осуществляться хранилищем ключей Azure, эта часть процедуры миграции требует участия администратора хранилища ключей Azure, а не только службы Azure Information Protection. Если администратор Azure Key Vault отличается от администратора организации, вам потребуется координировать работу этих администраторов для выполнения необходимых процедур.

Прежде чем приступить к работе, убедитесь, что в вашей организации есть хранилище ключей, созданное в хранилище ключей Azure, и что оно поддерживает ключи, защищенные аппаратным модулем безопасности. Это необязательно, однако рекомендуется иметь выделенное хранилище ключей для Azure Information Protection. Доступ к этому хранилищу ключей должен быть открыт для службы Azure Rights Management, поэтому в нем должны храниться только ключи Azure Information Protection.

Совет

Если вам требуется настроить Azure Key Vault, но вы не вполне знакомы с этой службой Azure, можно порекомендовать сначала ознакомиться со статьей Приступая к работе с хранилищем ключей Azure.

Часть 1. Передача ключа HSM в хранилище ключей Azure

Эти процедуры выполняются администратором хранилища ключей Azure.

  1. Для каждого экспортированного ключа SLC, который нужно хранить в Azure Key Vault, сделайте следующее в разделе Реализация сценария BYOK для Azure Key Vault документации по Azure Key Vault, за исключением этого.

    • Не выполняйте действия в разделе Создание ключа клиента, так как у вас уже имеется его аналог из развертывания службы AD RMS. Вместо этого определите ключи, используемые сервером AD RMS, из установки nCipher и подготовьте эти ключи для передачи, а затем перенесите их в Azure 密钥保管库.

      Зашифрованные файлы ключей для nCipher называются локально key_<keyAppName>_<keyIdentifier> на сервере. Например, C:\Users\All Users\nCipher\Key Management Data\local\key_mscapi_f829e3d888f6908521fe3d91de51c25d27116a54. Вам потребуется значение mscapi в качестве keyAppName и собственное значение идентификатора ключа при выполнении команды KeyTransferRemote, чтобы создать копию ключа с ограниченными разрешениями.

      При передаче ключа в хранилище ключей Azure отображаются свойства ключа, включая его идентификатор. Он должен выглядеть примерно так: https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333.. Запишите этот URL-адрес, так как он потребуется администратору Azure Information Protection, чтобы дать службе Azure Rights Management указание использовать этот ключ в качестве ключа клиента.

  2. На рабочей станции, подключенной к Интернету, в сеансе PowerShell используйте командлет Set-AzKeyVaultAccessPolicy, чтобы авторизовать субъект-службу Azure Rights Management для доступа к хранилищу ключей, которое будет хранить ключ клиента Azure Information Protection. Необходимые разрешения: decrypt, encrypt, unwrapkey, wrapkey, verify и sign.

    Например, если хранилище ключей, созданное для Azure Information Protection, называется contoso-byok-ky, а группа ресурсов — contoso-byok-rg, выполните следующую команду:

    Set-AzKeyVaultAccessPolicy -VaultName "contoso-byok-kv" -ResourceGroupName "contoso-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
    

После подготовки ключа HSM в хранилище ключей Azure для службы Azure Rights Management из Azure Information Protection можно импортировать данные конфигурации AD RMS.

Часть 2. Импорт данных конфигурации в службу Azure Information Protection

Эти процедуры выполняются администратором Azure Information Protection.

  1. На рабочей станции подключения к Интернету и в сеансе PowerShell подключитесь к службе Azure Rights Management с помощью командлета Connect-AipService .

    Затем отправьте каждый доверенный файл домена публикации (.xml) с помощью командлета Import-AipServiceTpd . Например, у вас должен быть хотя бы один дополнительный файл для импорта, если вы обновили кластер AD RMS до режима шифрования 2.

    Для выполнения этого командлета потребуется пароль, указанный ранее для каждого файла данных конфигурации, и URL-адрес для ключа, предоставленный на предыдущем шаге.

    Например, при использовании файла данных C:\contoso-tpd1.xml и значения URL-адреса ключа из предыдущего шага сначала запустите следующую команду, чтобы сохранить пароль:

     $TPD_Password = Read-Host -AsSecureString
    

    Введите пароль, указанный для экспорта файла данных конфигурации. Затем выполните следующую команду и подтвердите, что хотите сделать следующее:

    Import-AipServiceTpd -TpdFile "C:\contoso-tpd1.xml" -ProtectionPassword $TPD_Password –KeyVaultKeyUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
    

    При импорте ключ SLC импортируется и автоматически указывается как заархивированный.

  2. После отправки каждого файла запустите Set-AipServiceKeyProperties , чтобы указать, какой импортированный ключ соответствует активному ключу SLC в кластере AD RMS. Этот ключ станет активным ключом клиента для службы Azure Rights Management.

  3. Используйте командлет Disconnect-AipServiceService , чтобы отключиться от службы Azure Rights Management:

    Disconnect-AipServiceService
    

Если позже потребуется подтвердить, какой ключ используется в 密钥保管库 Azure Information Protection ключ клиента, используйте командлет Get-AipServiceKeys Azure RMS.

Теперь вы готовы перейти к шагу 5. Активируйте службу Azure Rights Management.