Шаг 2. Миграция ключей, защищенных HSM, в миграцию ключей, защищенных HSM

Эти инструкции являются частью пути миграции из AD RMS в Azure Information Protection и применимы только в том случае, если ключ AD RMS RMS защищен HSM и вы хотите перейти в Azure Information Protection с ключом клиента, защищенным HSM, в Azure Key Vault.

Если это не выбранный сценарий конфигурации, вернитесь к шагу 4. Экспортируйте данные конфигурации из AD RMS и импортируйте их в Azure RMS и выберите другую конфигурацию.

Примечание.

В этих инструкциях предполагается, что ключ AD RMS защищен модулем. Это наиболее типичный случай.

Это двух частей процедура импорта ключа HSM и конфигурации AD RMS в Azure Information Protection, чтобы привести к ключу клиента Azure Information Protection, управляемому вами (BYOK).

Так как ключ клиента Azure Information Protection будет храниться и управляться Azure Key Vault, эта часть миграции требует администрирования в Azure Key Vault, а также Azure Information Protection. Если Azure Key Vault управляется другим администратором, чем вы для вашей организации, необходимо координировать и работать с этим администратором, чтобы выполнить эти процедуры.

Прежде чем начать, убедитесь, что у вашей организации есть хранилище ключей, созданное в Azure Key Vault, и что он поддерживает ключи, защищенные HSM. Хотя это не обязательно, рекомендуется использовать выделенное хранилище ключей для Azure Information Protection. Это хранилище ключей будет настроено для разрешения доступа к службе Azure Rights Management, поэтому ключи, которые хранятся в этом хранилище ключей, должны быть ограничены только ключами Azure Information Protection.

Совет

Если вы выполняете действия по настройке Azure Key Vault и не знакомы с этой службой Azure, возможно, вам будет полезно сначала ознакомиться с Azure Key Vault.

Часть 1. Передача ключа HSM в Azure Key Vault

Эти процедуры выполняются администратором Azure Key Vault.

1. Для каждого экспортированного ключа SLC, который вы хотите сохранить в Azure Key Vault, следуйте инструкциям из документации по Azure Key Vault, используя реализацию собственного ключа (BYOK) для Azure Key Vault со следующим исключением:

   • Не следуйте инструкциям по созданию ключа клиента, так как у вас уже есть эквивалент развертывания AD RMS. Вместо этого определите ключи, используемые сервером AD RMS из установки nCipher, и подготовьте эти ключи для передачи, а затем перенесите их в Azure Key Vault.

     Зашифрованные файлы ключей для nCipher именуются key_<keyAppName>_<keyIdentifier> локально на сервере. Например, C:\Users\All Users\nCipher\Key Management Data\local\key_mscapi_f829e3d888f6908521fe3d91de51c25d27116a54. Вам потребуется значение mscapi в качестве keyAppName и собственное значение идентификатора ключа при выполнении команды KeyTransferRemote, чтобы создать копию ключа с уменьшенными разрешениями.

     При отправке ключа в Azure Key Vault отображаются свойства ключа, включающее идентификатор ключа. Он должен выглядеть примерно так: https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333.. Запишите этот URL-адрес, так как администратор Azure Information Protection должен сообщить службе Azure Rights Management использовать этот ключ для ключа клиента.

2. На рабочей станции, подключенной к Интернету, в сеансе PowerShell используйте командлет Set-AzKeyVaultAccessPolicy для авторизации субъекта-службы Azure Rights Management для доступа к хранилищу ключей, которое будет хранить ключ клиента Azure Information Protection. Необходимые разрешения — расшифровка, шифрование, распаковка, оболочка, проверка и подпись.

   Например, если хранилище ключей, созданное для Azure Information Protection, называется contoso-byok-ky, а группа ресурсов называется contoso-byok-rg, выполните следующую команду:

   Set-AzKeyVaultAccessPolicy -VaultName "contoso-byok-kv" -ResourceGroupName "contoso-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
   

Теперь, когда вы подготовили ключ HSM в Azure Key Vault для службы Azure Rights Management из Azure Information Protection, вы готовы импортировать данные конфигурации AD RMS.

Часть 2. Импорт данных конфигурации в Azure Information Protection

Эти процедуры выполняются администратором Azure Information Protection.

1. На рабочей станции подключения к Интернету и в сеансе PowerShell подключитесь к службе Azure Rights Management с помощью командлета Подключение-AipService.

   Затем отправьте каждый доверенный файл домена публикации (XML) с помощью командлета Import-AipServiceTpd . Например, при обновлении кластера AD RMS для режима шифрования 2 должен быть по крайней мере один дополнительный файл.

   Чтобы запустить этот командлет, вам потребуется пароль, указанный ранее для каждого файла данных конфигурации, и URL-адрес ключа, который был определен на предыдущем шаге.

   Например, используя файл данных конфигурации C:\contoso-tpd1.xml и значение URL-адреса ключа из предыдущего шага, сначала выполните следующее, чтобы сохранить пароль:

    $TPD_Password = Read-Host -AsSecureString
   

   Введите пароль, указанный для экспорта файла данных конфигурации. Затем выполните следующую команду и убедитесь, что вы хотите выполнить это действие:

   Import-AipServiceTpd -TpdFile "C:\contoso-tpd1.xml" -ProtectionPassword $TPD_Password –KeyVaultKeyUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
   

   В рамках этого импорта ключ SLC импортируется и автоматически устанавливается как архивированный.

2. После отправки каждого файла запустите Set-AipServiceKeyProperties , чтобы указать, какой импортированный ключ соответствует активному ключу SLC в кластере AD RMS. Этот ключ становится активным ключом клиента для службы Azure Rights Management.

3. Используйте командлет Disconnect-AipServiceServiceService, чтобы отключиться от службы Azure Rights Management:

   Disconnect-AipServiceService
   

Если вам потребуется подтвердить, какой ключ клиента Azure Information Protection используется в Azure Key Vault, используйте командлет Get-AipServiceKeys Azure RMS.

Теперь вы готовы перейти к шагу 5. Активируйте службу Azure Rights Management.