Azure Key Vault'ta MARS aracısı parolasını güvenli bir şekilde kaydetme ve yönetme

Kurtarma Hizmetleri aracısını (MARS) kullanarak Azure Backup, dosyaları/klasörleri ve sistem durumu verilerini Azure Kurtarma Hizmetleri kasasına yedeklemenize olanak tanır. Bu veriler, MARS aracısının yüklenmesi ve kaydı sırasında sağladığınız bir parola kullanılarak şifrelenir. Bu parola yedekleme verilerini almak ve geri yüklemek için gereklidir ve güvenli bir dış konuma kaydedilmesi gerekir.

Önemli

Bu parola kaybolursa, Microsoft Kurtarma Hizmetleri kasasında depolanan yedekleme verilerini alamaz. Bu parolayı Azure Key Vault gibi güvenli bir dış konumda depolamanızı öneririz.

Artık yeni makinelerin yüklenmesi sırasında ve mevcut makinelerin parolasını değiştirerek şifreleme parolanızı Azure Key Vault'ta mars konsolundan gizli dizi olarak güvenli bir şekilde kaydedebilirsiniz. Parolanın Azure Key Vault'a kaydedilmesine izin vermek için Kurtarma Hizmetleri kasasına Azure Key Vault'ta gizli dizi oluşturma izinlerini vermelisiniz.

Başlamadan önce

• Kurtarma Hizmetleri kasanız yoksa kasa oluşturun.
• Tüm parolalarınızı depolamak için tek bir Azure Key Vault kullanmanız gerekir. Anahtar Kasanız yoksa key vault oluşturun.
• Parolanızı depolamak için yeni bir Azure Key Vault oluşturduğunuzda Azure Key Vault fiyatlandırması geçerlidir.
• Key Vault'u oluşturduktan sonra parolanın yanlışlıkla veya kötü amaçlı silinmesine karşı koruma sağlamak için geçici silme ve temizleme korumasının açık olduğundan emin olun.
• Bu özellik yalnızca MARS aracısı sürüm 2.0.9262.0 veya üzeri olan Azure genel bölgelerinde desteklenir.

Kurtarma Hizmetleri kasasını Azure Key Vault parolasını depolamak için yapılandırma

Parolanızı Azure Key Vault'a kaydetmeden önce Kurtarma Hizmetleri kasanızı ve Azure Key Vault'unuzu yapılandırın.

Kasayı yapılandırmak için, istenen sonuçları elde etmek için verilen sırada bu adımları izleyin. Her eylem aşağıdaki bölümlerde ayrıntılı olarak açıklanmıştır:

1. Kurtarma Hizmetleri kasası için sistem tarafından atanan yönetilen kimlik etkinleştirildi.
2. Parolayı Azure Key Vault'ta Gizli Dizi olarak kaydetmek için Kurtarma Hizmetleri kasasına izinler atayın.
3. Azure Key Vault'ta geçici silmeyi ve temizleme korumasını etkinleştirin.

Dekont

• Bu özelliği etkinleştirdikten sonra yönetilen kimliği devre dışı bırakmamalısınız (geçici olarak bile). Yönetilen kimliği devre dışı bırakmak tutarsız davranışlara neden olabilir.
• Kullanıcı tarafından atanan yönetilen kimlik şu anda Parolayı Azure Key Vault'a kaydetmek için desteklenmiyor.

Kurtarma Hizmetleri kasası için sistem tarafından atanan yönetilen kimliği etkinleştirme

bir istemci seçin:

Azure portalı

Şu adımları izleyin:

1. Kurtarma Hizmetleri kasa> kimliğinize gidin.

   

2. Sistem tarafından atanan sekmesini seçin.

3. Durum değerini Açık olarak değiştirin.

4. Kasa kimliğini etkinleştirmek için Kaydet'i seçin.

Kasanın sistem tarafından atanan yönetilen kimliği olan bir Nesne Kimliği oluşturulur.

PowerShell

Kurtarma Hizmetleri kasası için sistem tarafından atanan yönetilen kimliği etkinleştirmek için Update-AzRecoveryServicesVault cmdlet'ini kullanın.

Örnek

$vault=Get-AzRecoveryServicesVault -ResourceGroupName "testrg" -Name "testvault"
Update-AzRecoveryServicesVault -IdentityType SystemAssigned -ResourceGroupName TestRG -Name TestVault
$vault.Identity | fl

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : SystemAssigned

CLI

Kurtarma Hizmetleri kasası için sistem tarafından atanan yönetilen kimliği etkinleştirmek için komutunu kullanın az backup vault identity assign .

Örnek

az backup vault identity assign --system-assigned --resource-group MyResourceGroup --name MyVault

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : SystemAssigned

Parolayı Azure Key Vault'a kaydetmek için izinler atama

Key Vault için yapılandırılan Key Vault izin modeline (rol tabanlı erişim izinleri veya erişim ilkesi tabanlı izin modeli) bağlı olarak aşağıdaki bölümlere bakın.

Key Vault için rol tabanlı erişim izin modelini kullanarak izinleri etkinleştirme

bir istemci seçin:

Azure portalı

İzinleri atamak için şu adımları izleyin:

1. İzin modelinin RBAC olduğundan emin olmak için Azure Key Vault> Ayarlar> Access Yapılandırmanıza gidin.

   

2. Rol ataması eklemek için Erişim denetimi (IAM)>+Ekle'yi seçin.

3. Kurtarma Hizmetleri kasası kimliği, parolayı oluşturmak ve Key Vault'a gizli dizi olarak eklemek için Gizli Dizide Ayarla izni gerektirir.

   İzine sahip olan Key Vault Gizli Dizileri Yetkilisi gibi yerleşik bir rol seçebilir (bu özellik için gerekli olmayan diğer izinlerle birlikte) veya yalnızca Gizli Dizide Ayarla iznine sahip özel bir rol oluşturabilirsiniz.

   Ayrıntılar'ın altında Görünüm'ü seçerek rol tarafından verilen izinleri görüntüleyin ve Gizli Dizi üzerinde izin ayarla seçeneğinin kullanılabilir olduğundan emin olun.

   

   

4. İleri'yi seçerek atama için Üyeler'i seçin.

5. Yönetilen kimlik'i ve ardından + Üyeleri seçin'i seçin. Hedef Kurtarma Hizmetleri kasasının Aboneliği'ni seçin, Sistem tarafından atanan yönetilen kimlik altında Kurtarma Hizmetleri kasası'nı seçin.

   Kurtarma Hizmetleri kasasının adını arayın ve seçin.

   

6. İleri'yi seçin, ödevi gözden geçirin ve Gözden geçir ve ata'yı seçin.

   

7. Key Vault'ta Erişim denetimi (IAM) bölümüne gidin, Rol atamaları'nı seçin ve Kurtarma Hizmetleri kasasının listelendiğinden emin olun.

   

PowerShell

İzinleri atamak için aşağıdaki cmdlet'i çalıştırın:

#Find the application id for your recovery services vault
Get-AzADServicePrincipal -SearchString <principalName>
#Identify a role with Set permission on Secret, like Key Vault Secret Office
Get-AzRoleDefinition | Format-Table -Property Name, IsCustom, Id
#Assign role to Recovery Services Vault identity 
Get-AzRoleDefinition -Name <roleName>
#Assign by Service Principal ApplicationId
New-AzRoleAssignment -RoleDefinitionName 'Key Vault Secrets Officer' -ApplicationId {i.e 8ee5237a-816b-4a72-b605-446970e5f156} -Scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}

CLI

İzinleri atamak için aşağıdaki komutu çalıştırın:

#Find the application id for your recovery services vault
az ad sp list --all --filter "displayname eq '<my recovery vault name>' and servicePrincipalType eq 'ManagedIdentity'"
#Identify a role with Set permission on Secret, like Key Vault Secret Office
az role definition list --query "[].{name:name, roleType:roleType, roleName:roleName}" --output tsv
az role definition list --name "{roleName}"
#Assign role to Recovery Services Vault identity 
az role assignment create --role "Key Vault Secrets Officer" --assignee "<application id>" {i.e "55555555-5555-5555-5555-555555555555"} --scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}

Key Vault için Erişim İlkesi izin modelini kullanarak izinleri etkinleştirme

bir istemci seçin:

Azure portalı

Şu adımları izleyin:

1. Azure Key Vault>Erişim İlkeleri>Erişim ilkelerinize gidin ve + Oluştur'u seçin.

   

2. Gizli Dizi İzinleri'nin altında İşlemi ayarla'yı seçin.

   Bu, Gizli Dizi üzerinde izin verilen eylemleri belirtir.

   

3. Sorumlu Seç'e gidin ve adını veya yönetilen kimliğini kullanarak arama kutusunda kasanızı arayın.

   Arama sonucundan kasayı seçin ve Seç'i seçin.

   

4. Gözden geçir ve oluştur'a gidin, İzin ayarla'nın kullanılabilir olduğundan ve Sorumlunun doğru Kurtarma Hizmetleri kasası olduğundan emin olun ve oluştur'u seçin.

   

   

PowerShell

Kurtarma Hizmetleri kasasının Asıl Kimliğini almak için Get-AzADServicePrincipal cmdlet'ini kullanın. Ardından, Anahtar kasası için bir erişim ilkesi ayarlamak üzere Get-AzADServicePrincipal cmdlet'inde bu kimliği kullanın.

Örnek

$sp = Get-AzADServicePrincipal -DisplayName MyVault
$Set-AzKeyVaultAccessPolicy -VaultName myKeyVault -ObjectId $sp.Id -PermissionsToSecrets set

CLI

Kurtarma Hizmetleri kasasının asıl kimliğini almak için komutunu kullanın az ad sp list . Ardından komuttaki az keyvault set-policy bu kimliği kullanarak Anahtar kasası için bir erişim ilkesi ayarlayın.

Örnek

az ad sp list --display-name MyVault
az keyvault set-policy --name myKeyVault --object-id <object-id> --secret-permissions set

Azure Key Vault'ta geçici silme ve temizleme korumasını etkinleştirme

Şifreleme anahtarınızı depolayan Azure Key Vault'unuzda geçici silme ve temizleme korumasını etkinleştirmeniz gerekir.

İstemci seçme*

Azure portalı

Azure Key Vault'tan geçici silme ve temizleme korumasını etkinleştirebilirsiniz.

Alternatif olarak, Key Vault'ı oluştururken bu özellikleri ayarlayabilirsiniz. Bu Key Vault özellikleri hakkında daha fazla bilgi edinin.

PowerShell

1. Azure hesabınızda oturum açın.

   Login-AzAccount
   

2. Kasanızı içeren aboneliği seçin.

   Set-AzContext -SubscriptionId SubscriptionId
   

3. Geçici silmeyi etkinleştirin.

   ($resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "AzureKeyVaultName").ResourceId).Properties | Add-Member -MemberType "NoteProperty" -Name "enableSoftDelete" -Value "true"
   Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
   

4. Temizleme korumasını etkinleştirin.

   ($resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "AzureKeyVaultName").ResourceId).Properties | Add-Member -MemberType "NoteProperty" -Name "enablePurgeProtection" -Value "true"
   Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
   
   

CLI

1. Azure Hesabınızda oturum açın.

   az login
   

2. Kasanızı içeren aboneliği seçin.

   az account set --subscription "Subscription1"
   

3. Geçici silmeyi etkinleştirme

   az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-soft-delete true
   

4. Temizleme korumasını etkinleştirme

   az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-purge-protection true 
   

Yeni bir MARS yüklemesi için parolayı Azure Key Vault'a kaydetme

MARS aracısını yüklemeye devam etmeden önce Kurtarma Hizmetleri kasasını Azure Key Vault parolasını depolamak üzere yapılandırdığınızdan ve başarılı olduğunuzdan emin olun:

1. Kurtarma Hizmetleri kasanızı oluşturdunuz.

2. Kurtarma Hizmetleri kasasının sistem tarafından atanan yönetilen kimliği etkinleştirildi.

3. Key Vault'unuzda Gizli Dizi oluşturmak için Kurtarma Hizmetleri kasanıza atanan izinler.

4. Key Vault'unuz için geçici silme ve temizleme koruması etkinleştirildi.

5. MARS aracısını bir makineye yüklemek için Azure portalından MARS yükleyicisini indirin ve yükleme sihirbazını kullanın.

6. Kayıt sırasında Kurtarma Hizmetleri kasası kimlik bilgilerini sağladıktan sonra Şifreleme Ayarı'nda parolayı Azure Key Vault'a kaydetme seçeneğini belirleyin.

   

7. Parolanızı girin veya Parola Oluştur'a tıklayın.

8. Azure portalında Key Vault'unuzu açın, Key Vault URI'sini kopyalayın.

   

9. Key Vault URI'sini MARS konsoluna yapıştırın ve ardından Kaydet'i seçin.

   Hatayla karşılaşırsanız daha fazla bilgi için sorun giderme bölümüne bakın.

10. Kayıt başarılı olduktan sonra, tanımlayıcıyı Gizli Dizi'ye kopyalama seçeneği oluşturulur ve parola yerel olarak bir dosyaya KAYDEDILMEZ.

    

    Gelecekte bu MARS aracısı için parolayı değiştirirseniz, gizli dizinin yeni bir sürümü en son parolayla eklenir.

Yükleme betiğindeki yeni KeyVaultUri seçeneğini Set-OBMachineSetting command kullanarak bu işlemi otomatikleştirebilirsiniz.

Mevcut MARS yüklemesi için parolayı Azure Key Vault'a kaydetme

Mevcut bir MARS aracısı yüklemeniz varsa ve parolanızı Azure Key Vault'a kaydetmek istiyorsanız, aracınızı 2.0.9262.0 veya üzeri bir sürüme güncelleştirin ve bir değişiklik parola işlemi gerçekleştirin.

MARS aracınızı güncelleştirdikten sonra Kurtarma Hizmetleri kasasını Azure Key Vault parolasını depolamak üzere yapılandırdığınızdan ve başarılı olduğunuzdan emin olun:

1. Kurtarma Hizmetleri kasanızı oluşturdunuz.
2. Kurtarma Hizmetleri kasasının sistem tarafından atanan yönetilen kimliği etkinleştirildi.
3. Key Vault'unuzda Gizli Dizi oluşturmak için Kurtarma Hizmetleri kasanıza atanan izinler.
4. Key Vault'unuz için geçici silme ve temizleme koruması etkinleştirildi

Parolayı Key Vault'a kaydetmek için:

1. MARS aracı konsolunu açın.

   Parolayı Azure Key Vault'a kaydetmek için bir bağlantı seçmenizi isteyen bir başlık görmeniz gerekir.

   Alternatif olarak, devam etmek için Özellikleri>Değiştir Parolayı Değiştir'i seçin.

   

2. Özellikleri Değiştir iletişim kutusunda, Anahtar Kasası URI'sini sağlayarak parolayı Key Vault'a kaydetme seçeneği görüntülenir.

   Dekont

   Makine parolayı Key Vault'a kaydedecek şekilde zaten yapılandırılmışsa, Key Vault URI'si metin kutusuna otomatik olarak doldurulur.

   

3. Azure portalını açın, Key Vault'unuzu açın ve ardından Key Vault URI'sini kopyalayın.

   

4. Key Vault URI'sini MARS konsoluna yapıştırın ve tamam'ı seçin.

   Hatayla karşılaşırsanız daha fazla bilgi için sorun giderme bölümüne bakın.

5. Parola değiştirme işlemi başarılı olduktan sonra, tanımlayıcıyı Gizli Diziye kopyalama seçeneği oluşturulur ve parola yerel olarak bir dosyaya KAYDEDILMEZ.

   

   Gelecekte bu MARS aracısı için parolayı değiştirirseniz, gizli dizinin yeni bir sürümü en son parolayla eklenir.

Set-OBMachineSetting cmdlet'indeki yeni KeyVaultUri seçeneğini kullanarak bu adımı otomatikleştirebilirsiniz.

Bir makine için Azure Key Vault'tan parola alma

Makineniz kullanılamaz duruma gelirse ve yedek verileri alternatif konum geri yükleme yoluyla Kurtarma Hizmetleri kasasından geri yüklemeniz gerekiyorsa, devam etmek için makinenin parolasına ihtiyacınız vardır.

Parola, Azure Key Vault'a Gizli Dizi olarak kaydedilir. Makine başına bir Gizli Dizi oluşturulur ve makinenin parolası değiştirildiğinde Gizli Diziye yeni bir sürüm eklenir. Gizli dizi olarak AzBackup-machine fully qualified name-vault nameadlandırılır.

Makinenin parolasını bulmak için:

1. Azure portalında, makinenin parolasını kaydetmek için kullanılan Key Vault'ı açın.

   Tüm parolalarınızı kaydetmek için tek bir Key Vault kullanmanızı öneririz.

2. Gizli Diziler'i seçin ve adlı AzBackup-<machine name>-<vaultname>gizli diziyi arayın.

   

3. Gizli Dizi'yi seçin, en son sürümü açın ve Gizli Dizi değerini kopyalayın.

   Bu, kurtarma sırasında kullanılacak makinenin parolasıdır.

   

   Key Vault'ta çok sayıda Gizli Diziniz varsa, gizli diziyi listelemek ve aramak için Key Vault CLI'sini kullanın.

az keyvault secret list --vault-name 'myvaultname’ | jq '.[] | select(.name|test("AzBackup-<myvmname>"))'

Yaygın senaryolarda sorun giderme

Bu bölümde parolaYı Azure Key Vault'a kaydederken sık karşılaşılan hatalar listelenir.

Sistem kimliği yapılandırılmadı – 391224

Neden: Kurtarma Hizmetleri kasasında sistem tarafından atanan bir yönetilen kimlik yapılandırılmamışsa bu hata oluşur.

Önerilen eylem: Sistem tarafından atanan yönetilen kimliğin önkoşullara göre Kurtarma Hizmetleri kasası için doğru yapılandırıldığından emin olun.

İzinler yapılandırılmadı – 391225

Neden: Kurtarma Hizmetleri kasası sistem tarafından atanan yönetilen bir kimliğe sahiptir, ancak hedef Key Vault'ta Gizli Dizi oluşturma iznine sahip değildir.

Önerilen eylem:

1. Kullanılan kasa kimlik bilgilerinin hedeflenen kurtarma hizmetleri kasasına karşılık olduğundan emin olun.
2. Key Vault URI'sinin hedeflenen Key Vault'a karşılık olduğundan emin olun.
3. Kurtarma Hizmetleri kasası adının Anahtar Kasası - Erişim ilkeleri ->> Uygulama altında, Gizli Dizi İzinleri Ayarlanmış olarak listelendiğinden emin olun.

Listede yoksa, izni yeniden yapılandırın.

Azure Key Vault URI'sı yanlış - 100272

Neden: Girilen Key Vault URI'si doğru biçimde değil.

Önerilen eylem: Azure portalından kopyalanan bir Key Vault URI'sini girdiğinizden emin olun. Örneğin, https://myvault.vault.azure.net/.

 

UserErrorSecretExistsSoftDeleted (391282)

Neden: Key Vault'ta beklenen biçimde bir gizli dizi zaten var, ancak geçici olarak silinmiş durumda. Gizli dizi geri yüklenmediği sürece MARS, söz konusu makinenin parolasını sağlanan Key Vault'a kaydedemez.

Önerilen eylem: Kasada adıyla AzBackup-<machine name>-<vaultname> bir gizli dizi olup olmadığını ve geçici olarak silinmiş durumda olup olmadığını denetleyin. Parolayı kaydetmek için geçici olarak silinen Gizli Diziyi kurtarın.

UserErrorKeyVaultSoftDeleted (391283)

Neden: MARS'a sağlanan Key Vault geçici olarak silinmiş durumda.

Önerilen eylem: Key Vault'un kurtarılması veya yeni bir Key Vault sağlanması.

Kayıt tamamlanmadı

Neden: Parolayı kaydederek MARS kaydını tamamlamadınız. Bu nedenle, kaydolana kadar yedeklemeleri yapılandıramazsınız.

Önerilen eylem: Uyarı iletisini seçin ve kaydı tamamlayın.