Azure Key Vault'ta MARS aracısı parolasını güvenli bir şekilde kaydetme ve yönetme
Kurtarma Hizmetleri aracısını (MARS) kullanarak Azure Backup, dosyaları/klasörleri ve sistem durumu verilerini Azure Kurtarma Hizmetleri kasasına yedeklemenize olanak tanır. Bu veriler, MARS aracısının yüklenmesi ve kaydı sırasında sağladığınız bir parola kullanılarak şifrelenir. Bu parola yedekleme verilerini almak ve geri yüklemek için gereklidir ve güvenli bir dış konuma kaydedilmesi gerekir.
Önemli
Bu parola kaybolursa, Microsoft Kurtarma Hizmetleri kasasında depolanan yedekleme verilerini alamaz. Bu parolayı Azure Key Vault gibi güvenli bir dış konumda depolamanızı öneririz.
Artık yeni makinelerin yüklenmesi sırasında ve mevcut makinelerin parolasını değiştirerek şifreleme parolanızı Azure Key Vault'ta mars konsolundan gizli dizi olarak güvenli bir şekilde kaydedebilirsiniz. Parolanın Azure Key Vault'a kaydedilmesine izin vermek için Kurtarma Hizmetleri kasasına Azure Key Vault'ta gizli dizi oluşturma izinlerini vermelisiniz.
Başlamadan önce
- Kurtarma Hizmetleri kasanız yoksa kasa oluşturun.
- Tüm parolalarınızı depolamak için tek bir Azure Key Vault kullanmanız gerekir. Anahtar Kasanız yoksa key vault oluşturun.
- Parolanızı depolamak için yeni bir Azure Key Vault oluşturduğunuzda Azure Key Vault fiyatlandırması geçerlidir.
- Key Vault'u oluşturduktan sonra parolanın yanlışlıkla veya kötü amaçlı silinmesine karşı koruma sağlamak için geçici silme ve temizleme korumasının açık olduğundan emin olun.
- Bu özellik yalnızca MARS aracısı sürüm 2.0.9262.0 veya üzeri olan Azure genel bölgelerinde desteklenir.
Kurtarma Hizmetleri kasasını Azure Key Vault parolasını depolamak için yapılandırma
Parolanızı Azure Key Vault'a kaydetmeden önce Kurtarma Hizmetleri kasanızı ve Azure Key Vault'unuzu yapılandırın.
Kasayı yapılandırmak için, istenen sonuçları elde etmek için verilen sırada bu adımları izleyin. Her eylem aşağıdaki bölümlerde ayrıntılı olarak açıklanmıştır:
- Kurtarma Hizmetleri kasası için sistem tarafından atanan yönetilen kimlik etkinleştirildi.
- Parolayı Azure Key Vault'ta Gizli Dizi olarak kaydetmek için Kurtarma Hizmetleri kasasına izinler atayın.
- Azure Key Vault'ta geçici silmeyi ve temizleme korumasını etkinleştirin.
Dekont
- Bu özelliği etkinleştirdikten sonra yönetilen kimliği devre dışı bırakmamalısınız (geçici olarak bile). Yönetilen kimliği devre dışı bırakmak tutarsız davranışlara neden olabilir.
- Kullanıcı tarafından atanan yönetilen kimlik şu anda Parolayı Azure Key Vault'a kaydetmek için desteklenmiyor.
Kurtarma Hizmetleri kasası için sistem tarafından atanan yönetilen kimliği etkinleştirme
bir istemci seçin:
Şu adımları izleyin:
Kurtarma Hizmetleri kasa> kimliğinize gidin.
Sistem tarafından atanan sekmesini seçin.
Durum değerini Açık olarak değiştirin.
Kasa kimliğini etkinleştirmek için Kaydet'i seçin.
Kasanın sistem tarafından atanan yönetilen kimliği olan bir Nesne Kimliği oluşturulur.
Parolayı Azure Key Vault'a kaydetmek için izinler atama
Key Vault için yapılandırılan Key Vault izin modeline (rol tabanlı erişim izinleri veya erişim ilkesi tabanlı izin modeli) bağlı olarak aşağıdaki bölümlere bakın.
Key Vault için rol tabanlı erişim izin modelini kullanarak izinleri etkinleştirme
bir istemci seçin:
İzinleri atamak için şu adımları izleyin:
İzin modelinin RBAC olduğundan emin olmak için Azure Key Vault> Ayarlar> Access Yapılandırmanıza gidin.
Rol ataması eklemek için Erişim denetimi (IAM)>+Ekle'yi seçin.
Kurtarma Hizmetleri kasası kimliği, parolayı oluşturmak ve Key Vault'a gizli dizi olarak eklemek için Gizli Dizide Ayarla izni gerektirir.
İzine sahip olan Key Vault Gizli Dizileri Yetkilisi gibi yerleşik bir rol seçebilir (bu özellik için gerekli olmayan diğer izinlerle birlikte) veya yalnızca Gizli Dizide Ayarla iznine sahip özel bir rol oluşturabilirsiniz.
Ayrıntılar'ın altında Görünüm'ü seçerek rol tarafından verilen izinleri görüntüleyin ve Gizli Dizi üzerinde izin ayarla seçeneğinin kullanılabilir olduğundan emin olun.
İleri'yi seçerek atama için Üyeler'i seçin.
Yönetilen kimlik'i ve ardından + Üyeleri seçin'i seçin. Hedef Kurtarma Hizmetleri kasasının Aboneliği'ni seçin, Sistem tarafından atanan yönetilen kimlik altında Kurtarma Hizmetleri kasası'nı seçin.
Kurtarma Hizmetleri kasasının adını arayın ve seçin.
İleri'yi seçin, ödevi gözden geçirin ve Gözden geçir ve ata'yı seçin.
Key Vault'ta Erişim denetimi (IAM) bölümüne gidin, Rol atamaları'nı seçin ve Kurtarma Hizmetleri kasasının listelendiğinden emin olun.
Key Vault için Erişim İlkesi izin modelini kullanarak izinleri etkinleştirme
bir istemci seçin:
Şu adımları izleyin:
Azure Key Vault>Erişim İlkeleri>Erişim ilkelerinize gidin ve + Oluştur'u seçin.
Gizli Dizi İzinleri'nin altında İşlemi ayarla'yı seçin.
Bu, Gizli Dizi üzerinde izin verilen eylemleri belirtir.
Sorumlu Seç'e gidin ve adını veya yönetilen kimliğini kullanarak arama kutusunda kasanızı arayın.
Arama sonucundan kasayı seçin ve Seç'i seçin.
Gözden geçir ve oluştur'a gidin, İzin ayarla'nın kullanılabilir olduğundan ve Sorumlunun doğru Kurtarma Hizmetleri kasası olduğundan emin olun ve oluştur'u seçin.
Azure Key Vault'ta geçici silme ve temizleme korumasını etkinleştirme
Şifreleme anahtarınızı depolayan Azure Key Vault'unuzda geçici silme ve temizleme korumasını etkinleştirmeniz gerekir.
İstemci seçme*
Azure Key Vault'tan geçici silme ve temizleme korumasını etkinleştirebilirsiniz.
Alternatif olarak, Key Vault'ı oluştururken bu özellikleri ayarlayabilirsiniz. Bu Key Vault özellikleri hakkında daha fazla bilgi edinin.
Yeni bir MARS yüklemesi için parolayı Azure Key Vault'a kaydetme
MARS aracısını yüklemeye devam etmeden önce Kurtarma Hizmetleri kasasını Azure Key Vault parolasını depolamak üzere yapılandırdığınızdan ve başarılı olduğunuzdan emin olun:
Kurtarma Hizmetleri kasanızı oluşturdunuz.
Kurtarma Hizmetleri kasasının sistem tarafından atanan yönetilen kimliği etkinleştirildi.
Key Vault'unuzda Gizli Dizi oluşturmak için Kurtarma Hizmetleri kasanıza atanan izinler.
Key Vault'unuz için geçici silme ve temizleme koruması etkinleştirildi.
MARS aracısını bir makineye yüklemek için Azure portalından MARS yükleyicisini indirin ve yükleme sihirbazını kullanın.
Kayıt sırasında Kurtarma Hizmetleri kasası kimlik bilgilerini sağladıktan sonra Şifreleme Ayarı'nda parolayı Azure Key Vault'a kaydetme seçeneğini belirleyin.
Parolanızı girin veya Parola Oluştur'a tıklayın.
Azure portalında Key Vault'unuzu açın, Key Vault URI'sini kopyalayın.
Key Vault URI'sini MARS konsoluna yapıştırın ve ardından Kaydet'i seçin.
Hatayla karşılaşırsanız daha fazla bilgi için sorun giderme bölümüne bakın.
Kayıt başarılı olduktan sonra, tanımlayıcıyı Gizli Dizi'ye kopyalama seçeneği oluşturulur ve parola yerel olarak bir dosyaya KAYDEDILMEZ.
Gelecekte bu MARS aracısı için parolayı değiştirirseniz, gizli dizinin yeni bir sürümü en son parolayla eklenir.
Yükleme betiğindeki yeni KeyVaultUri seçeneğini Set-OBMachineSetting command
kullanarak bu işlemi otomatikleştirebilirsiniz.
Mevcut MARS yüklemesi için parolayı Azure Key Vault'a kaydetme
Mevcut bir MARS aracısı yüklemeniz varsa ve parolanızı Azure Key Vault'a kaydetmek istiyorsanız, aracınızı 2.0.9262.0 veya üzeri bir sürüme güncelleştirin ve bir değişiklik parola işlemi gerçekleştirin.
MARS aracınızı güncelleştirdikten sonra Kurtarma Hizmetleri kasasını Azure Key Vault parolasını depolamak üzere yapılandırdığınızdan ve başarılı olduğunuzdan emin olun:
- Kurtarma Hizmetleri kasanızı oluşturdunuz.
- Kurtarma Hizmetleri kasasının sistem tarafından atanan yönetilen kimliği etkinleştirildi.
- Key Vault'unuzda Gizli Dizi oluşturmak için Kurtarma Hizmetleri kasanıza atanan izinler.
- Key Vault'unuz için geçici silme ve temizleme koruması etkinleştirildi
Parolayı Key Vault'a kaydetmek için:
MARS aracı konsolunu açın.
Parolayı Azure Key Vault'a kaydetmek için bir bağlantı seçmenizi isteyen bir başlık görmeniz gerekir.
Alternatif olarak, devam etmek için Özellikleri>Değiştir Parolayı Değiştir'i seçin.
Özellikleri Değiştir iletişim kutusunda, Anahtar Kasası URI'sini sağlayarak parolayı Key Vault'a kaydetme seçeneği görüntülenir.
Dekont
Makine parolayı Key Vault'a kaydedecek şekilde zaten yapılandırılmışsa, Key Vault URI'si metin kutusuna otomatik olarak doldurulur.
Azure portalını açın, Key Vault'unuzu açın ve ardından Key Vault URI'sini kopyalayın.
Key Vault URI'sini MARS konsoluna yapıştırın ve tamam'ı seçin.
Hatayla karşılaşırsanız daha fazla bilgi için sorun giderme bölümüne bakın.
Parola değiştirme işlemi başarılı olduktan sonra, tanımlayıcıyı Gizli Diziye kopyalama seçeneği oluşturulur ve parola yerel olarak bir dosyaya KAYDEDILMEZ.
Gelecekte bu MARS aracısı için parolayı değiştirirseniz, gizli dizinin yeni bir sürümü en son parolayla eklenir.
Set-OBMachineSetting cmdlet'indeki yeni KeyVaultUri seçeneğini kullanarak bu adımı otomatikleştirebilirsiniz.
Bir makine için Azure Key Vault'tan parola alma
Makineniz kullanılamaz duruma gelirse ve yedek verileri alternatif konum geri yükleme yoluyla Kurtarma Hizmetleri kasasından geri yüklemeniz gerekiyorsa, devam etmek için makinenin parolasına ihtiyacınız vardır.
Parola, Azure Key Vault'a Gizli Dizi olarak kaydedilir. Makine başına bir Gizli Dizi oluşturulur ve makinenin parolası değiştirildiğinde Gizli Diziye yeni bir sürüm eklenir. Gizli dizi olarak AzBackup-machine fully qualified name-vault name
adlandırılır.
Makinenin parolasını bulmak için:
Azure portalında, makinenin parolasını kaydetmek için kullanılan Key Vault'ı açın.
Tüm parolalarınızı kaydetmek için tek bir Key Vault kullanmanızı öneririz.
Gizli Diziler'i seçin ve adlı
AzBackup-<machine name>-<vaultname>
gizli diziyi arayın.Gizli Dizi'yi seçin, en son sürümü açın ve Gizli Dizi değerini kopyalayın.
Bu, kurtarma sırasında kullanılacak makinenin parolasıdır.
Key Vault'ta çok sayıda Gizli Diziniz varsa, gizli diziyi listelemek ve aramak için Key Vault CLI'sini kullanın.
az keyvault secret list --vault-name 'myvaultname’ | jq '.[] | select(.name|test("AzBackup-<myvmname>"))'
Yaygın senaryolarda sorun giderme
Bu bölümde parolaYı Azure Key Vault'a kaydederken sık karşılaşılan hatalar listelenir.
Sistem kimliği yapılandırılmadı – 391224
Neden: Kurtarma Hizmetleri kasasında sistem tarafından atanan bir yönetilen kimlik yapılandırılmamışsa bu hata oluşur.
Önerilen eylem: Sistem tarafından atanan yönetilen kimliğin önkoşullara göre Kurtarma Hizmetleri kasası için doğru yapılandırıldığından emin olun.
İzinler yapılandırılmadı – 391225
Neden: Kurtarma Hizmetleri kasası sistem tarafından atanan yönetilen bir kimliğe sahiptir, ancak hedef Key Vault'ta Gizli Dizi oluşturma iznine sahip değildir.
Önerilen eylem:
- Kullanılan kasa kimlik bilgilerinin hedeflenen kurtarma hizmetleri kasasına karşılık olduğundan emin olun.
- Key Vault URI'sinin hedeflenen Key Vault'a karşılık olduğundan emin olun.
- Kurtarma Hizmetleri kasası adının Anahtar Kasası - Erişim ilkeleri ->> Uygulama altında, Gizli Dizi İzinleri Ayarlanmış olarak listelendiğinden emin olun.
Listede yoksa, izni yeniden yapılandırın.
Azure Key Vault URI'sı yanlış - 100272
Neden: Girilen Key Vault URI'si doğru biçimde değil.
Önerilen eylem: Azure portalından kopyalanan bir Key Vault URI'sini girdiğinizden emin olun. Örneğin, https://myvault.vault.azure.net/
.
UserErrorSecretExistsSoftDeleted (391282)
Neden: Key Vault'ta beklenen biçimde bir gizli dizi zaten var, ancak geçici olarak silinmiş durumda. Gizli dizi geri yüklenmediği sürece MARS, söz konusu makinenin parolasını sağlanan Key Vault'a kaydedemez.
Önerilen eylem: Kasada adıyla AzBackup-<machine name>-<vaultname>
bir gizli dizi olup olmadığını ve geçici olarak silinmiş durumda olup olmadığını denetleyin. Parolayı kaydetmek için geçici olarak silinen Gizli Diziyi kurtarın.
UserErrorKeyVaultSoftDeleted (391283)
Neden: MARS'a sağlanan Key Vault geçici olarak silinmiş durumda.
Önerilen eylem: Key Vault'un kurtarılması veya yeni bir Key Vault sağlanması.
Kayıt tamamlanmadı
Neden: Parolayı kaydederek MARS kaydını tamamlamadınız. Bu nedenle, kaydolana kadar yedeklemeleri yapılandıramazsınız.
Önerilen eylem: Uyarı iletisini seçin ve kaydı tamamlayın.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin