Azure DocumentDB'de müşteri tarafından yönetilen anahtar (CMK) ile veri şifreleme sorunlarını giderme

Bu kılavuz, Azure DocumentDB ile veriyi dinlenme halinde şifrelemek için müşteri tarafından yönetilen anahtar (CMK) kullanırken karşılaşabileceğiniz yaygın sorunları gidermenize yardımcı olmak üzere tasarlanmıştır. CMK kurulumunda yer alan çeşitli bileşenlerle ilgili sorunları gidermek için pratik çözümler sunar.

Azure DocumentDB kümesinde CMK'yi yapılandırmak için yönetilen kimlik, anahtar kasası, anahtar kasasındaki bir şifreleme anahtarı ve yönetilen kimliğe verilen uygun izinler gerekir .

Yönetilen kimlik, anahtar kasası, anahtar veya izinler varsa ve gereksinimlere göre yapılandırılmadıysa, küme sağlama sırasında CMK'yi etkinleştiremeyebilirsiniz. CMK özellikli bir kümede düzgün kurulum geçersiz hale gelirse, müşteri tarafından yönetilen anahtarla şifrelemenin temel güvenlik gereksinimi nedeniyle bu kümedeki veriler kullanılamaz duruma gelir.

Düzgün CMK kurulumu için gereken tüm bileşenlerin sorunlarını gidermek için bu bölümdeki adımları izleyin.

Azure Key Vault'tan anahtar erişimi iptal etme nedenleri

Key Vault'a yeterli erişim haklarına sahip biri, anahtara küme erişimini şu şekilde yanlışlıkla devre dışı bırakabilir:

• Anahtar Kasası'ndaki kimlikten anahtar almak için kullanılan Key Vault Crypto Service Encryption User RBAC rolünün atamasını kaldırma veya izinleri iptal etme.
• Anahtar siliniyor.
• Key Vault örneği siliniyor.
• Key Vault güvenlik duvarı kurallarını değiştirme veya Key Vault'un ağ ayarlarını yanlış yapılandırma.
• Microsoft Entra ID'de kümenin yönetilen kimliği siliniyor.

Bu eylemler, veri şifrelemesi için kullanılan müşteri tarafından yönetilen anahtarın erişilemez duruma gelmesine neden olur.

Erişilemeyen müşteri tarafından yönetilen anahtar koşuluyla ilgili sorunları giderme

Anahtar kasasında depolanan müşteri tarafından yönetilen bir anahtarla veri şifrelemeyi yapılandırdığınızda, kümenin çevrimiçi kalması için bu anahtara sürekli erişim gerekir. Böyle bir durum söz konusu değilse, küme durumunu Erişilemez olarak değiştirir ve tüm bağlantıları reddetmeye başlar.

Küme durumunun erişilemez duruma gelmesinin olası nedenlerinden bazıları şunlardır:

Nedeni	Çözünürlük
Küme tarafından işaret edilen şifreleme anahtarının son kullanma tarihi ve saati yapılandırılmıştır ve bu tarih ve saate ulaştı.	Anahtarın bitiş tarihini uzatmanız gerekir. Ardından hizmetin anahtarı yeniden doğrulamasını beklemeniz ve küme durumunu otomatik olarak Hazır'a aktarmanız gerekir. Yalnızca küme Hazır duruma geri döndüğünde anahtarı daha yeni bir sürüme döndürebilir veya yeni bir anahtar oluşturabilir ve kümeyi aynı anahtarın yeni sürümüne veya yeni anahtara başvuracak şekilde güncelleştirebilirsiniz.
Key Vault örneğini sildiğinizde Azure DocumentDB örneği anahtara erişemez ve erişilemez duruma geçer.	Key Vault örneğini kurtarın ve hizmetin anahtarın düzenli aralıklarla yeniden doğrulamasını çalıştırmasını bekleyin ve küme durumunu otomatik olarak Hazır'a geçirin.
Microsoft Entra ID'den, anahtar kasasında depolanan herhangi bir şifreleme anahtarını almak için kullanılan bir yönetilen kimliği silersiniz.	Kimliği kurtarın ve hizmetin anahtarın düzenli aralıklarla yeniden doğrulamasını çalıştırmasını bekleyin ve küme durumunu otomatik olarak Hazır'a geçirin.
Anahtar kasası izin modeliniz rol tabanlı erişim denetimini kullanacak şekilde yapılandırılmıştır. Anahtarlardan herhangi birini almak üzere yapılandırılmış yönetilen kimliklerin Anahtar Kasası Kripto Hizmeti Şifreleme Kullanıcısı RBAC rol atamasını kaldırıyorsunuz.	RBAC rolünü yönetilen kimliğe yeniden verin ve hizmetin anahtarın düzenli aralıklarla yeniden doğrulanmasını çalıştırmasını bekleyin ve küme durumunu otomatik olarak Hazır'a geçirin. Alternatif olarak, anahtar kasasındaki rolü farklı bir yönetilen kimliğe verebilir ve kümeyi, anahtara erişim için bu diğer yönetilen kimliği kullanacak şekilde güncelleyebilirsiniz.
Anahtar kasası izin modeliniz erişim ilkelerini kullanacak şekilde yapılandırılmıştır. Yönetilen kimliklerden, liste, get, wrapKey veya unwrapKey erişim ilkelerini, anahtarlardan herhangi birini almak için yapılandırılmış olanlardan kaldırırsınız.	Yönetilen kimliğe RBAC rolü verin ve hizmetin anahtarın düzenli aralıklarla yeniden doğrulanmasını çalıştırmasını bekleyin ve küme durumunu otomatik olarak Hazır'a geçirin. Alternatif olarak, anahtar kasasındaki gerekli erişim ilkelerini farklı bir yönetilen kimliğe verebilir ve kümeyi anahtara erişmek için bu diğer yönetilen kimliği kullanabilecek şekilde güncelleştirebilirsiniz.
Azure DocumentDB kümenizin anahtarları almak için anahtar kasasıyla iletişim kuramamasına neden olacak şekilde aşırı kısıtlayıcı anahtar kasası güvenlik duvarı kuralları ayarladınız.	Bir anahtar kasası güvenlik duvarı yapılandırırken genel erişimi devre dışı bırakın ve güvenilen Microsoft hizmetlerine izin verme veya tüm ağlardan genel erişime izin verme seçeneğini belirttiğinizden emin olun. Azure DocumentDB kümeniz tüm ağlardan genel erişimle anahtar kasasına erişebilir. Devre dışı bırakılmış genel erişim ve güvenilen Microsoft hizmetlerinin anahtar değerine erişmesine izin verme seçeneği sayesinde kümeniz güvenlik duvarını atlayabilir.

Note

Bir anahtar devre dışı bırakıldığında, silindiğinde, süresi dolduğunda veya erişilemediğinde, bu anahtarla şifrelenmiş verileri olan bir küme, daha önce belirtildiği gibi Erişilemez duruma gelir. Küme durumu, şifreleme anahtarını yeniden doğrulayana kadar yeniden Hazır olarak değişmez.

Genellikle, bir anahtar devre dışı bırakıldıktan, silindikten, süresi dolduktan veya erişilemedikten sonra kümeye 60 dakika içinde erişilemez duruma gelir. Anahtar kullanılabilir duruma geldikten sonra kümenin yeniden Hazır duruma gelmesi 60 dakika kadar sürebilir.

Yönetilen kimlik silme işleminden kurtarma

Anahtar kasasında depolanan şifreleme anahtarına erişmek için kullanılan kullanıcı tarafından atanan yönetilen kimlik Microsoft Entra Id'de silinirse, kurtarmak için şu adımları izlemeniz gerekir:

1. Kimliği kurtarın veya yeni bir yönetilen Entra Kimliği kimliği oluşturun.
2. Silinen kimlikle aynı ada sahip olsa bile yeni bir kimlik oluşturduysanız, şifreleme anahtarına erişmek için bu yeni kimliği kullanması gerekeceğinden haberdar olması için esnek küme özellikleri için Azure Veritabanı'nı güncelleştirin.
3. Bu kimliğin Azure Key Vault'taki (AKV) anahtar üzerindeki işlemler için uygun izinlere sahip olduğundan emin olun.
4. Küme anahtarı yeniden düzenleyene kadar yaklaşık bir saat bekleyin.

Important

Silinen kimlikle aynı ada sahip yeni Entra ID kimliği oluşturmak, yönetilen kimliğin silinmesinden sonra geri alınamaz.

Başarısız CMK özellikli küme sağlama sorunlarını giderme

CMK gereksinimlerinden herhangi biri karşılanmazsa, CMK etkin bir küme sağlama girişimi başarısız olur. Küme sağlama sırasında aşağıdaki hata anahtar kasasının, şifreleme anahtarının veya yönetilen kimlik izinlerinin doğru ayarlanmadığını gösterir: 'Anahtara erişim sağlanamadı. Eksik olabilir, sağlanan kullanıcı kimliğinin üzerinde GET izinleri yok veya anahtar kasası genel İnternet'e erişimi etkinleştirmemiş olabilir.'

Bu durumu gidermek için:

1. Tüm CMK gereksinimlerini denetleyin.
2. Denetlediğiniz yönetilen kimlik ve anahtar kasası ile kümeyi hazırlayın.
3. Başarısız küme varlığını silin. Başarısız kümenin clusterStatus özelliği Başarısız olarak ayarlandı. Azure portalında küme özelliklerindeki Genel Bakış dikey penceresinde küme durumunu bulabilirsiniz.

İlgili içerik

• Veri dinamik olmadığı durumda şifreleme temelleri hakkında bilgi edinin
• CMK için anahtar kasasının yapılandırılmasına yönelik en iyi yöntemleri inceleyin
• Azure DocumentDB'de müşteri tarafından yönetilen anahtarla hareket halinde olmayan veri şifrelemesini etkinleştirmek için bu adımları izleyin