Müşteri tarafından yönetilen anahtar sorunlarını giderme

  • Makale

Bu makale, dört bölümden bir öğretici serisinin dördüncü bölümüdür. Birinci bölüm , kayıt defterinizde etkinleştirmeden önce müşteri tarafından yönetilen anahtarlara, bunların özelliklerine ve dikkat edilmesi gerekenlere genel bir bakış sağlar. 2. bölümde Azure CLI, Azure portal veya Azure Resource Manager şablonu kullanarak müşteri tarafından yönetilen anahtarı etkinleştirmeyi öğreneceksiniz. Üçüncü bölümde, müşteri tarafından yönetilen anahtarı döndürmeyi, güncelleştirmeyi ve iptal etmeyi öğreneceksiniz. Bu makale, müşteri tarafından yönetilen anahtarlarla ilgili yaygın sorunları gidermenize ve çözmenize yardımcı olur.

Yönetilen kimliği kaldırırken hata oluştu

Kayıt defterinizde şifrelemeyi yapılandırmak için kullandığınız kullanıcı tarafından atanan veya sistem tarafından atanan yönetilen kimliği kaldırmaya çalışırsanız bir hata görebilirsiniz:

Azure resource '/subscriptions/xxxx/resourcegroups/myGroup/providers/Microsoft.ContainerRegistry/registries/myRegistry' does not have access to identity 'xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx' Try forcibly adding the identity to the registry <registry name>. For more information on bring your own key, please visit 'https://aka.ms/acr/cmk'.

Şifreleme anahtarını değiştiremez (döndüremezsiniz). Çözüm adımları, şifreleme için kullandığınız kimliğin türüne bağlıdır.

Kullanıcı tarafından atanan kimliği kaldırma

Kullanıcı tarafından atanan bir kimliği kaldırmaya çalıştığınızda hatayı alırsanız şu adımları izleyin:

  1. az acr identity assign komutunu kullanarak kullanıcı tarafından atanan kimliği yeniden atayın.

  2. Kullanıcı tarafından atanan kimliğin kaynak kimliğini geçirin veya kayıt defteriyle aynı kaynak grubunda yer alan kimliğin adını kullanın.

    Örnek:

    az acr identity assign -n myRegistry \
    --identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"

  3. Anahtarı değiştirin ve farklı bir kimlik atayın.

  4. Artık, kullanıcı tarafından atanan özgün kimliği kaldırabilirsiniz.

Sistem tarafından atanan kimliği kaldırma

Sistem tarafından atanan bir kimliği kaldırmaya çalıştığınızda hatayı alırsanız, kimliği geri yükleme konusunda yardım almak için bir Azure desteği bileti oluşturun.

Anahtar kasası güvenlik duvarını etkinleştirdikten sonra hata oluştu

Şifrelenmiş bir kayıt defteri oluşturduktan sonra bir anahtar kasası güvenlik duvarını veya sanal ağı etkinleştirirseniz, HTTP 403 veya görüntü içeri aktarma veya otomatik anahtar döndürme ile ilgili diğer hataları görebilirsiniz. Bu sorunu düzeltmek için başlangıçta şifreleme için kullandığınız yönetilen kimliği ve anahtarı yeniden yapılandırın. Müşteri tarafından yönetilen anahtarı döndürme bölümündeki adımlara bakın.

Sorun devam ederse Azure Desteği'ne başvurun.

Kimlik süre sonu hatası

Bir kayıt defterine eklenen kimlik, süre sonunu önlemek için otomatik yeniden oluşturma için ayarlanır. Bir kimliğin kayıt defteriyle ilişkilendirmesini kaldırırsanız, CMK için kullanımda olan kimliği kaldıramadığını açıklayan bir hata iletisi oluşur. Kimliği kaldırmaya çalışmak, kimliğin otomatik olarak yenilenmesine neden olabilir. Yapıt çekme/gönderme işlemleri, kimliğin süresi dolana kadar çalışır (Genellikle üç ay). Kimliğin süresi dolduktan sonra HTTP 403'te "Kayıt defteriyle ilişkili kimlik etkin değil. Bunun nedeni kimliği kaldırma girişimi olabilir. Kimliği el ile yeniden atayın".

Kimliği kayıt defterine açıkça yeniden atamanız gerekir.

  1. Kimliği el ile yeniden atamak için az acr identity assign komutunu çalıştırın.

    • Örneğin,
    az acr identity assign -n myRegistry \
--identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"

Anahtar kasasının veya anahtarın yanlışlıkla silinmesi

Bir kayıt defterini müşteri tarafından yönetilen bir anahtarla şifrelemek için kullanılan anahtar kasasının veya anahtarın silinmesi, kayıt defterinin içeriğine erişilemez hale getirir. Anahtar kasasında geçici silme etkinleştirildiyse (varsayılan seçenek), silinen bir kasayı veya anahtar kasası nesnesini kurtarabilir ve kayıt defteri işlemlerini sürdürebilirsiniz.

Sonraki adımlar

Anahtar kasası silme ve kurtarma senaryoları için bkz. Geçici silme ve temizleme koruması ile Azure Key Vault kurtarma yönetimi.