2. Adım: HSM korumalı anahtardan HSM korumalı anahtara geçiş

  • Makale

Bu yönergeler AD RMS'den Azure Information Protection'a geçiş yolunun bir parçasıdır ve yalnızca AD RMS anahtarınız HSM korumalıysa ve Azure Key Vault'ta HSM korumalı bir kiracı anahtarıyla Azure Information Protection'a geçiş yapmak istiyorsanız geçerlidir.

Seçtiğiniz yapılandırma senaryosu bu değilse 4. Adıma geri dönün. Yapılandırma verilerini AD RMS'den dışarı aktarın ve Azure RMS'ye aktarın ve farklı bir yapılandırma seçin.

Dekont

Bu yönergelerde AD RMS anahtarınızın modül korumalı olduğu varsayılır. Bu en tipik durumdur.

HSM anahtarınızı ve AD RMS yapılandırmanızı Azure Information Protection'a aktararak sizin tarafınızdan yönetilen Azure Information Protection kiracı anahtarınızı (BYOK) elde etmek iki bölümden oluşan bir yordamdır.

Azure Information Protection kiracı anahtarınız Azure Key Vault tarafından depolanıp yönetileceğinden, geçişin bu bölümü Azure Information Protection'a ek olarak Azure Key Vault'ta yönetim gerektirir. Azure Key Vault kuruluşunuzda sizden farklı bir yönetici tarafından yönetiliyorsa, bu yordamları tamamlamak için bu yöneticiyle birlikte çalışmanız ve koordine etmeniz gerekir.

Başlamadan önce, kuruluşunuzun Azure Key Vault'ta oluşturulmuş bir anahtar kasası olduğundan ve HSM korumalı anahtarları desteklediğine emin olun. Gerekli olmasa da Azure Information Protection için ayrılmış bir anahtar kasanız olmasını öneririz. Bu anahtar kasası, Azure Rights Management hizmetinin bu hizmete erişmesine izin verecek şekilde yapılandırılır, bu nedenle bu anahtar kasasının depoacağı anahtarlar yalnızca Azure Information Protection anahtarlarıyla sınırlandırılmalıdır.

Bahşiş

Azure Key Vault için yapılandırma adımlarını gerçekleştiriyorsanız ve bu Azure hizmetini bilmiyorsanız, önce Azure Key Vault'u kullanmaya başlama'yı gözden geçirmeniz yararlı olabilir.

1. Bölüm: HSM anahtarınızı Azure Key Vault'a aktarma

Bu yordamlar Azure Key Vault yöneticisi tarafından gerçekleştirilir.

  1. Azure Key Vault'ta depolamak istediğiniz dışarı aktarılan her SLC anahtarı için Azure Key Vault için kendi anahtarını getir (BYOK) uygulama seçeneğini kullanarak Azure Key Vault belgelerindeki yönergeleri izleyin ve aşağıdaki özel durumla birlikte:

    • AD RMS dağıtımınızdan eşdeğeri zaten olduğundan Kiracı anahtarınızı oluşturma adımlarını uygulamayın. Bunun yerine, nCipher yüklemesinden AD RMS sunucunuz tarafından kullanılan anahtarları belirleyin ve bu anahtarları aktarım için hazırlayın ve ardından Azure Key Vault'a aktarın.

      nCipher için şifrelenmiş anahtar dosyaları, sunucuda yerel olarak key_<keyAppName>_<keyIdentifier> olarak adlandırılır. Örneğin, C:\Users\All Users\nCipher\Key Management Data\local\key_mscapi_f829e3d888f6908521fe3d91de51c25d27116a54. Anahtarın azaltılmış izinlere sahip bir kopyasını oluşturmak için KeyTransferRemote komutunu çalıştırdığınızda keyAppName olarak mscapi değerini ve anahtar tanımlayıcısı için kendi değerinizi kullanmanız gerekir.

      Anahtar Azure Key Vault'a yüklendiğinde, anahtar kimliğini içeren anahtarın özelliklerini görürsünüz. Şuna benzer olacaktır: https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Azure Information Protection yöneticisinin Azure Rights Management hizmetine kiracı anahtarı için bu anahtarı kullanmasını söylemesi gerektiğinden bu URL'yi not edin.

  2. İnternet'e bağlı iş istasyonunda, PowerShell oturumunda Set-AzKeyVaultAccessPolicy cmdlet'ini kullanarak Azure Rights Management hizmet sorumlusuna Azure Information Protection kiracı anahtarını depolayacak anahtar kasasına erişme yetkisi verin. Gereken izinler şifre çözme, şifreleme, anahtar açma, sarmalama anahtarı, doğrulama ve imzalama işlemleridir.

    Örneğin, Azure Information Protection için oluşturduğunuz anahtar kasası contoso-byok-ky ve kaynak grubunuz contoso-byok-rg olarak adlandırılıyorsa aşağıdaki komutu çalıştırın:

    Set-AzKeyVaultAccessPolicy -VaultName "contoso-byok-kv" -ResourceGroupName "contoso-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get

Azure Information Protection'dan Azure Rights Management hizmeti için Azure Key Vault'ta HSM anahtarınızı hazırladığınıza göre, AD RMS yapılandırma verilerinizi içeri aktarmaya hazırsınız demektir.

2. Bölüm: Yapılandırma verilerini Azure Information Protection'a aktarma

Bu yordamlar Azure Information Protection yöneticisi tarafından gerçekleştirilir.

  1. İnternet bağlantısı iş istasyonunda ve PowerShell oturumunda Bağlan-AipService cmdlet'ini kullanarak Azure Rights Management hizmetine bağlanın.

    Ardından Import-AipServiceTpd cmdlet'ini kullanarak her güvenilen yayımlama etki alanı (.xml) dosyasını karşıya yükleyin. Örneğin, AD RMS kümenizi Şifreleme Modu 2 için yükselttiyseniz içeri aktarabileceğiniz en az bir ek dosyanız olmalıdır.

    Bu cmdlet'i çalıştırmak için, her yapılandırma veri dosyası için daha önce belirttiğiniz parolaya ve önceki adımda tanımlanan anahtarın URL'sine ihtiyacınız vardır.

    Örneğin, C:\contoso-tpd1.xml yapılandırma veri dosyasını ve önceki adımdaki anahtar URL değerimizi kullanarak, önce parolayı depolamak için aşağıdakileri çalıştırın:

     $TPD_Password = Read-Host -AsSecureString

    Yapılandırma veri dosyasını dışarı aktarmak için belirttiğiniz parolayı girin. Ardından aşağıdaki komutu çalıştırın ve bu eylemi gerçekleştirmek istediğinizi onaylayın:

    Import-AipServiceTpd -TpdFile "C:\contoso-tpd1.xml" -ProtectionPassword $TPD_Password –KeyVaultKeyUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose

    Bu içeri aktarma işleminin bir parçası olarak SLC anahtarı içeri aktarılır ve otomatik olarak arşivlenmiş olarak ayarlanır.

  2. Her dosyayı karşıya yüklediğinizde, içeri aktarılan anahtarın AD RMS kümenizdeki şu anda etkin olan SLC anahtarıyla eşleşeceğini belirtmek için Set-AipServiceKeyProperties komutunu çalıştırın. Bu anahtar, Azure Rights Management hizmetinizin etkin kiracı anahtarı olur.

  3. Azure Rights Management hizmeti bağlantısını kesmek için Disconnect-AipServiceService cmdlet'ini kullanın:

    Disconnect-AipServiceService

Daha sonra Azure Information Protection kiracı anahtarınızın Azure Key Vault'ta hangi anahtarı kullandığını onaylamanız gerekiyorsa Get-AipServiceKeys Azure RMS cmdlet'ini kullanın.

Artık 5. Adım'a gitmeye hazırsınız. Azure Rights Management hizmetini etkinleştirin.