分享方式:

針對 Azure 資料箱使用 Azure Key Vault 中的客戶自控金鑰

  • 文章

Azure 資料箱 透過加密金鑰保護用於鎖定裝置的裝置解鎖金鑰 (也稱為裝置密碼)。 依預設,此加密金鑰是 Microsoft 管理的金鑰。 如需更多控制權,您可以使用客戶自控金鑰。

使用客戶自控金鑰不會影響資料在裝置上的加密方式。 這只會影響裝置解除鎖定金鑰的加密方式。

若要在整個訂單流程中保持此層級的控制,請在建立訂單時使用客戶自控金鑰。 如需詳細資訊,請參閱教學課程:訂購 Azure 資料箱

本文說明如何在 Azure 入口網站中為現有的資料箱訂單啟用客戶自控金鑰。 您將會了解如何變更目前客戶自控金鑰的金鑰保存庫、金鑰、版本或身分識別,或切換回使用 Microsoft 受控金鑰。

本文適用於 Azure 資料箱和 Azure Data Box Heavy 裝置。

需求

資料箱訂單的客戶自控金鑰必須符合下列需求:

  • 金鑰必須建立並儲存在已啟用 [虛刪除] 和 [未清除] 的 Azure Key Vault 中。 如需詳細資訊,請參閱 什麼是 Azure 金鑰保存庫?。 您可以在建立或更新訂單時建立金鑰保存庫和金鑰。
  • 金鑰必須是大小為 2048 或以上的 RSA 金鑰。
  • 您必須針對 Azure Key Vault 中的金鑰啟用 GetUnwrapKeyWrapKey 權限。 權限必須在訂單的存留期中持續存在。 否則,無法在資料複製階段開始時存取客戶自控金鑰。

啟用金鑰

若要在 Azure 入口網站中為現有的資料箱訂單啟用客戶自控金鑰,請遵循以下步驟:

  1. 移至資料箱訂單的 [概觀] 畫面。

    數據箱訂單的概觀畫面 - 1

  2. 移至 [設定] > [加密],然後選取 [客戶自控金鑰]。 然後選取 [選取金鑰與金鑰保存庫]

    選取客戶管理的金鑰加密選項

    在 [從 Azure Key Vault 選取金鑰] 畫面上,會自動填入您的訂用帳戶。

  3. 針對 [金鑰保存庫],您可以從下拉式清單中選取現有的金鑰保存庫,或選取 [新建] 並建立新的金鑰保存庫。

    選取客戶管理的金鑰時,金鑰保存庫選項

    若要建立新的金鑰保存庫,請在 [建立新的金鑰保存庫] 畫面上輸入訂用帳戶、資源群組、金鑰保存庫名稱和其他資訊。 在 [復原選項] 中,確定已啟用 [虛刪除] 和 [清除保護]。 然後選取 [檢閱 + 建立]

    檢閱和建立 Azure 金鑰保存庫

    檢閱金鑰保存庫的資訊,然後選取 [建立]。 等候幾分鐘的時間,讓金鑰保存庫完成建立。

    使用您的設定建立 Azure 金鑰保存庫

  4. 在 [從 Azure Key Vault 選取金鑰] 畫面上,您可以選取金鑰保存庫中的現有金鑰,或建立新的金鑰。

    從 Azure Key Vault 中選取金鑰

    如果您想要建立新的金鑰,請選取 [建立新的]。 您必須使用 RSA 金鑰。 大小可以是 2048 或更大。

    在 Azure 金鑰保存庫 中建立新的金鑰

    輸入新金鑰的名稱,接受其他預設值,然後選取 [建立]。 在金鑰保存庫中建立金鑰時,您會收到通知。

    為新索引鍵命名

  5. 針對 [版本],您可以從下拉式清單中選取現有的金鑰版本。

    選取新金鑰的版本

    如果您想要產生新的金鑰版本,請選取 [新建]

    開啟建立新金鑰版本的對話方塊

    選擇新金鑰版本的設定,然後選取 [建立]

    建立新的金鑰版本

  6. 當您選取金鑰保存庫、金鑰和金鑰版本時,請選擇 [選取]

    Azure 金鑰保存庫 中的金鑰

    [加密類型] 設定會顯示您選擇的金鑰保存庫和金鑰。

    客戶自控金鑰的金鑰和金鑰保存庫

  7. 選取要用來管理此資源客戶自控金鑰的身分識別類型。 您可以使用在訂單建立期間產生的系統指派身分識別,或選擇使用者指派的身分識別。

    使用者指派的身分識別是一種獨立資源,可用來管理資源的存取權。 如需詳細資訊,請參閱受控識別類型

    選取身分識別類型

    若要指派使用者身分識別,請選取 [使用者指派]。 然後選取 [選取使用者身分識別],然後選取您想要使用的受控識別。

    選取要使用的身分識別

    您無法在這裡建立新的使用者身分識別。 若要了解如何建立新的身分識別,請參閱使用 Azure 入口網站對使用者指派的受控識別建立、列出、刪除或指派角色

    已選取而顯示於 [加密類型] 設定中的使用者身分識別。

    加密類型設定中顯示的所選使用者身分識別

  8. 選取 [儲存] 以儲存更新的 [加密類型] 設定。

    儲存客戶管理的金鑰

    金鑰 URL 會顯示在 [加密類型] 底下。

    客戶管理的金鑰 URL

重要

您必須在金鑰上啟用 GetUnwrapKeyWrapKey 權限。 若要在 Azure CLI 中設定權限,請參閱 az keyvault set-policy

變更金鑰

若要變更您目前所使用客戶自控金鑰的金鑰保存庫、金鑰和/或金鑰版本,請遵循下列步驟:

  1. 在資料箱訂單的 [概觀] 畫面上,移至 [設定] > [加密],然後按一下 [變更金鑰]

    具有客戶自控密鑰的數據箱訂單概觀畫面 - 1

  2. 選擇 [選取不同的金鑰保存庫與金鑰]

    數據箱訂單的概觀畫面,選取不同的密鑰和金鑰保存庫選項

  3. [從金鑰保存庫選取金鑰] 畫面會顯示訂用帳戶,但是沒有金鑰保存庫、金鑰或金鑰版本。 您可以進行下列任一變更:

    • 從相同的金鑰保存庫選取不同的金鑰。 您必須先選取金鑰保存庫,才能選取金鑰和版本。

    • 選取不同的金鑰保存庫,並指派新的金鑰。

    • 變更目前金鑰的版本。

    當您完成變更時,請選擇 [選取]

    選擇加密選項 - 2

  4. 選取 [儲存]。

    儲存更新的加密設定 - 1

重要

您必須在金鑰上啟用 GetUnwrapKeyWrapKey 權限。 若要在 Azure CLI 中設定權限,請參閱 az keyvault set-policy

變更身分識別

若要變更用來管理此訂單客戶自控金鑰存取權的身分識別,請遵循下列步驟:

  1. 在已完成資料箱訂單的 [概觀] 畫面上,移至 [設定] > [加密]

  2. 進行下列任一變更:

    • 若要變更為不同的使用者身分識別,請按一下 [選取不同的使用者身分識別]。 然後在畫面右側的面板中選取不同的身分識別,然後選擇 [選取]

      針對客戶管理的金鑰變更使用者指派身分識別的選項

    • 若要切換至訂單建立期間產生的系統指派身分識別,依 [選取身分識別類型] 選取 [系統指派]

      針對客戶管理的金鑰變更為系統指派的選項

  3. 選取 [儲存]。

    儲存更新的加密設定 - 2

使用 Microsoft 受控金鑰

若要針對您的訂單從使用客戶自控金鑰變更為 Microsoft 受控金鑰,請遵循下列步驟:

  1. 在已完成資料箱訂單的 [概觀] 畫面上,移至 [設定] > [加密]

  2. 依 [選取類型],選取 [Microsoft 受控金鑰]

    數據箱訂單的概觀畫面 - 5

  3. 選取 [儲存]。

    儲存Microsoft受管理金鑰的更新加密設定

針對錯誤進行疑難排解

如果您收到與客戶自控金鑰相關的任何錯誤,請使用下表進行疑難排解。

錯誤碼 錯誤詳細資料 可復原?
SsemUserErrorEncryptionKeyDisabled 因為客戶管理金鑰已停用,所以無法擷取通行金鑰。 是,啟用金鑰版本。
SsemUserErrorEncryptionKeyExpired 因為客戶管理金鑰已過期,所以無法擷取通行金鑰。 是,啟用金鑰版本。
SsemUserErrorKeyDetailsNotFound 因為找不到客戶自控金鑰,所以無法擷取通行金鑰。 如果您刪除金鑰保存庫,則無法復原客戶自控金鑰。 如果您將金鑰保存庫移轉至不同的租用戶,請參閱在訂用帳戶移動後變更金鑰保存庫租用戶識別碼。 如果您已刪除金鑰保存庫:
  1. 是,如果是在清除保護期間,請使用復原金鑰保存庫的步驟。
  2. 否,如果已超出清除保護期間。

否則,如果金鑰保存庫進行租用戶移轉,則可以使用下列其中一個步驟進行復原:
  1. 將金鑰保存庫還原為舊租用戶。
  2. 設為 Identity = None,然後將值設回 Identity = SystemAssigned。 這會在建立新的身分識別之後刪除並重新建立身分識別。 在金鑰保存庫的存取原則中對新身分識別啟用 GetWrapKeyUnwrapKey 權限。
SsemUserErrorKeyVaultBadRequestException 已套用客戶自控金鑰,但未授與或已撤銷金鑰存取權,或因為已啟用防火牆而無法存取金鑰保存庫。 將選取的身分識別新增到您的金鑰保存庫,以存取客戶自控金鑰。 如果金鑰保存庫已啟用防火牆,請切換到系統指派的身分識別,然後新增客戶自控金鑰。 如需詳細資訊,請參閱如何啟用金鑰
SsemUserErrorKeyVaultDetailsNotFound 因為找不到與客戶自控金鑰建立關聯的金鑰保存庫,所以無法擷取通行金鑰。 如果您刪除金鑰保存庫,則無法復原客戶自控金鑰。 如果您將金鑰保存庫移轉至不同的租用戶,請參閱在訂用帳戶移動後變更金鑰保存庫租用戶識別碼。 如果您已刪除金鑰保存庫:
  1. 是,如果是在清除保護期間,請使用復原金鑰保存庫的步驟。
  2. 否,如果已超出清除保護期間。

否則,如果金鑰保存庫進行租用戶移轉,則可以使用下列其中一個步驟進行復原:
  1. 將金鑰保存庫還原為舊租用戶。
  2. 設為 Identity = None,然後將值設回 Identity = SystemAssigned。 這會在建立新的身分識別之後刪除並重新建立身分識別。 在金鑰保存庫的存取原則中對新身分識別啟用 GetWrapKeyUnwrapKey 權限。
SsemUserErrorSystemAssignedIdentityAbsent 因為找不到客戶自控金鑰,所以無法擷取通行金鑰。 是,檢查以下項目是否:
  1. 金鑰保存庫在存取原則中仍有 MSI。
  2. 身分識別為系統指派的類型。
  3. 在金鑰保存庫的存取原則中對身分識別啟用 GetWrapKeyUnwrapKey 權限。 這些權限必須在訂單的存留期中持續存在。 在建立訂單期間和資料複製階段的開頭會使用。
SsemUserErrorUserAssignedLimitReached 因為您已達到可新增之使用者指派的身分識別總數限制,所以新增使用者指派的身分識別失敗。 請以較少的使用者身分識別重試作業,或在重試之前,先從資源中移除一些使用者指派的身分識別。
SsemUserErrorCrossTenantIdentityAccessForbidden 受控識別存取作業失敗。
注意:當訂用帳戶移至不同的租用戶時,可能會發生此錯誤。 客戶必須手動將身分識別移至新的租用戶。		 嘗試將使用者指派的不同身分識別新增至您的金鑰保存庫,以便存取客戶自控金鑰。 或者,將身分識別移至訂用帳戶所在的新租用戶。 如需詳細資訊,請參閱如何啟用金鑰
SsemUserErrorKekUserIdentityNotFound 已套用客戶自控金鑰,但在 Active Directory 中找不到由使用者指派可存取該金鑰的識別。
注意:從 Azure 刪除使用者身分識別時,可能會發生此錯誤。		 嘗試將使用者指派的不同身分識別新增至您的金鑰保存庫,以便存取客戶自控金鑰。 如需詳細資訊,請參閱如何啟用金鑰
SsemUserErrorUserAssignedIdentityAbsent 因為找不到客戶自控金鑰,所以無法擷取通行金鑰。 無法存取客戶自控金鑰。 刪除與金鑰相關聯的使用者指派身分識別 (UAI),或 UAI 類型已變更。
SsemUserErrorKeyVaultBadRequestException 已套用客戶自控金鑰,但是尚未授與或已撤銷金鑰存取權,或金鑰保存庫因為已啟用防火牆而無法存取。 將選取的身分識別新增到您的金鑰保存庫,以存取客戶自控金鑰。 如果金鑰保存庫已啟用防火牆,請切換到系統指派的身分識別,然後新增客戶自控金鑰。 如需詳細資訊,請參閱如何啟用金鑰
SsemUserErrorEncryptionKeyTypeNotSupported 作業不支援加密金鑰類型。 在金鑰上啟用支援的加密類型,例如 RSA 或 RSA-HSM。 如需詳細資訊,請參閱金鑰類型、演算法和作業
SsemUserErrorSoftDeleteAndPurgeProtectionNotEnabled 金鑰保存庫未啟用虛刪除或清除保護。 請確定金鑰保存庫上同時啟用虛刪除和清除保護。
SsemUserErrorInvalidKeyVaultUrl
(僅限命令列)		 使用不正確金鑰保存庫 URI。 取得正確的金鑰保存庫 URI。 若要取得金鑰保存庫 URI,請在 PowerShell 中使用 Get-AzKeyVault
SsemUserErrorKeyVaultUrlWithInvalidScheme 僅支援 HTTPS 傳遞金鑰保存庫 URI。 透過 HTTPS 傳遞金鑰保存庫 URI。
SsemUserErrorKeyVaultUrlInvalidHost 金鑰保存庫 URI 主機不是地理區域中允許的主機。 在公用雲端中,金鑰保存庫 URI 應以 vault.azure.net 結尾。 在 Azure Government 雲端中,金鑰保存庫 URI 應以 vault.usgovcloudapi.net 結尾。
一般錯誤 無法擷取通行金鑰。 此錯誤是一般錯誤。 請連絡 Microsoft 支援服務以針對錯誤進行疑難排解,並判斷後續步驟。

下一步