針對客戶自控金鑰設定 Azure Cosmos DB 帳戶的撤銷案例進行疑難排解
適用於:NoSQL MongoDB Cassandra Gremlin 桌子
儲存在 Azure Cosmos DB 帳戶中的資料,會使用客戶管理的金鑰自動進行縝密的加密,作為第二層加密。 當 Azure Cosmos DB 帳戶無法再根據 Azure Cosmos DB 帳戶設定存取 Azure Key Vault 金鑰時 (請參閱 KeyVaultKeyUri),帳戶會進入撤銷狀態。 在此狀態下,唯一允許的作業是重新整理目前指派預設身分識別的帳戶更新,或是帳戶刪除。 讀取或寫入文件等資料平面作業受到限制。
本疑難排解指南說明使用客戶自控金鑰遇到常見錯誤時,如何還原存取權。 檢查每次執行受限制作業時收到的錯誤訊息,或讀取 Azure Cosmos DB 帳戶上的 customerManagedKeyStatus 屬性。
預設身分識別未經授權存取 Azure Key Vault 金鑰
錯誤的原因
當與 Azure Cosmos DB 帳戶相關聯的預設身分識別不再獲授權執行 get、wrap 或 unwrap 呼叫 金鑰保存庫 或密鑰已停用或過期時,您會看到錯誤。
疑難排解
請確認您的金鑰未停用或已過期。 相反地,使用存取原則時,請確認 金鑰保存庫 上的取得、包裝和解除包裝許可權會指派給設定為個別 Azure Cosmos DB 帳戶的預設身分識別。
如果您使用 RBAC,請確認已將「Key Vault 加密服務加密使用者」角色指派給預設身分識別。
另一個選項是使用預期的權限來建立新的身分識別 ,並透過 Azure Cosmos DB 帳戶更新作業將其設定為新的預設身分識別。
指派權限之後,請等候超過一小時,讓帳戶停止撤銷狀態。 如果問題在兩個多小時后未解決,請連絡客戶服務。
Microsoft Entra 權杖擷取錯誤
錯誤的原因
當 Azure Cosmos DB 無法取得預設的 Microsoft Entra 存取權杖時,您會看到此錯誤。 權杖可用來與 Azure Key Vault 通訊,以便包裝和解除包裝資料加密金鑰。
疑難排解
請確定指派給 Azure Cosmos DB 帳戶的目前預設身分識別是現有 Azure 資源的身分識別,且具有存取 Azure Key Vault 的所有對應權限。
疑難排解解決方案,例如使用預期的權限來建立新的身分識別 ,並透過 Azure Cosmos DB 帳戶更新作業將其設定為新的預設身分識別。
更新帳戶的預設身分識別之後,您必須等候超過一小時,帳戶才能停止撤銷狀態。 如果問題在兩個多小時后未解決,請連絡客戶服務。
找不到 Azure Key Vault 資源
錯誤的原因
當找不到 Azure Key Vault 或指定的金鑰時,您會看到此錯誤。
疑難排解
檢查 Azure Key Vault 或指定的金鑰是否存在,並在意外刪除時將其還原,然後等候一小時。 如果問題在 2 個小時后未解決,請連絡客戶服務。
Azure 金鑰已停用或過期
錯誤的原因
當 Azure 金鑰保存庫 金鑰過期或刪除時,您會看到此錯誤。
疑難排解
如果您的金鑰已停用,請加以啟用。 如果已過期,請取消到期,且一旦帳戶不再被撤銷,可以輪替密鑰,因為 Azure Cosmos DB 會在帳戶上線後更新密鑰版本。
無效的 Azure Cosmos DB 預設身分識別
錯誤的原因
如果 Azure Cosmos DB 帳戶沒有設定為預設身分識別的任何身分識別類型,就會進入撤銷狀態:
- FirstPartyIdentity
- SystemAssignedIdentity
- UserAssignedIdentity
- DelegatedSystemAssignedIdentity
- DelegatedUserAssignedIdentity
疑難排解
請確定您的預設身分識別是有效的 Azure 資源,且具有所有預期權限來存取 Azure Key Vault。 指派權限之後,請等候超過一小時,讓帳戶停止撤銷狀態。 如果問題在兩個多小時后未解決,請連絡客戶服務。
Key Vault URI 屬性上偵測到的語法不正確
錯誤的原因
當內部驗證偵測到 Azure Cosmos DB 帳戶上的 Key Vault URI 屬性與預期不同時,您會看到此錯誤。
疑難排解
您必須將帳戶的 KeyVaultkeyUri 屬性更新為有效的 Key Vault 金鑰 URI。 有效的 Azure Key Vault 金鑰 URI 範例如下:「https://ContosoKeyVault.vault.azure.net/keys";。 值得一提的是,不需要包含金鑰的版本。
指派 KeyVaultKeyUri 屬性之後,請等候超過一小時,讓帳戶停止撤銷狀態。 如果問題在兩個多小時后未解決,請連絡客戶服務。
內部解除包裝程序錯誤
錯誤的原因
當 Azure Cosmos DB 服務無法正確解除包裝金鑰時,您會看到錯誤訊息。
疑難排解
如果最近刪除 Key Vault 或 Costumer 受控金鑰;請還原資源並等候一小時。 如果問題在 2 個小時后未解決,請連絡客戶服務。
無法解析 Key Vault 的 DNS
錯誤的原因
當無法解析 Key Vault DNS 名稱時,您會看到錯誤訊息。 此錯誤可能表示 Azure Key Vault 服務中有一個主要問題,會封鎖 Cosmos DB 存取金鑰。
疑難排解
如果 Key Vault 最近已刪除,您需要將其還原。 如果沒有,請等候超過兩個小時,讓帳戶再次可供使用。 如果這些解決方案都沒有解除封鎖帳戶,請連絡客戶服務。