共用方式為


使用 Azure Key Vault 管理 Azure Stack Edge 祕密

適用於: 是,適用於 Pro GPU SKUAzure Stack Edge Pro - GPU是,適用於 Pro 2 SKUAzure Stack Edge Pro 2是,適用於 Pro R SKUAzure Stack Edge Pro R是,適用於 Mini R SKUAzure Stack Edge Mini R

Azure Key Vault 已與 Azure Stack Edge 資源整合以便進行密碼管理。 本文會詳細說明在裝置啟用期間如何為 Azure Stack Edge 資源建立 Azure Key Vault,然後用其進行密碼管理。

關於金鑰保存庫和 Azure Stack Edge

Azure Key Vault 雲端服務可以安全地儲存權杖、密碼、憑證、API 金鑰和其他祕密,並控制其存取。 Key Vault 也可讓您輕鬆地建立和控制用來加密資料的加密金鑰。

對於 Azure Stack Edge 服務,與金鑰保存庫的整合可提供以下好處:

  • 儲存客戶密碼。 Azure Stack Edge 服務所使用的密碼之一為通道完整性金鑰 (CIK)。 此金鑰可讓您加密您的密碼,而且該金鑰會安全地儲存在金鑰保存庫中。 BitLocker 修復金鑰和基礎板管理控制器 (BMC) 使用者密碼等裝置密碼也會儲存在金鑰保存庫中。

    如需詳細資訊,請參閱安全地儲存密碼和金鑰

  • 將加密的客戶密碼傳遞至裝置。

  • 如果裝置已關閉,則顯示裝置密碼以便輕鬆存取。

產生啟用金鑰並建立金鑰保存庫

在啟用金鑰產生過程中,系統會為 Azure Stack Edge 資源建立金鑰保存庫。 金鑰保存庫會建立 Azure Stack Edge 資源所在的相同資源群組中。 金鑰保存庫需要參與者權限。

金鑰保存庫的必要條件

在啟用期間建立金鑰保存庫前,必須滿足下列先決條件:

  • 在建立 Azure Stack Edge 資源之前,請先註冊 Microsoft.KeyVault 資源提供者。 如果您擁有訂閱的擁有者或參與者存取權,系統會自動註冊資源提供者。 金鑰保存庫會建立在 Azure Stack Edge 資源所在的相同訂閱和資源群組中。

  • 當您建立 Azure Stack Edge 資源時,系統也會建立一個系統指派的受控識別,該受控識別在資源的存留期間會持續存在,而且會與雲端上的資源提供者通訊。

    啟用受控識別時,Azure 會為 Azure Stack Edge 資源建立受信任的身分識別。

建立金鑰保存庫

建立資源之後,您必須使用裝置來啟動資源。 若要這麼做,您需要從 Azure 入口網站產生啟用金鑰。

產生啟用金鑰時,會發生下列事件:

啟用金鑰產生流程

  • 您可以在 Azure 入口網站中要求啟用金鑰。 接著,該要求會傳送到金鑰保存庫的資源提供者。
  • 系統會建立具有存取原則的標準層金鑰保存庫,然後根據預設將其鎖定。
    • 此金鑰保存庫會使用預設名稱或 3 到 24 個字元的自訂名稱。 您無法使用已在使用中的金鑰保存庫。

    • 金鑰保存庫的詳細資料會儲存在服務中。 只要 Azure Stack Edge 資源存在,此金鑰保存庫就會一直用來進行密碼管理。

      在啟用金鑰產生期間建立 金鑰保存庫

  • 金鑰保存庫上會啟用資源鎖定以防止意外刪除。 金鑰保存庫上也會啟用虛刪除,這樣如果發生意外刪除的狀況,在 90 天內都可以還原金鑰保存庫。 如需詳細資訊,請參閱 Azure Key Vault 虛刪除概觀
  • Azure Stack Edge 資源建立時所建立的系統指派受控識別現已啟用。
  • 系統會產生通道完整性金鑰 (CIK) 並將其放到金鑰保存庫中。 CIK 詳細資料會顯示在服務中。
  • 系統也會在與 Azure Stack Edge 資源相同的範圍內建立一個區域備援儲存體帳戶 (ZRS),而該帳戶會鎖定。
    • 此帳戶會用來儲存稽核記錄。
    • 儲存體帳戶的建立是漫長的流程,需要幾分鐘的時間。
    • 儲存體帳戶會以金鑰保存庫名稱標記。
  • 系統會將診斷設定新增至金鑰保存庫並啟用記錄。
  • 受控識別會加入金鑰保存庫存取原則以准許金鑰保存庫的存取,讓裝置利用金鑰保存庫來儲存和取出密碼。
  • 金鑰保存庫會使用受控識別來驗證要求以產生啟用金鑰。 啟用金鑰會傳回至 Azure 入口網站。 接下來,您可以複製此金鑰,在本機 UI 中使用它來啟動您的裝置。

注意

  • 如果您在 Azure Key Vault 與 Azure Stack Edge 資源整合之前已擁有 Azure Stack Edge 資源,您將不會受到影響。 您可以繼續使用現有的 Azure Stack Edge 資源。
  • 建立金鑰保存庫和儲存體帳戶會增加整體的資源成本。 如需允許交易和對應費用的詳細資訊,請參閱 Azure 金鑰保存庫定價儲存體帳戶定價

如果您遇到任何關於金鑰保存庫和裝置啟用的問題,請參閱疑難排解裝置啟用問題

檢視金鑰保存庫屬性

產生啟用金鑰並建立金鑰保存庫之後,您可能會想要存取金鑰保存庫以檢視密碼、存取原則、診斷和深入解析。 下列程序將詳細說明每一項作業。

檢視密碼

產生啟用金鑰並建立金鑰保存庫之後,您可能會想要存取金鑰保存庫。

若要存取金鑰保存庫以檢視密碼,請遵循下列步驟:

  1. 在您 Azure Stack Edge 資源的 Azure 入口網站中,移至 [安全性]

  2. 您可以在右窗格中的 [安全性] 下方檢視 [密碼]

  3. 您也可以瀏覽至與您的 Azure Stack Edge 資源相關聯的金鑰保存庫。 選取 [金鑰保存庫名稱]

    移至裝置金鑰保存庫

  4. 若要檢視儲存在金鑰保存庫中的密碼,請移至 [密碼]。 通道完整性金鑰、BitLocker 修復金鑰和基礎板管理控制器 (BMC) 使用者密碼會儲存在金鑰保存庫中。 如果裝置出現故障,您可以透過入口網站輕鬆存取 BitLocker 修復金鑰和 BMC 使用者密碼。

    在金鑰保存庫中檢視裝置密碼

檢視受控識別存取原則

若要存取金鑰保存庫和受控識別的存取原則,請遵循下列步驟:

  1. 在您 Azure Stack Edge 資源的 Azure 入口網站中,移至 [安全性]

  2. 選取對應金鑰保存庫名稱的連結,以瀏覽至與您 Azure Stack Edge 資源相關聯的金鑰保存庫。

    移至裝置金鑰保存庫

  3. 若要檢視與您的金鑰保存庫相關聯的存取原則,請移至 [存取原則]。 您可以看到受控識別已獲得存取權。 選取 [秘密權限]。 您可以看到受控識別的存取權僅限於 [取得] 和 [設定] 密碼。

    檢視金鑰保存庫的存取原則

檢視稽核記錄

若要存取金鑰保存庫並檢視診斷設定和稽核記錄,請遵循下列步驟:

  1. 在您 Azure Stack Edge 資源的 Azure 入口網站中,移至 [安全性]

  2. 選取對應金鑰保存庫名稱的連結,以瀏覽至與您 Azure Stack Edge 資源相關聯的金鑰保存庫。

    移至裝置金鑰保存庫

  3. 若要檢視與金鑰保存庫相關聯的診斷設定,請移至 [診斷設定]。 此設定可讓您監視金鑰保存庫的存取方式、時間和人員。 您可以看到已建立的診斷設定。 記錄會流入一併建立的儲存體帳戶中。 稽核事件也會建立在金鑰保存庫中。

    檢視金鑰保存庫的診斷設定

如果您為金鑰保存庫上的記錄設定了不同的儲存體目標,您可以直接在該儲存體帳戶中檢視記錄。

檢視深入解析

若要存取金鑰保存庫深入解析 (包括在金鑰保存庫上執行的作業),請遵循下列步驟:

  1. 在您 Azure Stack Edge 資源的 Azure 入口網站中,移至 [安全性]

  2. 選取對應金鑰保存庫診斷 的連結。

    移至裝置金鑰保存庫

  3. [深入解析] 刀鋒視窗提供金鑰保存庫上執行之作業的概觀。

    檢視金鑰保存庫的深入解析

檢視受控識別狀態

若要檢視與 Azure Stack Edge 資源相關聯的系統指派受控識別狀態,請遵循以下步驟:

  1. 在您 Azure Stack Edge 資源的 Azure 入口網站中,移至 [安全性]

  2. 在右窗格中,移至 [系統指派的受控識別] 以檢視系統指派的受控識別是否已啟用或停用。

    移至裝置金鑰保存庫

檢視金鑰保存庫鎖定

若要存取金鑰保存庫以檢視鎖定,請遵循下列步驟:

  1. 在您 Azure Stack Edge 資源的 Azure 入口網站中,移至 [安全性]

  2. 選取對應金鑰保存庫名稱的連結,以瀏覽至與您 Azure Stack Edge 資源相關聯的金鑰保存庫。

    移至裝置金鑰保存庫

  3. 若要檢視金鑰保存庫上的鎖,請移至 [鎖定]。 金鑰保存庫會啟用資源鎖定以防止意外刪除。

    檢視金鑰保存庫的鎖定

重新產生啟用金鑰

在某些情況下,您可能需要重新產生啟用金鑰。 重新產生啟用金鑰時,會發生下列事件:

  1. 您在 Azure 入口網站中要求重新產生啟用金鑰。
  2. 啟用金鑰會傳回至 Azure 入口網站。 接下來,您就可以複製此金鑰並使用。

重新產生啟用金鑰時,您不會存取金鑰保存庫。

復原裝置密碼

如果 CIK 被意外刪除,或者密碼 (如 BMC 使用者密碼) 在金鑰保存庫中過期,您必須透過裝置推送密碼來更新金鑰保存庫密碼。

請遵循下列步驟來同步裝置密碼:

  1. 在 Azure 入口網站中,移至您的 Azure Stack Edge 資源,然後移至 [安全性]

  2. 在右側窗格中,從命令列中選取 [同步裝置密碼]

  3. 裝置密碼會推送至金鑰保存庫以還原或更新金鑰保存庫中的密碼。 您會在當同步處理完成後看到通知。

    同步金鑰保存庫上的裝置密碼

刪除金鑰保存庫

有兩種方法可以刪除與 Azure Stack Edge 資源相關聯的金鑰保存庫:

  • 刪除 Azure Stack Edge 資源,然後選擇同時刪除相關聯的金鑰保存庫。
  • 意外刪除金鑰保存庫。

Azure Stack Edge 資源被刪除時,金鑰保存庫也會與資源一起刪除。 系統會提示您進行確認。 如果您要在此金鑰保存庫中儲存其他金鑰,而且不想刪除此金鑰保存庫,您可以選擇不同意。 只有 Azure Stack Edge 資源遭刪除,而金鑰保存庫完好無損。

請遵循下列步驟來刪除 Azure Stack Edge 資源和相關聯的金鑰保存庫:

  1. 在 Azure 入口網站中,移至您的 Azure Stack Edge 資源,然後移至 [概觀]

  2. 在右側窗格中,選取 [刪除]。 此動作會刪除 Azure Stack Edge 資源。

    刪除 Azure Stack Edge 資源和相關聯的金鑰保存庫

  3. 您會看到確認刀鋒視窗。 輸入您的 Azure Stack Edge 資源名稱。 若要確認刪除相關聯的金鑰保存庫,請輸入 [是]

    確認刪除 Azure Stack Edge 資源和相關聯的密鑰保存庫

  4. 選取 [刪除]

Azure Stack Edge 資源和金鑰保存庫會被刪除。

如果 Azure Stack Edge 資源正在使用中,金鑰保存庫可能會被意外刪除。 如果發生這種情況,您 Azure Stack Edge 資源的 [安全性] 頁面中會出現重大警示。 您可以瀏覽至此頁面以復原您的金鑰保存庫。

復原金鑰保存庫

如果意外刪除或清除了 Azure Stack Edge 資源,您可以復原與 Azure Stack Edge 資源相關聯的金鑰保存庫。 如果此金鑰保存庫之前有用來儲存其他金鑰,則您必須還原金鑰保存庫才能復原這些金鑰。

  • 在刪除後的 90 天內,您都可以還原已刪除的金鑰保存庫。
  • 90 天的清除保護期過後,您便無法還原金鑰保存庫。 相反的,您只能建立新的金鑰保存庫。

在刪除後的 90 天內,請遵循下列步驟來復原金鑰保存庫:

  • 在 Azure 入口網站中,移至您 Azure Stack Edge 資源中的 [安全性] 頁面。 您會看到一個通知,告知您與資源相關聯的金鑰保存庫已刪除。 您可以選取該通知,或者選取 [安全性喜好設定] 底下的 [重新設定金鑰保存庫名稱] 以復原金鑰保存庫。

    移至 [安全性] 頁面

  • 在 [復原金鑰保存庫] 刀鋒視窗中選取 [設定]。 作爲復原的一部分,已執行下列作業:

    復原步驟

    • 金鑰保存庫會以相同名稱復原,而且金鑰保存庫資源會鎖定。

      注意

      如果您的金鑰保存庫遭刪除,但尚未超過 90 天清除保護期,則在該期間內,該金鑰保存庫的名稱無法用來建立新的金鑰保存庫。

    • 系統會建立儲存體帳戶來儲存稽核記錄。

    • 系統指派的受控識別授會得到金鑰保存庫的存取權。

    • 裝置祕密已推送至金鑰保存庫。

    選取設定

    復原金鑰保存庫刀鋒視窗

    金鑰保存庫已復原,復原完成時會出現相應的通知。

如果金鑰保存庫已遭刪除且 90 天的清除保護期已過,您可以選擇透過上述的金鑰復原程序來建立新的金鑰保存庫。 在此情況下,您需要為您的金鑰保存庫提供新的名稱。 系統會建立新的儲存體帳戶,將此金鑰保存庫的存取權授予受控識別,然後將裝置密碼推送至此金鑰保存庫。

復原受控識別的存取權

如果系統指派的受控識別存取原則遭到刪除,裝置無法重新同步處理金鑰保存庫密碼時便會引發警示。 如果受控識別無法存取金鑰保存庫,則會再次引發裝置警示。 選取每個案例中的警示以開啟 [復原金鑰保存庫] 刀鋒視窗並重新設定。 此流程可以還原受控識別的存取權。

授與金鑰保存庫流程的受控識別存取權

下一步