使用 Azure 金鑰保存庫 管理 Azure Stack Edge 秘密

適用于： Azure Stack Edge Pro - GPU Azure Stack Edge Pro 2 Azure Stack Edge Pro R Azure Stack Edge Mini R

Azure 金鑰保存庫已與 Azure Stack Edge 資源整合，以進行秘密管理。 本文提供如何在裝置啟用期間為 Azure Stack Edge 資源建立 Azure 金鑰保存庫，然後用於秘密管理的詳細資料。

關於金鑰保存庫和 Azure Stack Edge

Azure 金鑰保存庫雲端服務可用來安全地儲存及控制權杖、密碼、憑證、API 金鑰和其他秘密的存取。 金鑰保存庫也可讓您輕鬆地建立及控制用來加密資料的加密金鑰。

針對 Azure Stack Edge 服務，與金鑰保存庫的整合提供下列優點：

• 儲存客戶秘密。 Azure Stack Edge 服務所使用的其中一個秘密是通道完整性金鑰 （CIK）。 此金鑰可讓您加密秘密，並安全地儲存在金鑰保存庫中。 BitLocker 修復金鑰和基礎板管理控制器 （BMC） 使用者密碼等裝置密碼也會儲存在金鑰保存庫中。

  如需詳細資訊，請參閱 安全地儲存秘密和金鑰 。

• 將加密的客戶秘密傳遞至裝置。

• 如果裝置已關閉，則顯示裝置秘密以方便存取。

產生啟用金鑰並建立金鑰保存庫

在啟用金鑰產生程式期間，會為 Azure Stack Edge 資源建立金鑰保存庫。 金鑰保存庫會建立在 Azure Stack Edge 資源所在的相同資源群組中。 金鑰保存庫上需要參與者許可權。

金鑰保存庫的必要條件

在啟用期間建立金鑰保存庫之前，必須滿足下列必要條件：

• 在您建立 Azure Stack Edge 資源之前， 請先註冊 Microsoft.KeyVault 資源提供者。 如果您有訂用帳戶的擁有者或參與者存取權，系統會自動註冊資源提供者。 金鑰保存庫會建立在與 Azure Stack Edge 資源相同的訂用帳戶和資源群組中。

• 當您建立 Azure Stack Edge 資源時，也會建立系統指派的受控識別，以保存資源的存留期，並與雲端上的資源提供者通訊。

  啟用受控識別時，Azure 會為 Azure Stack Edge 資源建立受信任的身分識別。

金鑰保存庫建立

建立資源之後，您必須使用裝置啟用資源。 若要這樣做，您將從Azure 入口網站產生啟用金鑰。

當您產生啟用金鑰時，會發生下列事件：

• 您在Azure 入口網站中要求啟用金鑰。 然後，要求會傳送至金鑰保存庫資源提供者。
• 系統會建立具有存取原則的標準層金鑰保存庫，且預設會鎖定。

  • 此金鑰保存庫會使用預設名稱或您指定的 3 到 24 個字元長自訂名稱。 您無法使用已在使用中的金鑰保存庫。

  • 金鑰保存庫詳細資料會儲存在服務中。 此金鑰保存庫會用於秘密管理，而且只要 Azure Stack Edge 資源存在，就會保存。

    

• 金鑰保存庫上已啟用資源鎖定，以防止意外刪除。 如果發生意外刪除，也會在金鑰保存庫上啟用虛刪除，讓金鑰保存庫在 90 天內還原。 如需詳細資訊，請參閱 Azure 金鑰保存庫虛刪除概觀 。
• 您建立 Azure Stack Edge 資源時所建立的系統指派受控識別現在已啟用。
• 通道完整性金鑰 （CIK） 會產生並放置在金鑰保存庫中。 CIK 詳細資料會顯示在服務中。
• 區域備援儲存體帳戶 （ZRS） 也會建立在與 Azure Stack Edge 資源相同的範圍內，並將鎖定放在帳戶上。
  • 此帳戶用來儲存稽核記錄。
  • 儲存體帳戶建立是長時間執行的程式，需要幾分鐘的時間。
  • 儲存體帳戶會以金鑰保存庫名稱標記。
• 診斷設定會新增至金鑰保存庫，並啟用記錄。
• 受控識別會新增至金鑰保存庫存取原則，以允許存取金鑰保存庫，因為裝置會使用金鑰保存庫來儲存和擷取秘密。
• 金鑰保存庫會向受控識別驗證要求，以產生啟用金鑰。 啟用金鑰會傳回至Azure 入口網站。 然後，您可以複製此金鑰，並在本機 UI 中使用它來啟用您的裝置。

注意

• 如果您在 Azure 金鑰保存庫與 Azure Stack Edge 資源整合之前已有現有的 Azure Stack Edge 資源，則不會受到影響。 您可以繼續使用現有的 Azure Stack Edge 資源。
• 建立金鑰保存庫和儲存體帳戶會增加整體資源成本。 如需允許交易和對應費用的詳細資訊，請參閱 Azure 金鑰保存庫 定價和 儲存體 帳戶 的定價。

如果您遇到與金鑰保存庫和裝置啟用相關的任何問題，請參閱 針對裝置啟用問題 進行疑難排解。

檢視金鑰保存庫屬性

產生啟用金鑰並建立金鑰保存庫之後，您可能會想要存取金鑰保存庫，以檢視秘密、存取原則、診斷和深入解析。 下列程式描述這些作業的每一項。

檢視秘密

產生啟用金鑰並建立金鑰保存庫之後，您可能會想要存取金鑰保存庫。

若要存取金鑰保存庫並檢視秘密，請遵循下列步驟：

1. 在 Azure Stack Edge 資源的Azure 入口網站中，移至 [安全性 ]。

2. 在右窗格中的 [安全性 ] 底下 ，您可以檢視 秘密 。

3. 您也可以流覽至與您的 Azure Stack Edge 資源相關聯的金鑰保存庫。 選取 [金鑰保存庫名稱 ]。

   

4. 若要檢視金鑰保存庫中儲存的秘密，請移至 [ 秘密 ]。 通道完整性金鑰、BitLocker 修復金鑰和基礎板管理控制器 （BMC） 使用者密碼會儲存在金鑰保存庫中。 如果裝置關閉，入口網站可讓您輕鬆存取 BitLocker 修復金鑰和 BMC 使用者密碼。

   

檢視受控識別存取原則

若要存取金鑰保存庫和受控識別的存取原則，請遵循下列步驟：

1. 在 Azure Stack Edge 資源的Azure 入口網站中，移至 [安全性 ]。

2. 選取對應至 金鑰保存庫名稱 的連結，以流覽至與您的 Azure Stack Edge 資源相關聯的金鑰保存庫。

   

3. 若要檢視與您的金鑰保存庫相關聯的存取原則，請移至存取 原則 。 您可以看到受控識別已獲得存取權。 選取 [ 秘密許可權 ]。 您可以看到受控識別存取僅限於 秘密的 Get 和 Set 。

   

檢視稽核記錄

若要存取金鑰保存庫並檢視診斷設定和稽核記錄，請遵循下列步驟：

1. 在 Azure Stack Edge 資源的Azure 入口網站中，移至 [安全性 ]。

2. 選取對應至 金鑰保存庫名稱 的連結，以流覽至與您的 Azure Stack Edge 資源相關聯的金鑰保存庫。

   

3. 若要檢視與您的金鑰保存庫相關聯的診斷設定，請移至 [診斷設定 ]。 此設定可讓您監視金鑰保存庫的存取方式和時間，以及由誰存取。 您可以看到已建立診斷設定。 記錄會流入也建立的儲存體帳戶。 稽核事件也會在金鑰保存庫中建立。

   

如果您已為金鑰保存庫上的記錄設定不同的儲存體目標，則可以直接在該儲存體帳戶中檢視記錄。

檢視深入解析

若要存取金鑰保存庫深入解析，包括金鑰保存庫上執行的作業，請遵循下列步驟：

1. 在 Azure Stack Edge 資源的Azure 入口網站中，移至 [安全性 ]。

2. 選取對應至 金鑰保存庫診斷 的連結。

   

3. [ 深入解析] 刀鋒視窗提供金鑰保存庫上所執行作業的概觀。

   

檢視受控識別狀態

若要檢視與 Azure Stack Edge 資源相關聯的系統指派受控識別狀態，請遵循下列步驟：

1. 在 Azure Stack Edge 資源的Azure 入口網站中，移至 [安全性 ]。

2. 在右窗格中，移至 系統指派的受控識別 ，以檢視系統指派的受控識別是否已啟用或停用。

   

檢視金鑰保存庫鎖定

若要存取金鑰保存庫並檢視鎖定，請遵循下列步驟：

1. 在 Azure Stack Edge 資源的Azure 入口網站中，移至 [安全性 ]。

2. 選取對應至 金鑰保存庫名稱 的連結，以流覽至與您的 Azure Stack Edge 資源相關聯的金鑰保存庫。

   

3. 若要檢視金鑰保存庫上的鎖定，請移至 [鎖定 ]。 若要防止意外刪除，金鑰保存庫會啟用資源鎖定。

   

重新產生啟用金鑰

在某些情況下，您可能需要重新產生啟用金鑰。 當您重新產生啟用金鑰時，會發生下列事件：

1. 您要求重新產生Azure 入口網站中的啟用金鑰。
2. 啟用金鑰會傳回至Azure 入口網站。 然後，您可以複製此金鑰並加以使用。

當您重新產生啟用金鑰時，不會存取金鑰保存庫。

復原裝置秘密

如果意外刪除 CIK 或秘密（例如 BMC 使用者密碼）在金鑰保存庫中已過時，則您必須從裝置推送秘密來更新金鑰保存庫密碼。

請遵循下列步驟來同步處理裝置密碼：

1. 在Azure 入口網站中，移至您的 Azure Stack Edge 資源，然後移至 [安全性 ]。

2. 在右窗格中，從頂端命令列選取 [ 同步裝置秘密 ]。

3. 裝置密碼會推送至金鑰保存庫，以還原或更新金鑰保存庫中的秘密。 當同步處理完成時，您會看到通知。

   

刪除金鑰保存庫

有兩種方式可以刪除與 Azure Stack Edge 資源相關聯的金鑰保存庫：

• 刪除 Azure Stack Edge 資源，並選擇同時刪除相關聯的金鑰保存庫。
• 不小心直接刪除金鑰保存庫。

刪除 Azure Stack Edge 資源時，也會使用資源刪除金鑰保存庫。 系統會提示您確認。 如果您要將其他金鑰儲存在此金鑰保存庫中，而不想刪除此金鑰保存庫，您可以選擇不提供同意。 只會刪除 Azure Stack Edge 資源，讓金鑰保存庫保持不變。

請遵循下列步驟來刪除 Azure Stack Edge 資源和相關聯的金鑰保存庫：

1. 在Azure 入口網站中，移至您的 Azure Stack Edge 資源，然後移至 [ 概觀 ]。

2. 在右窗格中，選取 [ 刪除 ]。 此動作將會刪除 Azure Stack Edge 資源。

   

3. 您會看到確認刀鋒視窗。 輸入您的 Azure Stack Edge 資源名稱。 若要確認刪除相關聯的金鑰保存庫，請輸入 [是 ]。

   

4. 選取刪除。

Azure Stack Edge 資源和金鑰保存庫會遭到刪除。

當 Azure Stack Edge 資源正在使用中時，可能會不小心刪除金鑰保存庫。 如果發生這種情況，就會在 Azure Stack Edge 資源的 [安全性 ] 頁面中引發重大警示。 您可以流覽至此頁面以復原金鑰保存庫。

復原金鑰保存庫

如果 Azure Stack Edge 資源意外刪除或清除，您可以復原與 Azure Stack Edge 資源相關聯的金鑰保存庫。 如果此金鑰保存庫用來儲存其他金鑰，則必須藉由還原金鑰保存庫來復原這些金鑰。

• 在刪除後的 90 天內，您可以還原已刪除的金鑰保存庫。
• 如果已經過 90 天的清除保護期間，則無法還原金鑰保存庫。 相反地，您必須建立新的金鑰保存庫。

在刪除後的 90 天內，請遵循下列步驟來復原金鑰保存庫：

• 在Azure 入口網站中，移至 Azure Stack Edge 資源的 [安全性 ] 頁面。 您會看到與資源相關聯的金鑰保存庫已刪除之效果的通知。 您可以選取通知，或在 [安全性喜好設定 ] 底下 ，針對金鑰保存庫名稱選取 [重新 設定]，以復原金鑰保存庫。

  

• 在 [ 復原金鑰保存庫 ] 刀鋒視窗中，選取 [ 設定 ]。 下列作業會作為復原的一部分執行：

  

  • 金鑰保存庫會以相同的名稱進行復原，並將鎖定放在金鑰保存庫資源上。

    注意

    如果您的金鑰保存庫已刪除，且清除保護期間 90 天尚未經過，則在該期間內，就無法使用金鑰保存庫名稱來建立新的金鑰保存庫。

  • 系統會建立儲存體帳戶來儲存稽核記錄。

  • 系統指派的受控識別會授與金鑰保存庫的存取權。

  • 裝置密碼會推送至金鑰保存庫。

  選取設定。

  

  金鑰保存庫會復原，且復原完成時，就會顯示該效果的通知。

如果金鑰保存庫已刪除，且清除保護期間已經過 90 天，則您可以選擇透過上述的 復原金鑰程式 建立新的金鑰保存庫。 在此情況下，您將為您的金鑰保存庫提供新的名稱。 系統會建立新的儲存體帳戶、將受控識別授與此金鑰保存庫的存取權，並將裝置密碼推送至此金鑰保存庫。

復原受控識別存取

如果已刪除系統指派的受控識別存取原則，當裝置無法重新同步處理金鑰保存庫秘密時，就會引發警示。 如果受控識別無法存取金鑰保存庫，則會再次引發裝置警示。 選取每個案例中的警示，以開啟 [ 復原金鑰保存庫] 刀鋒視窗 並重新設定。 此程式應該還原受控識別存取。

下一步

• 深入瞭解如何 產生啟用金鑰 。
• 針對 Azure Stack Edge 裝置上的金鑰保存庫錯誤 進行疑難排解。