步驟 2:HSM 保護的金鑰移轉至 HSM 保護的金鑰

這些指示屬於將路徑從 AD RMS 移轉至 Azure 資訊保護,且只有在您的 AD RMS 金鑰是受 HSM 所保護,而且您想要使用 Azure 金鑰保存庫中受 HSM 保護的租用戶金鑰來移轉至 Azure 資訊保護時才適用。

如果這不是您選擇的設定案例,請返回 步驟 4。從 AD RMS 匯出設定資料,並將其匯入至 Azure RMS ,然後選擇不同的組態。

注意

這些指示假設您的 AD RMS 金鑰是模組保護的。 這是最典型的情況。

其為兩部分的程序,可將 HSM 金鑰及 AD RMS 組態匯入 Azure Information Protection,以產生由您管理的 (BYOK) Azure 資訊保護租用戶金鑰。

由於您的 Azure 資訊保護租用戶金鑰將由 Azure 金鑰保存庫儲存和管理,因此這部分的移轉除了 Azure 資訊保護外,還需要 Azure 金鑰保存庫中的管理。 若組織的 Azure Key Vault 並非由您管理,而是由其他系統管理員所管理,則您需要與該系統管理員共同合作,才能完成這些程序。

在開始之前,請確定您的組織已在 Azure 金鑰保存庫中建立金鑰保存庫,且其支援 HSM 保護的金鑰。 雖然並非必要,但仍建議您具備 Azure 資訊保護的專用金鑰保存庫。 此金鑰保存庫會設定為允許 Azure Rights Management Service 存取,因此此金鑰保存庫儲存的金鑰應該只限制為 Azure 資訊保護金鑰。

提示

若即將進行 Azure Key Vault 的設定步驟,但尚未熟悉這項 Azure 服務,建議您先檢閱開始使用 Azure Key Vault

第 1 篇:將您的 HSM 金鑰傳輸至 Azure 金鑰保存庫

這些程序由 Azure 金鑰保存庫的系統管理員完成。

  1. 針對您要儲存在 Azure Key Vault 的每個匯出 SLC 金鑰,請遵循 Azure Key Vault 文件中的指示,執行實作 Azure Key Vault 的自備金鑰 (BYOK) 中的步驟,但下列除外:

    • 請勿執行產生您的租用戶金鑰步驟,因為您已從 AD RMS 部署取得對等項目。 相反地,請從 nCipher 安裝識別 AD RMS 伺服器所使用的金鑰,並準備這些金鑰以進行傳輸,然後將金鑰傳輸到 Azure 金鑰保存庫。

      nCipher 的加密金鑰檔案會命名為伺服器上本機key_ <keyAppName> _ <keyIdentifier>。 例如:C:\Users\All Users\nCipher\Key Management Data\local\key_mscapi_f829e3d888f6908521fe3d91de51c25d27116a54。 當您執行 KeyTransferRemote 命令時,需要 mscapi 值做為 keyAppName,而且當您執行 KeyTransferRemote 命令以建立具有縮減許可權的金鑰複本時,金鑰識別碼的您自己的值。

      您會在金鑰上傳至 Azure 金鑰保存庫時看到金鑰的屬性,其中包含金鑰識別碼。 看起來會類似 https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. 請記下此 URL,因為 Azure 資訊保護系統管理員需要使用它來告訴 Azure Rights Management 服務使用此金鑰作為其租用戶金鑰。

  2. 在連線到網際網路的工作站上,在 PowerShell 會話中,使用Set-AzKeyVaultAccessPolicy Cmdlet 來授權 Azure Rights Management 服務主體存取將儲存 Azure 資訊保護 租使用者金鑰的金鑰保存庫。 所需的權限包括解密、加密、解除包裝金鑰、包裝金鑰、驗證及簽署。

    例如,若您已建立的 Azure 資訊保護金鑰保存庫名為 contoso-byok-ky,且資源群組名為 contoso-byok-rg,則執行下列命令︰

    Set-AzKeyVaultAccessPolicy -VaultName "contoso-byok-kv" -ResourceGroupName "contoso-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
    

現在您已在 Azure 資訊保護的 Azure Rights Management Service 的 Azure 金鑰保存庫中備妥 HSM 金鑰,可開始匯入您的 AD RMS 組態資料。

第 2 篇:將組態資料匯入 Azure 資訊保護

這些程序由 Azure 資訊保護的系統管理員完成。

  1. 在網際網路連線工作站和 PowerShell 會話中,使用 Connect-AipService Cmdlet 連線到 Azure Rights Management 服務。

    然後使用 Import-AipServiceTpd Cmdlet 上傳每個受信任的發佈網域 (.xml) 檔案。 例如,如果您已升級 AD RMS 叢集來支援「密碼編譯模式 2」,您應該至少會有一個額外的檔案要匯入。

    若要執行這個 Cmdlet,您會需要先前為每個設定資料檔指定的密碼,以及在上一步驟中所識別金鑰的 URL。

    例如,使用組態資料檔 C:\contoso_tpd1.xml,以及來自先前步驟的金鑰 URL 值,先執行下列步驟來儲存密碼:

     $TPD_Password = Read-Host -AsSecureString
    

    輸入您匯出組態資料檔所指定的密碼。 接著,執行下列命令並確認您要執行此動作:

    Import-AipServiceTpd -TpdFile "C:\contoso-tpd1.xml" -ProtectionPassword $TPD_Password –KeyVaultKeyUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
    

    在匯入過程中,將會匯入 SLC 金鑰並自動設為封存。

  2. 上傳每個檔案之後,請執行 Set-AipServiceKeyProperties 來指定哪些匯入的金鑰符合 AD RMS 叢集中目前作用中的 SLC 金鑰。 此金鑰會成為您 Azure Rights Management 服務的作用中租用戶金鑰。

  3. 使用 Disconnect-AipServiceService Cmdlet 從 Azure Rights Management 服務中斷連線:

    Disconnect-AipServiceService
    

如果您稍後需要確認 Azure 資訊保護租使用者金鑰在 Azure 金鑰保存庫中使用哪個金鑰,請使用Get-AipServiceKeys Azure RMS Cmdlet。

您現在已準備好移至 步驟 5。啟用 Azure Rights Management 服務