Použití klíčů spravovaných zákazníkem ve službě Azure Key Vault pro Azure Data Box
Azure Data Box chrání klíč pro odemknutí zařízení (označovaný také jako heslo zařízení), který slouží k uzamčení zařízení, prostřednictvím šifrovacího klíče. Ve výchozím nastavení je tento šifrovací klíč spravovaný Microsoftem. Pokud chcete mít větší kontrolu, můžete použít klíč spravovaný zákazníkem.
Použití klíče spravovaného zákazníkem nemá vliv na šifrování dat v zařízení. Má vliv pouze na šifrování klíče pro odemknutí zařízení.
Pokud chcete zachovat tuto úroveň kontroly v celém procesu objednávky, použijte při vytváření objednávky klíč spravovaný zákazníkem. Další informace najdete v tématu Kurz: Objednání Azure Data Boxu.
Tento článek ukazuje, jak na webu Azure Portal povolit klíč spravovaný zákazníkem pro vaši stávající objednávku Data Boxu. Zjistíte, jak změnit trezor klíčů, klíč, verzi nebo identitu vašeho aktuálního klíče spravovaného zákazníkem nebo přepnout zpět na použití spravovaného klíče Microsoftu.
Tento článek se týká zařízení Azure Data Box a Azure Data Box Heavy.
Požadavky
Klíč spravovaný zákazníkem pro objednávku Data Boxu musí splňovat následující požadavky:
- Klíč se musí vytvořit a uložit ve službě Azure Key Vault s povoleným obnovitelném odstraněním a nevyprázdnit . Další informace najdete v tématu Co je Azure Key Vault? Při vytváření nebo aktualizaci objednávky můžete vytvořit trezor klíčů a klíč.
- Klíč musí být klíč RSA o velikosti 2048 nebo větší.
- Musíte povolit
Getklíč aUnwrapKeyWrapKeyoprávnění pro klíč ve službě Azure Key Vault. Oprávnění musí zůstat na místě po celou dobu životnosti objednávky. V opačném případě není klíč spravovaný zákazníkem přístupný na začátku fáze kopírování dat.
Povolení klíče
Pokud chcete na webu Azure Portal povolit klíč spravovaný zákazníkem pro vaši stávající objednávku Data Boxu, postupujte takto:
Přejděte na obrazovku Přehled objednávky Data Boxu.
Přejděte do části Šifrování nastavení > a vyberte Klíč spravovaný zákazníkem. Pak vyberte Vybrat klíč a trezor klíčů.
Na obrazovce Vybrat klíč ze služby Azure Key Vault se vaše předplatné vyplní automaticky.
V případě trezoru klíčů můžete v rozevíracím seznamu vybrat existující trezor klíčů nebo vybrat Vytvořit nový a vytvořit nový trezor klíčů.
Pokud chcete vytvořit nový trezor klíčů, zadejte předplatné, skupinu prostředků, název trezoru klíčů a další informace na obrazovce Vytvořit nový trezor klíčů. V možnostech obnovení se ujistěte, že je povolená ochrana obnovitelného odstranění a vymazání. Pak vyberte Zkontrolovat a vytvořit.
Zkontrolujte informace o trezoru klíčů a vyberte Vytvořit. Počkejte několik minut, než se vytvoření trezoru klíčů dokončí.
Na obrazovce Vybrat klíč ze služby Azure Key Vault můžete vybrat existující klíč z trezoru klíčů nebo vytvořit nový.
Pokud chcete vytvořit nový klíč, vyberte Vytvořit nový. Musíte použít klíč RSA. Velikost může být 2048 nebo vyšší.
Zadejte název nového klíče, přijměte ostatní výchozí hodnoty a vyberte Vytvořit. Zobrazí se oznámení o vytvoření klíče v trezoru klíčů.
Pro verzi můžete v rozevíracím seznamu vybrat existující verzi klíče.
Pokud chcete vygenerovat novou verzi klíče, vyberte Vytvořit novou.
Zvolte nastavení pro novou verzi klíče a vyberte Vytvořit.
Pokud jste vybrali trezor klíčů, klíč a verzi klíče, zvolte Vybrat.
Nastavení typu šifrování zobrazuje trezor klíčů a klíč, který jste zvolili.
Vyberte typ identity, který se má použít ke správě klíče spravovaného zákazníkem pro tento prostředek. Můžete použít identitu přiřazenou systémem, která byla vygenerována při vytváření objednávky, nebo zvolit identitu přiřazenou uživatelem.
Identita přiřazená uživatelem je nezávislý prostředek, který můžete použít ke správě přístupu k prostředkům. Další informace najdete v tématu Typy spravovaných identit.
Pokud chcete přiřadit identitu uživatele, vyberte Přiřazený uživatel. Pak vyberte Vybrat identitu uživatele a vyberte spravovanou identitu, kterou chcete použít.
Tady nemůžete vytvořit novou identitu uživatele. Informace o tom, jak ho vytvořit, najdete v tématu Vytvoření, výpis, odstranění nebo přiřazení role spravované identitě přiřazené uživatelem pomocí webu Azure Portal.
Vybraná identita uživatele se zobrazí v nastavení typu šifrování.
Výběrem možnosti Uložit uložte aktualizované nastavení typu šifrování.
Adresa URL klíče se zobrazí pod typem šifrování.
Důležité
Je nutné povolit Getklíč a UnwrapKeyWrapKey oprávnění. Pokud chcete nastavit oprávnění v Azure CLI, přečtěte si příkaz az keyvault set-policy.
Změnit klíč
Pokud chcete změnit verzi trezoru klíčů, klíče nebo klíče pro klíč spravovaný zákazníkem, který právě používáte, postupujte takto:
Na obrazovce Přehled objednávky Data Boxu přejděte na Nastavení>šifrování a klikněte na Změnit klíč.
Vyberte jiný trezor klíčů a klíč.
Na obrazovce Vybrat klíč z trezoru klíčů se zobrazuje předplatné, ale bez trezoru klíčů, klíče nebo verze klíče. Můžete provést některou z následujících změn:
Vyberte jiný klíč ze stejného trezoru klíčů. Před výběrem klíče a verze budete muset trezor klíčů vybrat.
Vyberte jiný trezor klíčů a přiřaďte nový klíč.
Změňte verzi aktuálního klíče.
Po dokončení změn zvolte Vybrat.
Zvolte Uložit.
Důležité
Je nutné povolit Getklíč a UnwrapKeyWrapKey oprávnění. Pokud chcete nastavit oprávnění v Azure CLI, přečtěte si příkaz az keyvault set-policy.
Změna identity
Pokud chcete změnit identitu, která se používá ke správě přístupu ke klíči spravovanému zákazníkem pro tuto objednávku, postupujte takto:
Na obrazovce Přehled dokončené objednávky Data Boxu přejděte na Nastavení>šifrování.
Proveďte jednu z následujících změn:
Pokud chcete změnit jinou identitu uživatele, klikněte na vybrat jinou identitu uživatele. Pak na panelu na pravé straně obrazovky vyberte jinou identitu a zvolte Vybrat.
Pokud chcete přepnout na identitu přiřazenou systémem vygenerovanou při vytváření objednávky, vyberte Systém přiřazený typem identity.
Zvolte Uložit.
Použití spravovaného klíče Microsoftu
Pokud chcete změnit použití klíče spravovaného zákazníkem na klíč spravovaný Microsoftem pro vaši objednávku, postupujte takto:
Na obrazovce Přehled dokončené objednávky Data Boxu přejděte na Nastavení>šifrování.
Podle typu Vybrat vyberte klíč spravovaný Microsoftem.
Zvolte Uložit.
Řešení chyb
Pokud dojde k chybám souvisejícím s klíčem spravovaným zákazníkem, při řešení potíží použijte následující tabulku.
| Kód chyby | Podrobnosti o chybě | Dobytný? |
|---|---|---|
| SsemUserErrorEncryptionKeyDisabled | Nelze načíst klíč, protože klíč spravovaný zákazníkem je zakázaný. | Ano, povolením verze klíče. |
| SsemUserErrorEncryptionKeyExpired | Nelze načíst klíč, protože vypršela platnost klíče spravovaného zákazníkem. | Ano, povolením verze klíče. |
| SsemUserErrorKeyDetailsNotFound | Nelze načíst klíč, protože se nepodařilo najít klíč spravovaný zákazníkem. | Pokud jste trezor klíčů odstranili, nemůžete obnovit klíč spravovaný zákazníkem. Pokud jste migrovali trezor klíčů do jiného tenanta, přečtěte si téma Změna ID tenanta trezoru klíčů po přesunu předplatného. Pokud jste odstranili trezor klíčů:
Jinak pokud trezor klíčů prošel migrací tenanta, ano, můžete ho obnovit pomocí jednoho z následujících kroků:
|
| SsemUserErrorKeyVaultBadRequestException | Použili jste klíč spravovaný zákazníkem, ale přístup ke klíči nebyl udělen nebo byl odvolán nebo se nepodařilo získat přístup k trezoru klíčů kvůli povolení brány firewall. | Přidejte do trezoru klíčů vybranou identitu, abyste povolili přístup k klíči spravovanému zákazníkem. Pokud má trezor klíčů povolenou bránu firewall, přepněte na identitu přiřazenou systémem a přidejte klíč spravovaný zákazníkem. Další informace najdete v tématu povolení klíče. |
| SsemUserErrorKeyVaultDetailsNotFound | Nelze načíst klíč jako přidružený trezor klíčů pro klíč spravovaný zákazníkem. | Pokud jste trezor klíčů odstranili, nemůžete obnovit klíč spravovaný zákazníkem. Pokud jste migrovali trezor klíčů do jiného tenanta, přečtěte si téma Změna ID tenanta trezoru klíčů po přesunu předplatného. Pokud jste odstranili trezor klíčů:
Jinak pokud trezor klíčů prošel migrací tenanta, ano, můžete ho obnovit pomocí jednoho z následujících kroků:
|
| SsemUserErrorSystemAssignedIdentityAbsent | Nelze načíst klíč, protože se nepodařilo najít klíč spravovaný zákazníkem. | Ano, zkontrolujte, jestli:
|
| SsemUserErrorUserAssignedLimitReached | Přidání nové identity přiřazené uživatelem selhalo, protože jste dosáhli limitu celkového počtu identit přiřazených uživatelem, které je možné přidat. | Zkuste operaci zopakovat s menším počtem identit uživatelů nebo před opakováním odeberte z prostředku některé identity přiřazené uživatelem. |
| SsemUserErrorCrossTenantIdentityAccessForbidden | Operace přístupu ke spravované identitě se nezdařila. Poznámka: K této chybě může dojít, když se předplatné přesune do jiného tenanta. Zákazník musí identitu ručně přesunout do nového tenanta. |
Zkuste do trezoru klíčů přidat jinou identitu přiřazenou uživatelem, abyste povolili přístup ke klíči spravovanému zákazníkem. Nebo přesuňte identitu do nového tenanta, pod kterým se předplatné nachází. Další informace najdete v tématu povolení klíče. |
| SsemUserErrorKekUserIdentityNotFound | Použili jste klíč spravovaný zákazníkem, ale identitu přiřazenou uživatelem, která má přístup k klíči, nebyla v active directory nalezena. Poznámka: K této chybě může dojít při odstranění identity uživatele z Azure. |
Zkuste do trezoru klíčů přidat jinou identitu přiřazenou uživatelem, abyste povolili přístup ke klíči spravovanému zákazníkem. Další informace najdete v tématu povolení klíče. |
| SsemUserErrorUserAssignedIdentityAbsent | Nelze načíst klíč, protože se nepodařilo najít klíč spravovaný zákazníkem. | Nelze získat přístup k klíči spravovanému zákazníkem. Buď je odstraněna identita přiřazená uživatelem (UAI) přidružená k klíči, nebo se změnil typ UAI. |
| SsemUserErrorKeyVaultBadRequestException | Použili jste klíč spravovaný zákazníkem, ale přístup ke klíči nebyl udělen nebo byl odvolán, nebo se k trezoru klíčů nepodařilo získat přístup, protože je povolená brána firewall. | Přidejte do trezoru klíčů vybranou identitu, abyste povolili přístup k klíči spravovanému zákazníkem. Pokud má trezor klíčů povolenou bránu firewall, přepněte na identitu přiřazenou systémem a přidejte klíč spravovaný zákazníkem. Další informace najdete v tématu povolení klíče. |
| SsemUserErrorEncryptionKeyTypeNotSupported | Typ šifrovacího klíče není pro operaci podporovaný. | Povolte u klíče podporovaný typ šifrování , například RSA nebo RSA-HSM. Další informace najdete v tématu Typy klíčů, algoritmy a operace. |
| SsemUserErrorSoftDeleteAndPurgeProtectionNotEnabled | Trezor klíčů nemá povolenou obnovitelné odstranění ani ochranu před vymazáním. | Ujistěte se, že je v trezoru klíčů povolená ochrana proti obnovitelnému odstranění i vymazání. |
| SsemUserErrorInvalidKeyVaultUrl (Pouze příkazový řádek) |
Byl použit neplatný identifikátor URI trezoru klíčů. | Získejte správný identifikátor URI trezoru klíčů. Pokud chcete získat identifikátor URI trezoru klíčů, použijte rutinu Get-AzKeyVault v PowerShellu. |
| SsemUserErrorKeyVaultUrlWithInvalidScheme | Pro předávání identifikátoru URI trezoru klíčů se podporuje jenom HTTPS. | Předejte identifikátor URI trezoru klíčů přes PROTOKOL HTTPS. |
| SsemUserErrorKeyVaultUrlInvalidHost | Hostitel identifikátoru URI trezoru klíčů není povoleným hostitelem v geografické oblasti. | Ve veřejném cloudu by měl identifikátor URI trezoru klíčů končit vault.azure.net. V cloudu Azure Government by měl identifikátor URI trezoru klíčů končit vault.usgovcloudapi.net. |
| Obecná chyba | Nelze načíst klíč. | Tato chyba je obecná chyba. Pokud chcete tuto chybu vyřešit, obraťte se na podpora Microsoftu a zjistěte další kroky. |