Risolvere i problemi relativi a una chiave gestita dal cliente

  • Articolo

Questo articolo è la quarta parte di una serie di esercitazioni in quattro parti. La prima parte offre una panoramica delle chiavi gestite dal cliente, delle relative funzionalità e delle considerazioni di cui tenere conto prima di abilitarne una nel registro. Nella seconda parte si apprenderà come abilitare una chiave gestita dal cliente tramite l'interfaccia della riga di comando di Azure, il portale di Azure o un modello di Azure Resource Manager. Nella terza parte si apprenderà come ruotare, aggiornare e revocare una chiave gestita dal cliente. Questo articolo consente di risolvere e correggere i problemi comuni relativi alle chiavi gestite dal cliente.

Errore durante la rimozione di un'identità gestita

Se si tenta di rimuovere un'identità gestita assegnata dall'utente o assegnata dal sistema usata per configurare la crittografia per il registro, è possibile che venga visualizzato un errore:

Azure resource '/subscriptions/xxxx/resourcegroups/myGroup/providers/Microsoft.ContainerRegistry/registries/myRegistry' does not have access to identity 'xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx' Try forcibly adding the identity to the registry <registry name>. For more information on bring your own key, please visit 'https://aka.ms/acr/cmk'.

Non è possibile modificare (ruotare) la chiave di crittografia. La procedura di risoluzione dipende dal tipo di identità usata per la crittografia.

Rimuovere l’identità assegnata dall'utente

Se viene visualizzato l'errore quando si tenta di rimuovere un'identità assegnata dall'utente, seguire questa procedura:

  1. Riassegnare l'identità assegnata dall'utente con il comando az acr identity assign.

  2. Passare l'ID risorsa dell'identità assegnata dall'utente o usare il nome dell'identità quando si trova nello stesso gruppo di risorse del registro.

    Ad esempio:

    az acr identity assign -n myRegistry \
    --identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"

  3. Modificare la chiave e assegnare un'identità diversa.

  4. È ora possibile rimuovere l'identità assegnata dall'utente originale.

Rimuovere un'identità assegnata dal sistema

Se viene visualizzato l'errore quando si tenta di rimuovere un'identità assegnata dal sistema, creare un ticket di supporto di Azure per richiedere assistenza con il ripristino dell'identità.

Errore dopo aver abilitato un firewall dell'insieme di credenziali delle chiavi

Se si abilita un firewall o una rete virtuale dell'insieme di credenziali delle chiavi dopo la creazione di un registro crittografato, è possibile che vengano visualizzati l’errore HTTP 403 o altri errori al momento dell'importazione di immagini o la rotazione automatica delle chiavi. Per risolvere questo problema, riconfigurare l'identità gestita e la chiave inizialmente usata per la crittografia. Vedere la procedura descritta in Ruotare una chiave gestita dal cliente.

Se il problema persiste, contattare il supporto di Azure.

Errore di scadenza dell'identità

L'identità associata a un registro è impostata per il rinnovo automatico per evitare che scada. Se si annulla l'associazione di un'identità da un registro, viene visualizzato un messaggio di errore che spiega che non è possibile rimuovere l'identità in uso per la chiave gestita dal cliente. Il tentativo di rimuovere l'identità compromette il rinnovo automatico dell'identità. Le operazioni pull/push dell’artefatto funzionano fino alla scadenza dell'identità (in genere tre mesi). Dopo la scadenza dell'identità, verrà visualizzato HTTP 403 con il messaggio di errore "L'identità associata al registro è inattiva. Ciò potrebbe essere dovuto al tentativo di rimozione dell'identità. Riassegnare l'identità manualmente".

È necessario riassegnare nuovamente l'identità al registro in modo esplicito.

  1. Eseguire il comando az acr identity assign per riassegnare manualmente l'identità.

    • ad esempio:
    az acr identity assign -n myRegistry \
--identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"

Eliminazione accidentale di un insieme di credenziali delle chiavi o di una chiave

L'eliminazione dell'insieme di credenziali delle chiavi o della chiave usata per crittografare un registro con una chiave gestita dal cliente rende il contenuto del registro inaccessibile. Se l'eliminazione temporanea è abilitata nell'insieme di credenziali delle chiavi (opzione predefinita), è possibile ripristinare un insieme di credenziali eliminato o un oggetto insieme di credenziali delle chiavi e riprendere le operazioni del registro.

Passaggi successivi

Per gli scenari di eliminazione e ripristino dell'insieme di credenziali delle chiavi, vedere Gestire il ripristino di Azure Key Vault con l’eliminazione temporanea e la protezione dall'eliminazione.