Salvare e gestire la passphrase dell'agente MARS in modo sicuro in Azure Key Vault

Backup di Azure l'uso dell'agente di Servizi di ripristino consente di eseguire il backup di file/cartelle e dati sullo stato del sistema nell'insieme di credenziali di Servizi di ripristino di Azure. Questi dati vengono crittografati usando una passphrase che viene fornito durante l'installazione e la registrazione dell'agente MARS. Questa passphrase è necessaria per recuperare e ripristinare i dati di backup e deve essere salvata in una posizione esterna sicura.

È ora possibile salvare la passphrase di crittografia in modo sicuro in Azure Key Vault come segreto dalla console mars durante l'installazione per i nuovi computer e modificando la passphrase per i computer esistenti. Per consentire il salvataggio della passphrase in Azure Key Vault, è necessario concedere all'insieme di credenziali di Servizi di ripristino le autorizzazioni per creare un segreto nell'insieme di credenziali delle chiavi di Azure.

Prima di iniziare

• Creare un insieme di credenziali di Servizi di ripristino nel caso in cui non ne sia disponibile uno.
• È consigliabile usare un singolo insieme di credenziali delle chiavi di Azure per archiviare tutte le passphrase. Creare un insieme di credenziali delle chiavi nel caso in cui non ne sia disponibile uno.
• I prezzi di Azure Key Vault sono applicabili quando si crea un nuovo insieme di credenziali delle chiavi di Azure per archiviare la passphrase.
• Dopo aver creato l'insieme di credenziali delle chiavi, per proteggersi da eliminazioni accidentali o dannose di passphrase, assicurarsi che la protezione da eliminazione temporanea e eliminazione sia attivata.
• Questa funzionalità è supportata solo nelle aree pubbliche di Azure con l'agente MARS versione 2.0.9262.0 o successiva.

Configurare l'insieme di credenziali di Servizi di ripristino per archiviare la passphrase in Azure Key Vault

Prima di poter salvare la passphrase in Azure Key Vault, configurare l'insieme di credenziali di Servizi di ripristino e Azure Key Vault,

Per configurare un insieme di credenziali, seguire questa procedura nella sequenza specificata per ottenere i risultati previsti. Ogni azione viene descritta in dettaglio nelle sezioni seguenti:

1. Identità gestita assegnata dal sistema abilitata per l'insieme di credenziali di Servizi di ripristino.
2. Assegnare le autorizzazioni all'insieme di credenziali di Servizi di ripristino per salvare la passphrase come segreto in Azure Key Vault.
3. Abilitare l'eliminazione temporanea e la protezione dalla rimozione in Azure Key Vault.

Abilitare l'identità gestita assegnata dal sistema per l'insieme di credenziali di Servizi di ripristino

Scegliere un client:

$vault=Get-AzRecoveryServicesVault -ResourceGroupName "testrg" -Name "testvault"
Update-AzRecoveryServicesVault -IdentityType SystemAssigned -ResourceGroupName TestRG -Name TestVault
$vault.Identity | fl

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : SystemAssigned

az backup vault identity assign --system-assigned --resource-group MyResourceGroup --name MyVault

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : SystemAssigned

Assegnare le autorizzazioni per salvare la passphrase in Azure Key Vault

In base al modello di autorizzazione key vault (autorizzazioni di accesso basato su ruoli o modello di autorizzazione basata su criteri di accesso) configurato per Key Vault, vedere le sezioni seguenti.

Abilitare le autorizzazioni usando il modello di autorizzazione degli accessi in base al ruolo per Key Vault

Scegliere un client:

#Find the application id for your recovery services vault
Get-AzADServicePrincipal -SearchString <principalName>
#Identify a role with Set permission on Secret, like Key Vault Secret Office
Get-AzRoleDefinition | Format-Table -Property Name, IsCustom, Id
#Assign role to Recovery Services Vault identity 
Get-AzRoleDefinition -Name <roleName>
#Assign by Service Principal ApplicationId
New-AzRoleAssignment -RoleDefinitionName 'Key Vault Secrets Officer' -ApplicationId {i.e 8ee5237a-816b-4a72-b605-446970e5f156} -Scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}

#Find the application id for your recovery services vault
az ad sp list --all --filter "displayname eq '<my recovery vault name>' and servicePrincipalType eq 'ManagedIdentity'"
#Identify a role with Set permission on Secret, like Key Vault Secret Office
az role definition list --query "[].{name:name, roleType:roleType, roleName:roleName}" --output tsv
az role definition list --name "{roleName}"
#Assign role to Recovery Services Vault identity 
az role assignment create --role "Key Vault Secrets Officer" --assignee "<application id>" {i.e "55555555-5555-5555-5555-555555555555"} --scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}

Abilitare le autorizzazioni usando il modello di autorizzazione criteri di accesso per Key Vault

Scegliere un client:

$sp = Get-AzADServicePrincipal -DisplayName MyVault
$Set-AzKeyVaultAccessPolicy -VaultName myKeyVault -ObjectId $sp.Id -PermissionsToSecrets set

az ad sp list --display-name MyVault
az keyvault set-policy --name myKeyVault --object-id <object-id> --secret-permissions set

Abilitare l'eliminazione temporanea e la protezione dall'eliminazione in Azure Key Vault

È necessario abilitare l'eliminazione temporanea e la protezione dall'eliminazione temporanea nell'insieme di credenziali delle chiavi di Azure che archivia la chiave di crittografia.

Scegliere un client*

Salvare la passphrase in Azure Key Vault per una nuova installazione mars

Prima di procedere con l'installazione dell'agente MARS, assicurarsi di aver configurato l'insieme di credenziali di Servizi di ripristino per archiviare la passphrase in Azure Key Vault e che sia stata eseguita correttamente:

1. Creazione dell'insieme di credenziali di Servizi di ripristino.

2. Abilitazione dell'identità gestita assegnata dal sistema dell'insieme di credenziali di Servizi di ripristino.

3. Autorizzazioni assegnate all'insieme di credenziali di Servizi di ripristino per creare un segreto nell'insieme di credenziali delle chiavi.

4. Abilitazione dell'eliminazione temporanea e della protezione dall'eliminazione per l'insieme di credenziali delle chiavi.

5. Per installare l'agente MARS in un computer, scaricare il programma di installazione di MARS dal portale di Azure e quindi usare l'installazione guidata.

6. Dopo aver specificato le credenziali dell'insieme di credenziali di Servizi di ripristino durante la registrazione, nell'impostazione di crittografia selezionare l'opzione per salvare la passphrase in Azure Key Vault.

   

7. Immettere la passphrase o selezionare Genera passphrase.

8. Nella portale di Azure aprire l'insieme di credenziali delle chiavi, copiare l'URI dell'insieme di credenziali delle chiavi.

   

9. Incollare l'URI di Key Vault nella console mars e quindi selezionare Registra.

   Se si verifica un errore, vedere la sezione relativa alla risoluzione dei problemi per altre informazioni.

10. Al termine della registrazione, viene creata l'opzione per copiare l'identificatore nel segreto e la passphrase NON viene salvata in un file in locale.

    

    Se si modifica la passphrase in futuro per questo agente MARS, verrà aggiunta una nuova versione del segreto con la passphrase più recente.

È possibile automatizzare questo processo usando la nuova opzione KeyVaultUri nello Set-OBMachineSetting command script di installazione.

Salvare la passphrase in Azure Key Vault per un'installazione mars esistente

Se si dispone di un'installazione esistente dell'agente MARS e si vuole salvare la passphrase in Azure Key Vault, aggiornare l'agente alla versione 2.0.9262.0 o successiva ed eseguire un'operazione di passphrase di modifica.

Dopo aver aggiornato l'agente MARS, assicurarsi di aver configurato l'insieme di credenziali di Servizi di ripristino per archiviare la passphrase in Azure Key Vault e che sia stata eseguita correttamente:

1. Creazione dell'insieme di credenziali di Servizi di ripristino.
2. Abilitazione dell'identità gestita assegnata dal sistema dell'insieme di credenziali di Servizi di ripristino.
3. Autorizzazioni assegnate all'insieme di credenziali di Servizi di ripristino per creare un segreto nell'insieme di credenziali delle chiavi.
4. Abilitazione dell'eliminazione temporanea e della protezione dall'eliminazione per l'insieme di credenziali delle chiavi

Per salvare la passphrase in Key Vault:

1. Aprire la console dell'agente MARS.

   Verrà visualizzato un banner che chiede di selezionare un collegamento per salvare la passphrase in Azure Key Vault.

   In alternativa, selezionare Modifica proprietà>Modifica passphrase per continuare.

   

2. Nella finestra di dialogo Modifica proprietà l'opzione per salvare la passphrase in Key Vault specificando un URI di Key Vault visualizzato.

   Nota

   Se il computer è già configurato per salvare la passphrase in Key Vault, l'URI di Key Vault verrà popolato automaticamente nella casella di testo.

   

3. Aprire il portale di Azure, aprire l'insieme di credenziali delle chiavi e quindi copiare l'URI dell'insieme di credenziali delle chiavi.

   

4. Incollare l'URI dell'insieme di credenziali delle chiavi nella console mars e quindi selezionare OK.

   Se si verifica un errore, vedere la sezione relativa alla risoluzione dei problemi per altre informazioni.

5. Quando l'operazione di passphrase di modifica ha esito positivo, viene creata un'opzione per copiare l'identificatore nel segreto e la passphrase NON viene salvata in un file in locale.

   

   Se si modifica la passphrase in futuro per questo agente MARS, verrà aggiunta una nuova versione del segreto con la passphrase più recente.

È possibile automatizzare questo passaggio usando la nuova opzione KeyVaultUri nel cmdlet Set-OBMachineSetting .

Recuperare la passphrase da Azure Key Vault per un computer

Se il computer non è più disponibile ed è necessario ripristinare i dati di backup dall'insieme di credenziali di Servizi di ripristino tramite il ripristino del percorso alternativo, è necessaria la passphrase del computer per continuare.

La passphrase viene salvata in Azure Key Vault come segreto. Viene creato un segreto per computer e viene aggiunta una nuova versione al segreto quando viene modificata la passphrase per il computer. Il segreto è denominato come AzBackup-machine fully qualified name-vault name.

Per individuare la passphrase del computer:

1. Nella portale di Azure aprire l'insieme di credenziali delle chiavi usato per salvare la passphrase per il computer.

   È consigliabile usare un insieme di credenziali delle chiavi per salvare tutte le passphrase.

2. Selezionare Segreti e cercare il segreto denominato AzBackup-<machine name>-<vaultname>.

   

3. Selezionare Il segreto, aprire la versione più recente e copiare il valore di Segreto.

   Questa è la passphrase del computer da usare durante il ripristino.

   

   Se si dispone di un numero elevato di segreti nell'insieme di credenziali delle chiavi, usare l'interfaccia della riga di comando di Key Vault per elencare e cercare il segreto.

az keyvault secret list --vault-name 'myvaultname’ | jq '.[] | select(.name|test("AzBackup-<myvmname>"))'

Risolvere i problemi relativi agli scenari comuni

Questa sezione elenca gli errori comunemente riscontrati durante il salvataggio della passphrase in Azure Key Vault.

L'identità del sistema non è configurata: 391224

Causa: questo errore si verifica se l'insieme di credenziali di Servizi di ripristino non dispone di un'identità gestita assegnata dal sistema configurata.

Azione consigliata: assicurarsi che l'identità gestita assegnata dal sistema sia configurata correttamente per l'insieme di credenziali di Servizi di ripristino in base ai prerequisiti.

Le autorizzazioni non sono configurate: 391225

Causa: l'insieme di credenziali di Servizi di ripristino ha un'identità gestita assegnata dal sistema, ma non dispone dell'autorizzazione Set per creare un segreto nell'insieme di credenziali delle chiavi di destinazione.

Azione consigliata:

1. Assicurarsi che le credenziali dell'insieme di credenziali usate corrispondano all'insieme di credenziali dei servizi di ripristino previsto.
2. Assicurarsi che l'URI dell'insieme di credenziali delle chiavi corrisponda all'insieme di credenziali delle chiavi desiderato.
3. Assicurarsi che il nome dell'insieme di credenziali di Servizi di ripristino sia elencato in Key Vault -> Criteri di accesso -> Applicazione, con autorizzazioni segrete impostate.

Se non è elencato, configurare nuovamente l'autorizzazione.

L'URI di Azure Key Vault non è corretto: 100272

Causa: l'URI di Key Vault immesso non è nel formato corretto.

Azione consigliata: assicurarsi di aver immesso un URI di Key Vault copiato dal portale di Azure. Ad esempio: https://myvault.vault.azure.net/.

UserErrorSecretExistsSoftDeleted (391282)

Causa: un segreto nel formato previsto esiste già nell'insieme di credenziali delle chiavi, ma si trova in uno stato eliminato temporaneamente. A meno che il segreto non venga ripristinato, MARS non può salvare la passphrase per tale computer nell'insieme di credenziali delle chiavi fornito.

Azione consigliata: verificare se un segreto esiste nell'insieme di credenziali con il nome AzBackup-<machine name>-<vaultname> e se si trova in uno stato eliminato temporaneamente. Recuperare il segreto eliminato temporaneamente per salvare la passphrase.

UserErrorKeyVaultSoftDeleted (391283)

Causa: l'insieme di credenziali delle chiavi fornito a MARS è in uno stato eliminato temporaneamente.

Azione consigliata: ripristinare l'insieme di credenziali delle chiavi o fornire un nuovo insieme di credenziali delle chiavi.

La registrazione è incompleta

Causa: la registrazione mars non è stata completata registrando la passphrase. Non sarà quindi possibile configurare i backup fino a quando non si esegue la registrazione.

Azione consigliata: selezionare il messaggio di avviso e completare la registrazione.