Salve e gerencie a senha do agente MARS com segurança no Azure Key Vault
O Backup do Azure usando o agente dos Serviços de Recuperação (MARS) permite fazer backup de arquivos/pastas e dados de estado do sistema no cofre dos Serviços de Recuperação do Azure. Esses dados são criptografados usando uma senha que você fornece durante a instalação e o registro do agente MARS. Essa senha é necessária para recuperar e restaurar os dados de backup e precisa ser salva em um local externo seguro.
Importante
Se essa senha for perdida, a Microsoft não poderá recuperar os dados de backup armazenados no cofre dos Serviços de Recuperação. Recomendamos que você armazene essa senha em um local externo seguro, como o Cofre da Chave do Azure.
Agora, você pode salvar sua senha de criptografia com segurança no Cofre de Chaves do Azure como um Segredo do console MARS durante a instalação para novas máquinas e alterando a senha para máquinas existentes. Para permitir salvar a senha no Cofre da Chave do Azure, você deve conceder ao cofre dos Serviços de Recuperação as permissões para criar um Segredo no Cofre da Chave do Azure.
Antes de começar
- Crie um cofre dos Serviços de Recuperação caso não tenha um.
- Você deve usar um único Cofre da Chave do Azure para armazenar todas as suas senhas. Crie um Cofre de Chaves caso não tenha um.
- O preço do Azure Key Vault é aplicável quando você cria um novo Azure Key Vault para armazenar sua senha.
- Depois de criar o Cofre da Chave, para proteger contra a exclusão acidental ou mal-intencionada de frase secreta, verifique se a proteção de exclusão suave e limpeza está ativada.
- Este recurso é suportado apenas em regiões públicas do Azure com agente MARS versão 2.0.9262.0 ou superior.
Configurar o cofre dos Serviços de Recuperação para armazenar a frase secreta no Cofre de Chaves do Azure
Antes de salvar sua senha no Cofre da Chave do Azure, configure o cofre dos Serviços de Recuperação e o Cofre da Chave do Azure,
Para configurar um cofre, siga estas etapas na sequência fornecida para obter os resultados pretendidos. Cada ação é discutida em detalhes nas seções abaixo:
- Identidade gerenciada atribuída pelo sistema habilitada para o cofre dos Serviços de Recuperação.
- Atribua permissões ao cofre dos Serviços de Recuperação para salvar a senha como um Segredo no Cofre de Chaves do Azure.
- Ativar a eliminação recuperável e a proteção contra a remoção no Azure Key Vault.
Nota
- Depois de habilitar esse recurso, você não deve desativar a identidade gerenciada (mesmo temporariamente). A desativação da identidade gerenciada pode levar a um comportamento inconsistente.
- Atualmente, não há suporte para identidade gerenciada atribuída pelo usuário para salvar a senha no Cofre da Chave do Azure.
Habilite a identidade gerenciada atribuída ao sistema para o cofre dos Serviços de Recuperação
Escolha um cliente:
Siga estes passos:
Aceda à Identidade do cofre>dos Serviços de Recuperação.
Selecione o separador Sistema atribuído .
Altere o status para Ativado.
Selecione Salvar para ativar a identidade do cofre.
É gerada uma ID de objeto, que é a identidade gerenciada atribuída pelo sistema do cofre.
Atribuir permissões para salvar a senha no Cofre da Chave do Azure
Com base no modelo de permissão do Cofre da Chave (permissões de acesso baseadas em função ou modelo de permissão baseado em política de acesso) configurado para o Cofre da Chave, consulte as seções a seguir.
Habilitar permissões usando o modelo de permissão de acesso baseado em função para o Cofre da Chave
Escolha um cliente:
Para atribuir as permissões, siga estes passos:
Vá para a Configuração de Acesso às Configurações>do Cofre da Chave>do Azure para garantir que o modelo de permissão seja RBAC.
Selecione Controle de acesso (IAM)>+Adicionar para adicionar atribuição de função.
A identidade do cofre dos Serviços de Recuperação requer a permissão Definir em Segredo para criar e adicionar a frase secreta como Segredo ao Cofre de Chaves.
Você pode selecionar uma função interna, como Key Vault Secrets Officer , que tenha a permissão (junto com outras permissões não necessárias para esse recurso) ou criar uma função personalizada com apenas a permissão Definir em Segredo.
Em Detalhes, selecione Exibir para exibir as permissões concedidas pela função e garantir que Definir permissão em Segredo esteja disponível.
Selecione Avançar para prosseguir para selecionar Membros para atribuição.
Selecione Identidade gerenciada e, em seguida, + Selecionar membros. escolha a Subscrição do cofre dos Serviços de Recuperação de destino, selecione Cofre dos Serviços de Recuperação em Identidade gerida atribuída pelo sistema.
Pesquise e selecione o nome do cofre dos Serviços de Recuperação.
Selecione Seguinte, reveja a atribuição e selecione Rever + atribuir.
Vá para Controle de acesso (IAM) no Cofre da chave, selecione Atribuições de função e verifique se o cofre dos Serviços de Recuperação está listado.
Habilitar permissões usando o modelo de permissão de Política de Acesso para o Cofre da Chave
Escolha um cliente:
Siga estes passos:
Aceda às políticas de acesso ao Azure Key Vault>Políticas>de acesso e, em seguida, selecione + Criar.
Em Permissões secretas, selecione Definir operação.
Isso especifica as ações permitidas no Segredo.
Vá para Selecionar Principal e procure seu cofre na caixa de pesquisa usando seu nome ou identidade gerenciada.
Selecione o cofre no resultado da pesquisa e escolha Selecionar.
Vá para Rever + criar, certifique-se de que Definir permissão está disponível e Principal é o cofre dos Serviços de Recuperação correto e, em seguida, selecione Criar.
Habilite a proteção de exclusão suave e limpeza no Cofre da Chave do Azure
Você precisa habilitar a proteção de exclusão suave e limpeza no Cofre da Chave do Azure que armazena sua chave de criptografia.
Escolha um cliente*
Você pode habilitar a proteção de exclusão suave e limpeza do Cofre de Chaves do Azure.
Como alternativa, você pode definir essas propriedades ao criar o Cofre da Chave. Saiba mais sobre essas propriedades do Cofre da Chave.
Salvar senha no Azure Key Vault para uma nova instalação do MARS
Antes de continuar a instalar o agente MARS, verifique se você configurou o cofre dos Serviços de Recuperação para armazenar a senha no Cofre de Chaves do Azure e se obteve com êxito:
Criou o cofre dos Serviços de Recuperação.
Habilitada a identidade gerenciada atribuída ao sistema do cofre dos Serviços de Recuperação.
Permissões atribuídas ao cofre dos Serviços de Recuperação para criar Segredo no Cofre da Chave.
Ativada a proteção de eliminação suave e limpeza para o Cofre de Chaves.
Para instalar o agente MARS em uma máquina, baixe o instalador do MARS no portal do Azure e use o assistente de instalação.
Depois de fornecer as credenciais do cofre dos Serviços de Recuperação durante o registro, na Configuração de Criptografia, selecione a opção para salvar a senha no Cofre de Chaves do Azure.
Introduza a sua frase secreta ou selecione Gerar frase secreta.
No portal do Azure, abra o Cofre da Chave, copie o URI do Cofre da Chave.
Cole o URI do Cofre da Chave no console do MARS e selecione Registrar.
Se você encontrar um erro, verifique a seção de solução de problemas para obter mais informações.
Quando o registro for bem-sucedido, a opção de copiar o identificador para o Segredo será criada e a senha NÃO será salva em um arquivo localmente.
Se você alterar a senha no futuro para este agente MARS, uma nova versão do Segredo será adicionada com a senha mais recente.
Você pode automatizar esse processo usando a nova opção KeyVaultUri no Set-OBMachineSetting command
script de instalação.
Salvar senha no Azure Key Vault para uma instalação MARS existente
Se você tiver uma instalação existente do agente MARS e quiser salvar sua senha no Cofre de Chaves do Azure, atualize seu agente para a versão 2.0.9262.0 ou superior e execute uma operação de alteração de senha.
Depois de atualizar seu agente MARS, verifique se você configurou o cofre dos Serviços de Recuperação para armazenar a senha no Cofre de Chaves do Azure e se obteve com êxito:
- Criou o cofre dos Serviços de Recuperação.
- Habilitada a identidade gerenciada atribuída ao sistema do cofre dos Serviços de Recuperação.
- Permissões atribuídas ao cofre dos Serviços de Recuperação para criar Segredo no Cofre da Chave.
- Proteção de exclusão e limpeza suave ativada para o Cofre da Chave
Para salvar a senha no Cofre da Chave:
Abra o console do agente MARS.
Você verá um banner solicitando que você selecione um link para salvar a senha no Cofre da Chave do Azure.
Como alternativa, selecione Alterar propriedades>Alterar senha para continuar.
Na caixa de diálogo Alterar Propriedades, a opção para salvar a senha no Cofre da Chave fornecendo um URI do Cofre da Chave é exibida.
Nota
Se a máquina já estiver configurada para salvar a senha no Cofre da Chave, o URI do Cofre da Chave será preenchido na caixa de texto automaticamente.
Abra o portal do Azure, abra o Cofre da Chave e copie o URI do Cofre da Chave.
Cole o URI do Cofre da Chave no console do MARS e selecione OK.
Se você encontrar um erro, verifique a seção de solução de problemas para obter mais informações.
Quando a operação de alteração de senha for bem-sucedida, uma opção para copiar o identificador para o Segredo será criada e a senha NÃO será salva em um arquivo localmente.
Se você alterar a senha no futuro para este agente MARS, uma nova versão do Segredo será adicionada com a senha mais recente.
Você pode automatizar esta etapa usando a nova opção KeyVaultUri no cmdlet Set-OBMachineSetting .
Recuperar senha do Cofre de Chaves do Azure para uma máquina
Se sua máquina ficar indisponível e você precisar restaurar os dados de backup do cofre dos Serviços de Recuperação por meio da restauração de local alternativo, precisará da senha da máquina para prosseguir.
A senha é salva no Cofre da Chave do Azure como um Segredo. Um Segredo é criado por máquina e uma nova versão é adicionada ao Segredo quando a senha da máquina é alterada. O Segredo é nomeado como AzBackup-machine fully qualified name-vault name
.
Para localizar a senha da máquina:
No portal do Azure, abra o Cofre da Chave usado para salvar a senha da máquina.
Recomendamos que você use um Cofre de Chaves para salvar todas as suas senhas.
Selecione Segredos e procure o segredo chamado
AzBackup-<machine name>-<vaultname>
.Selecione o Segredo, abra a versão mais recente e copie o valor do Segredo.
Esta é a senha da máquina a ser usada durante a recuperação.
Se você tiver um grande número de Segredos no Cofre da Chave, use a CLI do Cofre da Chave para listar e procurar o segredo.
az keyvault secret list --vault-name 'myvaultname’ | jq '.[] | select(.name|test("AzBackup-<myvmname>"))'
Solucionar problemas de cenários comuns
Esta seção lista os erros mais comuns encontrados ao salvar a senha no Cofre de Chaves do Azure.
A identidade do sistema não está configurada – 391224
Causa: este erro ocorre se o cofre dos Serviços de Recuperação não tiver uma identidade gerenciada atribuída pelo sistema configurada.
Ação recomendada: verifique se a identidade gerenciada atribuída pelo sistema está configurada corretamente para o cofre dos Serviços de Recuperação de acordo com os pré-requisitos.
As permissões não estão configuradas – 391225
Causa: O cofre dos Serviços de Recuperação tem uma identidade gerenciada atribuída ao sistema, mas não tem permissão Definir para criar um Segredo no Cofre da Chave de destino.
Ação recomendada:
- Verifique se a credencial do cofre usada corresponde ao cofre de serviços de recuperação pretendido.
- Verifique se o URI do Cofre da Chave corresponde ao Cofre da Chave pretendido.
- Verifique se o nome do cofre dos Serviços de Recuperação está listado em Cofre da Chave -> Políticas de acesso -> Aplicativo, com Permissões Secretas como Definidas.
Se não estiver listado, configure a permissão novamente.
O URI do Azure Key Vault está incorreto - 100272
Causa: O URI do Cofre da Chave inserido não está no formato correto.
Ação recomendada: verifique se você inseriu um URI do Cofre da Chave copiado do portal do Azure. Por exemplo, https://myvault.vault.azure.net/
.
UserErrorSecretExistsSoftDeleted (391282)
Causa: um segredo no formato esperado já existe no Cofre da Chave, mas está em um estado de exclusão suave. A menos que o segredo seja restaurado, o MARS não pode salvar a senha dessa máquina no Cofre da Chave fornecido.
Ação recomendada: verifique se existe um segredo no cofre com o nome AzBackup-<machine name>-<vaultname>
e se ele está em um estado de exclusão suave. Recupere o segredo apagado suave para salvar a frase secreta nele.
UserErrorKeyVaultSoftDeleted (391283)
Causa: O Cofre da Chave fornecido ao MARS está em um estado de exclusão suave.
Ação recomendada: Recupere o Cofre da Chave ou forneça um novo Cofre da Chave.
O registo está incompleto
Causa: Você não concluiu o registro MARS registrando a senha. Assim, você não poderá configurar backups até se registrar.
Ação recomendada: Selecione a mensagem de aviso e conclua o registo.