Использование ключей, управляемых клиентом, в Azure Key Vault для службы импорта и экспорта

Служба импорта и экспорта Azure защищает ключи BitLocker, используемые для блокировки дисков с помощью ключа шифрования. По умолчанию ключи BitLocker шифруются с помощью ключей, управляемых корпорацией Майкрософт. Для дополнительного контроля над ключами шифрования можно также предоставить управляемые клиентом ключи.

Управляемые клиентом ключи должны быть созданы и сохранены в Azure Key Vault. Дополнительные сведения об Azure Key Vault см. в статье Что такое Azure Key Vault?

В этой статье показано, как использовать управляемые клиентом ключи для службы импорта и экспорта на портале Azure.

Необходимые компоненты

Перед тем как начать, убедитесь в следующем:

  1. Вы создали задание импорта или экспорта согласно следующим инструкциям:

  2. У вас уже есть Azure Key Vault с ключом, который можно использовать для защиты ключа BitLocker. Сведения о создании хранилища ключей с помощью портала Azure см. в статье Краткое руководство. Создание хранилища ключей с помощью портала Azure.

Включение ключей

Настройка управляемого клиентом ключа для службы импорта и экспорта является необязательной. По умолчанию служба импорта и экспорта использует ключ под управлением корпорации Майкрософт для защиты ключа BitLocker. Чтобы включить управляемый клиентом ключ на портале Azure, выполните следующие действия.

  1. Перейдите к колонке Обзор для задания импорта.

  2. В правой области выберите Choose how your BitLocker keys are encrypted (Выберите способ шифрования ключей BitLocker).

    Снимок экрана: колонка

  3. В колонке Шифрование можно просмотреть и скопировать ключ BitLocker устройства. В разделе Тип шифрования можно выбрать способ защиты ключа BitLocker. По умолчанию используется ключ под управлением корпорации Майкрософт.

    Снимок экрана: колонка

  4. Вы можете указать управляемый клиентом ключ. Выбрав управляемый клиентом ключ, щелкните Выберите хранилище ключей и ключ.

    Снимок экрана: колонка

  5. В колонке Select key from Azure Key Vault (Выбор ключа из Azure Key Vault) подписка заполняется автоматически. Для поля Хранилище ключей можно выбрать существующее хранилище Key Vault из раскрывающегося списка.

    Снимок экрана:

  6. Чтобы создать Key Vault, можно также выбрать Создать. В колонке Создать Key Vault введите группу ресурсов и имя Key Vault. Примите все остальные значения по умолчанию. Выберите Review + Create (Просмотреть и создать).

    Снимок экрана:

  7. Проверьте сведения, связанные с Key Vault, и выберите Создать. Подождите несколько минут, пока не завершится создание Key Vault.

    Снимок экрана: экран

  8. В колонке Select key from Azure Key Vault (Выбор ключа из Azure Key Vault) можно выбрать ключ в существующем Key Vault.

  9. После создания Key Vault выберите Создать, чтобы создать ключ. Размер ключа RSA может быть 2048 бит или больше.

    Снимок экрана:

    Если при создании Key Vault отключена защита от обратимого удаления и очистки, Key Vault будет обновлено для включения этих функций.

  10. Укажите имя ключа, примите остальные значения по умолчанию и нажмите кнопку Создать.

    Снимок экрана: экран

  11. Выберите версию и нажмите кнопку Выбрать. Вы получите уведомление о том, что в Key Vault создан ключ.

    Снимок экрана:

В колонке Шифрование можно просмотреть Key Vault и ключ, выбранный для управляемого клиентом ключа.

Внимание

Вы можете отключить только ключи под управлением корпорации Майкрософт и перейти на управляемые клиентом ключи на любом этапе задания импорта и экспорта. Однако нельзя отключить управляемый клиентом ключ после его создания.

Устранение ошибок ключей, управляемых клиентом

Если вы получаете ошибки, связанные с управляемым клиентом ключом, воспользуйтесь следующей таблицей для устранения неполадок:

Код ошибки Сведения Восстановимая
CmkErrorAccessRevoked Доступ к управляемому клиентом ключу отозван. Да, проверьте, есть ли:
  1. В Key Vault по-прежнему есть MSI в политике доступа.
  2. Политика доступа включает разрешения на получение, упаковку и распаковку.
  3. Если Key Vault находится в виртуальной сети за брандмауэром, проверьте, включен ли параметр Разрешить доверенные службы Майкрософт.
  4. Проверьте, установлено ли для MSI ресурса задания значение None с помощью интерфейсов API.
    Если да, то снова установите значение Identity = SystemAssigned. Это повторно создаст удостоверение для ресурса задания.
    После создания удостоверения включите для него разрешения Get, Wrap и Unwrap в политике доступа Key Vault.
CmkErrorKeyDisabled Управляемый клиентом ключ отключен. Да, включив версию ключа.
CmkErrorKeyNotFound Не удается найти управляемый клиентом ключ. Да, если ключ был удален, но все еще находится в пределах периода очистки, отмените удаление ключа Key vault.
Еще
  1. Да, если пользователь имеет резервную копию ключа и восстанавливает его.
  2. Нет, в противном случае.
CmkErrorVaultNotFound Не удается найти Key Vault для управляемого клиентом ключа. Если Key Vault удалено:
  1. Да, если срок действия защиты от очистки не истек, выполните шаги, описанные в разделе Восстановление хранилища ключей.
  2. Нет, если истек срок действия защиты от очистки.

В противном случае, если Key Vault было перенесено на другой клиент, его можно восстановить, выполнив одно из следующих действий:
  1. Верните Key Vault обратно на старый клиент.
  2. Установите значение Identity = None, а затем верните обратно значение Identity = SystemAssigned. Это приведет к удалению и повторному созданию удостоверения сразу же после создания удостоверения. Включите для нового удостоверения разрешения Get, Wrap и Unwrap в политике доступа Key Vault.

Следующие шаги