Azure Data Box için Azure Key Vault'ta müşteri tarafından yönetilen anahtarları kullanma
Azure Data Box bir şifreleme anahtarı aracılığıyla cihazı kilitlemek için kullanılan cihaz kilidini açma anahtarını (cihaz parolası olarak da bilinir) korur. Varsayılan olarak bu şifreleme anahtarı Microsoft tarafından yönetilen bir anahtardır. Daha fazla denetim sahibi olmak için müşteri tarafından yönetilen bir anahtar kullanabilirsiniz.
Müşteri tarafından yönetilen bir anahtarın kullanılması, cihazdaki verilerin şifrelenme biçimini etkilemez. Yalnızca cihaz kilidini açma anahtarının şifrelenme biçimini etkiler.
Sipariş süreci boyunca bu denetim düzeyini korumak için, siparişinizi oluştururken müşteri tarafından yönetilen bir anahtar kullanın. Daha fazla bilgi için bkz . Öğretici: Azure Data Box'ı sıralama.
Bu makalede, Azure portalında mevcut Data Box siparişiniz için müşteri tarafından yönetilen anahtarın nasıl etkinleştirileceği gösterilmektedir. Müşteri tarafından yönetilen geçerli anahtarınız için anahtar kasasını, anahtarı, sürümü veya kimliği değiştirmeyi ya da Microsoft tarafından yönetilen anahtarı kullanmaya geri dönmeyi öğreneceksiniz.
Bu makale, Azure Data Box ve Azure Data Box Heavy cihazları için geçerlidir.
Gereksinimler
Data Box siparişinin müşteri tarafından yönetilen anahtarı aşağıdaki gereksinimleri karşılamalıdır:
- Anahtar, Geçici silme ve Temizleme özelliğinin etkin olduğu bir Azure Key Vault'ta oluşturulup depolanmalıdır. Daha fazla bilgi için bkz . Azure Key Vault nedir?. Siparişinizi oluştururken veya güncelleştirirken bir anahtar kasası ve anahtar oluşturabilirsiniz.
- Anahtar, 2048 veya daha büyük bir RSA anahtarı olmalıdır.
- Azure Key Vault'ta
Getanahtar için ,UnwrapKeyveWrapKeyizinlerini etkinleştirmeniz gerekir. İzinlerin, siparişin ömrü boyunca yerinde kalması gerekir. Aksi takdirde, müşteri tarafından yönetilen anahtara Veri Kopyalama aşamasının başlangıcında erişemezsiniz.
Anahtarı etkinleştir
Azure portalında mevcut Data Box siparişiniz için müşteri tarafından yönetilen bir anahtarı etkinleştirmek için şu adımları izleyin:
Data Box siparişiniz için Genel Bakış ekranına gidin.
Ayarlar Şifrelemesi'ne gidin ve Müşteri tarafından yönetilen anahtar'ı seçin.> Ardından Anahtar ve anahtar kasası seçin'i seçin.
Azure Key Vault'tan anahtar seçin ekranında aboneliğiniz otomatik olarak doldurulur.
Anahtar kasası için açılan listeden mevcut bir anahtar kasasını seçebilir veya Yeni oluştur'u seçerek yeni bir anahtar kasası oluşturabilirsiniz.
Yeni bir anahtar kasası oluşturmak için Yeni anahtar kasası oluştur ekranına aboneliği, kaynak grubunu, anahtar kasası adını ve diğer bilgileri girin. Kurtarma seçenekleri'nde Geçici silme ve Temizleme korumasının etkinleştirildiğinden emin olun. Ardından Gözden Geçir + Oluştur'u seçin.
Anahtar kasanızın bilgilerini gözden geçirin ve Oluştur'u seçin. Anahtar kasası oluşturma işleminin tamamlanması için birkaç dakika bekleyin.
Azure Key Vault'tan anahtar seçin ekranında, anahtar kasasından mevcut bir anahtarı seçebilir veya yeni bir anahtar oluşturabilirsiniz.
Yeni bir anahtar oluşturmak istiyorsanız Yeni oluştur'u seçin. Bir RSA anahtarı kullanmanız gerekir. Boyut 2048 veya daha büyük olabilir.
Yeni anahtarınız için bir ad girin, diğer varsayılan değerleri kabul edin ve Oluştur'u seçin. Anahtar kasanızda bir anahtar oluşturulduğu bildirilir.
Sürüm için, açılan listeden mevcut bir anahtar sürümünü seçebilirsiniz.
Yeni bir anahtar sürümü oluşturmak istiyorsanız Yeni oluştur'u seçin.
Yeni anahtar sürümü için ayarları seçin ve Oluştur'u seçin.
Bir anahtar kasası, anahtar ve anahtar sürümü seçtiğinizde Seç'i seçin.
Şifreleme türü ayarları, seçtiğiniz anahtar kasasını ve anahtarı gösterir.
Bu kaynağın müşteri tarafından yönetilen anahtarını yönetmek için kullanılacak kimlik türünü seçin. Sipariş oluşturma sırasında oluşturulan sistem tarafından atanan kimliği kullanabilir veya kullanıcı tarafından atanan bir kimlik seçebilirsiniz.
Kullanıcı tarafından atanan kimlik, kaynaklara erişimi yönetmek için kullanabileceğiniz bağımsız bir kaynaktır. Daha fazla bilgi için bkz . Yönetilen kimlik türleri.
Kullanıcı kimliği atamak için Kullanıcı tarafından atanan'ı seçin. Ardından Kullanıcı kimliği seçin'i seçin ve kullanmak istediğiniz yönetilen kimliği seçin.
Burada yeni bir kullanıcı kimliği oluşturamazsınız. Nasıl oluşturulacağını öğrenmek için bkz . Azure portalını kullanarak kullanıcı tarafından atanan yönetilen kimliğe rol oluşturma, listeleme, silme veya atama.
Seçilen kullanıcı kimliği Şifreleme türü ayarlarında gösterilir.
Güncelleştirilmiş Şifreleme türü ayarlarını kaydetmek için Kaydet'i seçin.
Anahtar URL'si Şifreleme türü altında görüntülenir.
Önemli
Anahtar üzerinde Get, UnwrapKeyve WrapKey izinlerini etkinleştirmeniz gerekir. Azure CLI'da izinleri ayarlamak için bkz . az keyvault set-policy.
Anahtarı değiştir
Kullanmakta olduğunuz müşteri tarafından yönetilen anahtarın anahtar kasası, anahtar ve/veya anahtar sürümünü değiştirmek için şu adımları izleyin:
Data Box siparişinizin Genel Bakış ekranında Ayarlar>Şifrelemesi'ne gidin ve Anahtarı değiştir'e tıklayın.
Farklı bir anahtar kasası ve anahtar seçin'i seçin.
Anahtar kasasından anahtar seçin ekranında abonelik gösterilir ancak anahtar kasası, anahtar veya anahtar sürümü yoktur. Aşağıdaki değişikliklerden herhangi birini yapabilirsiniz:
Aynı anahtar kasasından farklı bir anahtar seçin. Anahtarı ve sürümü seçmeden önce anahtar kasasını seçmeniz gerekir.
Farklı bir anahtar kasası seçin ve yeni bir anahtar atayın.
Geçerli anahtarın sürümünü değiştirin.
Değişikliklerinizi bitirdiğinizde Seç'i seçin.
Kaydet'i seçin.
Önemli
Anahtar üzerinde Get, UnwrapKeyve WrapKey izinlerini etkinleştirmeniz gerekir. Azure CLI'da izinleri ayarlamak için bkz . az keyvault set-policy.
Kimliği değiştirme
Bu siparişin müşteri tarafından yönetilen anahtarına erişimi yönetmek için kullanılan kimliği değiştirmek için şu adımları izleyin:
Tamamlanmış Data Box siparişiniz için Genel Bakış ekranında Ayarlar>Şifrelemesi'ne gidin.
Aşağıdaki değişikliklerden birini yapın:
Farklı bir kullanıcı kimliğine geçmek için Farklı bir kullanıcı kimliği seçin'e tıklayın. Ardından ekranın sağ tarafındaki panelde farklı bir kimlik seçin ve Seç'i seçin.
Sipariş oluşturma sırasında oluşturulan sistem tarafından atanan kimliğe geçmek için Kimlik türünü seçin tarafından atanan sistem'i seçin.
Kaydet'i seçin.
Microsoft yönetilen anahtarını kullanma
Müşteri tarafından yönetilen anahtar kullanmaktan siparişiniz için Microsoft tarafından yönetilen anahtara geçmek için şu adımları izleyin:
Tamamlanmış Data Box siparişiniz için Genel Bakış ekranında Ayarlar>Şifrelemesi'ne gidin.
Tür seç'e göre Microsoft yönetilen anahtarı'yı seçin.
Kaydet'i seçin.
Hataları giderme
Müşteri tarafından yönetilen anahtarınız ile ilgili herhangi bir hata alırsanız, sorun gidermek için aşağıdaki tabloyu kullanın.
| Hata kodu | Hata ayrıntıları | Kurtarılabilir? |
|---|---|---|
| SsemUserErrorEncryptionKeyDisabled | Müşteri tarafından yönetilen anahtar devre dışı olduğundan geçiş anahtarı getirilemedi. | Evet, anahtar sürümünü etkinleştirerek. |
| SsemUserErrorEncryptionKeyExpired | Müşteri tarafından yönetilen anahtarın süresi dolduğundan geçiş anahtarı getirilemedi. | Evet, anahtar sürümünü etkinleştirerek. |
| SsemUserErrorKeyDetailsNotFound | Müşteri tarafından yönetilen anahtar bulunamadığından geçiş anahtarı getirilemedi. | Anahtar kasasını sildiyseniz, müşteri tarafından yönetilen anahtarı kurtaramazsınız. Anahtar kasasını farklı bir kiracıya geçirdiyseniz bkz . Abonelik taşındıktan sonra anahtar kasası kiracı kimliğini değiştirme. Anahtar kasasını sildiyseniz:
Aksi takdirde anahtar kasası bir kiracı geçişi altındaysa evet, aşağıdaki adımlardan biri kullanılarak kurtarılabilir:
|
| SsemUserErrorKeyVaultBadRequestException | Müşteri tarafından yönetilen bir anahtar uygulandı, ancak anahtar erişimi verilmedi veya iptal edildi ya da güvenlik duvarının etkinleştirilmesi nedeniyle anahtar kasasına erişilemiyor. | Müşteri tarafından yönetilen anahtara erişimi etkinleştirmek için seçilen kimliği anahtar kasanıza ekleyin. Anahtar kasasında güvenlik duvarı etkinleştirildiyse sistem tarafından atanan kimliğe geçin ve müşteri tarafından yönetilen bir anahtar ekleyin. Daha fazla bilgi için bkz. Anahtarı etkinleştirme. |
| SsemUserErrorKeyVaultDetailsNotFound | Müşteri tarafından yönetilen anahtar için ilişkili anahtar kasası bulunamadığından geçiş anahtarı getirilemedi. | Anahtar kasasını sildiyseniz, müşteri tarafından yönetilen anahtarı kurtaramazsınız. Anahtar kasasını farklı bir kiracıya geçirdiyseniz bkz . Abonelik taşındıktan sonra anahtar kasası kiracı kimliğini değiştirme. Anahtar kasasını sildiyseniz:
Aksi takdirde anahtar kasası bir kiracı geçişi altındaysa evet, aşağıdaki adımlardan biri kullanılarak kurtarılabilir:
|
| SsemUserErrorSystemAssignedIdentityAbsent | Müşteri tarafından yönetilen anahtar bulunamadığından geçiş anahtarı getirilemedi. | Evet, şu olup olmadığını denetleyin:
|
| SsemUserErrorUserAssignedLimitReached | Eklenebilen kullanıcı tarafından atanan toplam kimlik sayısı sınırına ulaştığınız için yeni Kullanıcı Tarafından Atanan Kimlik eklenemedi. | İşlemi daha az kullanıcı kimliğiyle yeniden deneyin veya yeniden denemeden önce kaynaktan kullanıcı tarafından atanan bazı kimlikleri kaldırın. |
| SsemUserErrorCrossTenantIdentityAccessForbidden | Yönetilen kimlik erişimi işlemi başarısız oldu. Not: Abonelik farklı bir kiracıya taşındığında bu hata oluşabilir. Müşterinin kimliği yeni kiracıya el ile taşıması gerekir. |
Müşteri tarafından yönetilen anahtara erişimi etkinleştirmek için anahtar kasanıza kullanıcı tarafından atanan farklı bir kimlik eklemeyi deneyin. Veya kimliği aboneliğin bulunduğu yeni kiracıya taşıyın. Daha fazla bilgi için bkz. Anahtarı etkinleştirme. |
| SsemUserErrorKekUserIdentityNotFound | Müşteri tarafından yönetilen bir anahtar uygulandı, ancak anahtara erişimi olan kullanıcı tarafından atanan kimlik Active Directory'de bulunamadı. Not: Bir kullanıcı kimliği Azure'dan silindiğinde bu hata oluşabilir. |
Müşteri tarafından yönetilen anahtara erişimi etkinleştirmek için anahtar kasanıza kullanıcı tarafından atanan farklı bir kimlik eklemeyi deneyin. Daha fazla bilgi için bkz. Anahtarı etkinleştirme. |
| SsemUserErrorUserAssignedIdentityAbsent | Müşteri tarafından yönetilen anahtar bulunamadığından geçiş anahtarı getirilemedi. | Müşteri tarafından yönetilen anahtara erişilemedi. Anahtarla ilişkilendirilmiş Kullanıcı Tarafından Atanan Kimlik (UAI) silinir veya UAI türü değişir. |
| SsemUserErrorKeyVaultBadRequestException | Müşteri tarafından yönetilen bir anahtar uygulandı, ancak anahtar erişimi verilmedi veya iptal edildi ya da güvenlik duvarı etkinleştirildiğinden anahtar kasasına erişilemedi. | Müşteri tarafından yönetilen anahtara erişimi etkinleştirmek için seçilen kimliği anahtar kasanıza ekleyin. Anahtar kasasında güvenlik duvarı etkinleştirildiyse sistem tarafından atanan kimliğe geçin ve müşteri tarafından yönetilen bir anahtar ekleyin. Daha fazla bilgi için bkz. Anahtarı etkinleştirme. |
| SsemUserErrorEncryptionKeyTypeNotSupported | Şifreleme anahtarı türü işlem için desteklenmez. | Anahtarda desteklenen bir şifreleme türünü etkinleştirin; örneğin, RSA veya RSA-HSM. Daha fazla bilgi için bkz . Anahtar türleri, algoritmalar ve işlemler. |
| SsemUserErrorSoftDeleteAndPurgeProtectionNotEnabled | Anahtar kasasında geçici silme veya temizleme koruması etkinleştirilmemiş. | Anahtar kasasında hem geçici silme hem de temizleme korumasının etkinleştirildiğinden emin olun. |
| SsemUserErrorInvalidKeyVaultUrl (Yalnızca komut satırı) |
Geçersiz bir anahtar kasası URI'si kullanıldı. | Doğru anahtar kasası URI'sini alın. Anahtar kasası URI'sini almak için PowerShell'de Get-AzKeyVault kullanın. |
| SsemUserErrorKeyVaultUrlWithInvalidScheme | Anahtar kasası URI'sini geçirmek için yalnızca HTTPS desteklenir. | Anahtar kasası URI'sini HTTPS üzerinden geçirin. |
| SsemUserErrorKeyVaultUrlInvalidHost | Anahtar kasası URI konağı, coğrafi bölgede izin verilen bir konak değildir. | Genel bulutta anahtar kasası URI'sinin ile vault.azure.netbitmesi gerekir. Azure Kamu bulutunda anahtar kasası URI'sinin ile vault.usgovcloudapi.netbitmesi gerekir. |
| Genel hata | Geçiş anahtarı getirilemedi. | Bu hata genel bir hatadır. Hatayı gidermek ve sonraki adımları belirlemek için Microsoft Desteği başvurun. |