Поделиться через

Безопасное сохранение парольной фразы агента MARS и управление ими в Azure Key Vault

Azure Backup с помощью агента служб восстановления (MARS) позволяет создавать резервные копии файлов и папок и данных состояния системы в хранилище служб восстановления Azure. Эти данные шифруются с помощью парольной фразы, предоставляемой во время установки и регистрации агента MARS. Эта парольная фраза необходима для извлечения и восстановления резервных данных и должна быть сохранена в безопасном внешнем расположении.

Important

Если эта парольная фраза потеряна, корпорация Майкрософт не сможет получить данные резервного копирования, хранящиеся в хранилище служб восстановления. Рекомендуется хранить эту парольную фразу в безопасном внешнем расположении, например Azure Key Vault.

Теперь вы можете безопасно сохранить парольную фразу шифрования в Azure Key Vault в качестве секрета. Для новых компьютеров можно сохранить парольную фразу из консоли MARS во время установки. Для существующих компьютеров сохраните парольную фразу, изменив ее. Чтобы включить сохранение в Azure Key Vault, предоставьте хранилищу служб восстановления разрешение на создание секрета в Key Vault.

Предпосылки

Прежде чем приступить к защите парольной фразы в Azure Key Vault, убедитесь, что выполнены следующие предварительные требования:

Настройка хранилища служб восстановления для хранения парольной фразы агента MARS в Azure Key Vault

Прежде чем сохранить парольную фразу в Azure Key Vault, настройте хранилище служб восстановления и Azure Key Vault.

Чтобы настроить хранилище, выполните следующие действия в заданной последовательности, чтобы достичь предполагаемых результатов. Каждое действие подробно рассматривается в следующих разделах:

  1. Включена управляемая удостоверенность, назначенная системой для хранилища служб восстановления.
  2. Чтобы сохранить парольную фразу в качестве секрета в Azure Key Vault, назначьте разрешения хранилищу служб восстановления.
  3. Включите мягкое удаление и защиту от окончательного удаления в Azure Key Vault.

Note

  • После включения этой функции нельзя отключать управляемое удостоверение (даже временно). Отключение управляемого удостоверения может привести к непредсказуемому поведению.
  • Назначаемое пользователем управляемое удостоверение в настоящее время не поддерживается для сохранения парольной фразы в Azure Key Vault.

Включите системно назначаемую управляемую идентичность для хранилища служб восстановления

Выберите клиент:

Выполните следующие действия:

  1. Перейдите кхранилищу служб восстановления>идентификатору.

    Снимок экрана показывает, как перейти к идентификации в хранилище служб восстановления.

  2. Выберите вкладку Назначаемое системой.

  3. Измените состояние на "Вкл.".

  4. Нажмите Сохранить, чтобы активировать идентификатор для хранилища.

Создается идентификатор объекта, который является назначаемым системой управляемым удостоверением хранилища.

Назначение разрешений для сохранения парольной фразы в Azure Key Vault

На основе модели разрешений Key Vault (разрешения на основе ролей или модели разрешений на основе политик доступа), настроенной для Key Vault, см. следующие разделы.

Включение разрешений с помощью модели разрешений доступа на основе ролей для Key Vault

Выберите клиент:

Чтобы дать разрешения, выполните следующие шаги.

  1. Перейдите в Azure Key Vault, затем > и >, чтобы убедиться, что модель разрешений настроена как RBAC.

    Снимок экрана: открытие конфигурации доступа в параметрах.

  2. Выберите элемент управления доступом (IAM)>+Добавить , чтобы добавить назначение ролей.

  3. Идентификатор хранилища служб восстановления требует разрешения на установку секрета для создания и добавления секретного ключа в качестве Секрета в Key Vault.

    Вы можете выбрать встроенную роль, например, специалист по секретам Key Vault, который имеет разрешение (вместе с другими разрешениями, не требуемыми для этой функции), или создать пользовательскую роль только с разрешением установки секретов.

    В разделе "Сведения" выберите "Просмотр" для просмотра разрешений, предоставленных ролью, и убедитесь, что разрешение Set для Секрет доступно.

    Снимок экрана: просмотр сведений о разрешениях.

    Снимок экрана показывает, как проверить доступность разрешения

  4. Нажмите "Далее", чтобы перейти к выбору Участников для назначения.

  5. Выберите управляемое удостоверение и нажмите кнопку "Выбрать участников". Выберите подписку целевого хранилища служб восстановления, выберите хранилище служб восстановления в управляемом удостоверении, назначаемом системой.

    Выполните поиск и выберите имя хранилища служб восстановления.

    Снимок экрана показывает, как добавить участников в управляемое удостоверение.

  6. Нажмите кнопку "Далее", просмотрите назначение и нажмите кнопку "Проверить и назначить".

    Снимок экрана: просмотр и назначение разрешений.

  7. Перейдите к контролю доступа (IAM) в Ключевом хранилище, выберите назначения ролей и убедитесь, что в списке указано хранилище служб восстановления.

    Снимок экрана: хранилище служб восстановления отображается в элементе управления доступом.

Включение разрешений с помощью модели разрешений политики доступа для Key Vault

Выберите клиент:

Выполните следующие действия:

  1. Перейдите к политикам доступа к Azure Key Vault>доступа>, и затем нажмите + Создать.

    Снимок экрана: начало создания Key Vault.

  2. В разделе "Разрешения секрета" выберите "Задать операцию".

    Этот параметр задает разрешенные действия в секрете.

    Снимок экрана: запуск настройки разрешений.

  3. Перейдите к Выбор основного учетного элемента и найдите хранилище в поле поиска, используя его имя или управляемое удостоверение.

    Выберите хранилище из результата поиска и нажмите кнопку "Выбрать".

    Снимок экрана показывает назначение разрешения выбранному хранилищу.

  4. Перейдите в раздел "Просмотр и создание", убедитесь, что функция "Настроить разрешения" доступна и учетная запись является правильным хранилищем служб восстановления, а затем нажмите Создать.

    Снимок экрана: проверка назначенного хранилища служб восстановления и создание Key Vault.

    Снимок экрана: проверка текущего доступа.

Включите мягкое удаление и защиту от очистки в Azure Key Vault

Необходимо включить возможность мягкого удаления и защиту от окончательного удаления в Azure Key Vault, где хранится ваш ключ шифрования.

Выбор клиента*

Вы можете включить мягкое удаление и защиту от очистки в Azure Key Vault.

Кроме того, эти свойства можно задать при создании Key Vault. Дополнительные сведения об этих свойствах Key Vault.

Снимок экрана: включение spft-delete.

Сохранение парольной фразы агента MARS в Azure Key Vault для новой установки MARS

Прежде чем продолжить установку агента MARS, убедитесь, что хранилище служб восстановления настроено для хранения парольной фразы в Azure Key Vault и успешно:

  1. Вы создали хранилище служб восстановления.

  2. Включена управляемая идентичность, назначаемая системой, для хранилища служб восстановления.

  3. Назначены разрешения для хранилища служб восстановления для создания секрета в Key Vault.

  4. Включены мягкое удаление и защита от безвозвратного удаления для вашего Key Vault.

  5. Чтобы установить агент MARS на компьютере, скачайте установщик MARS на портале Azure и используйте мастер установки.

  6. После предоставления учетных данных хранилища служб восстановления во время регистрации в параметре шифрования выберите параметр, чтобы сохранить парольную фразу в Azure Key Vault.

    Снимок экрана: параметр сохранения парольной фразы в Azure Key Vault для выбора.

  7. Введите парольную фразу или выберите "Создать парольную фразу".

  8. На портале Azure откройте Key Vault, скопируйте URI Key Vault.

    Снимок экрана: копирование URI Key Vault.

  9. Вставьте URI Key Vault в консоль MARS, затем выберите Регистрация.

    Если возникла ошибка, ознакомьтесь с разделом по устранению неполадок , чтобы получить дополнительные сведения.

  10. После успешной регистрации параметр копирования идентификатора в секрет создается, а парольная фраза не сохраняется в файле локально.

    Снимок экрана отображает параметр копирования идентификатора, который приводит к созданию секрета.

    Если изменить парольную фразу в будущем для этого агента MARS, будет добавлена новая версия секрета с последней парольной фразой.

Этот процесс можно автоматизировать с помощью нового параметра KeyVaultUri в Set-OBMachineSetting commandскрипте установки.

Сохранение парольной фразы агента MARS в Azure Key Vault для существующей установки MARS

Если у вас есть существующая установка агента MARS и хотите сохранить парольную фразу в Azure Key Vault, обновите агент до версии 2.0.9262.0 или более поздней и выполните операцию смены парольной фразы.

После обновления агента MARS убедитесь, что хранилище служб резервного копирования настроено для хранения парольной фразы в Azure Key Vault и вы успешно:

  1. Вы создали хранилище служб восстановления.
  2. Включена управляемая идентичность, назначаемая системой, для хранилища служб восстановления.
  3. Назначены разрешения для хранилища служб восстановления для создания секрета в Key Vault.
  4. Включена обратимая защита удаления и очистки для Key Vault

Чтобы сохранить парольную фразу в Key Vault, выполните следующие действия.

  1. Откройте консоль агента MARS.

    Вы увидите баннер с просьбой выбрать ссылку, чтобы сохранить парольную фразу в Azure Key Vault.

    В качестве альтернативы выберите "Изменить свойства">"Изменить кодовую фразу", чтобы продолжить.

    Снимок экрана: начало изменения парольной фразы для существующей установки MARS.

  2. В диалоговом окне "Изменение свойств" появится параметр сохранения парольной фразы в Key Vault, указав универсальный код ресурса (URI) Key Vault .

    Note

    Если компьютер уже настроен для сохранения парольной фразы в Key Vault, URI Key Vault будет автоматически заполнен в текстовом поле.

    Снимок экрана: параметр сохранения парольной фразы в Key Vault путем создания URI Key Vault.

  3. Откройте портал Azure, откройте Key Vault и скопируйте URI Key Vault.

    Снимок экрана: копирование URI Key Vault.

  4. Вставьте универсальный код ресурса (URI) Key Vault в консоль MARS и нажмите кнопку "ОК".

    Если возникла ошибка, ознакомьтесь с разделом по устранению неполадок , чтобы получить дополнительные сведения.

  5. После успешной операции изменения парольной фразы можно скопировать идентификатор в секрет , и парольная фраза не сохраняется в файле локально.

    Снимок экрана: параметр копирования идентификатора в созданный секрет.

    Если вы в будущем измените парольную фразу для этого агента MARS, будет добавлена новая версия секрета с новейшей парольной фразой.

Этот шаг можно автоматизировать с помощью нового параметра KeyVaultUri в командлете Set-OBMachineSetting .

Получение парольной фразы агента MARS из Azure Key Vault для компьютера

Если ваш компьютер становится недоступен и необходимо восстановить данные из резервных копий из хранилища служб восстановления с помощью восстановления в альтернативное место, вам потребуется парольная фраза машины.

Парольная фраза сохраняется в Azure Key Vault в качестве секрета. Один секрет создается на компьютере, а новая версия добавляется в секрет при изменении парольной фразы компьютера. Секрет называется AzBackup-machine fully qualified name-vault name.

Чтобы найти парольную фразу компьютера, выполните следующие действия.

  1. На портале Azure откройте Key Vault, используемое для сохранения парольной фразы для компьютера.

    Мы рекомендуем использовать одно хранилище ключей для сохранения всех парольных фраз.

  2. Выберите секреты и выполните поиск секрета с именем AzBackup-<machine name>-<vaultname>.

    Снимок экрана показывает, как проверить секретное имя.

  3. Выберите секрет, откройте последнюю версию и скопируйте значение секрета.

    Это парольная фраза компьютера, которая будет использоваться во время восстановления.

    Снимок экрана показывает выбор тайны.

    Если у вас есть большое количество секретов в Key Vault, используйте интерфейс командной строки (CLI) Key Vault для их перечисления и поиска.

az keyvault secret list --vault-name 'myvaultname’ | jq '.[] | select(.name|test("AzBackup-<myvmname>"))'

Решение распространенных проблем сохранения секретной фразы в Azure Key Vault

В этом разделе перечислены распространенные ошибки при сохранении парольной фразы в Azure Key Vault.

Идентификация системы не настроена — 391224

Причина. Эта ошибка возникает, если в хранилище служб восстановления не настроено управляемое удостоверение, назначаемое системой.

Рекомендуемое действие. Убедитесь, что управляемое удостоверение, назначаемое системой, правильно настроено для хранилища служб восстановления в соответствии с предварительными условиями.

Разрешения не настроены — 391225

Причина. Хранилище служб восстановления имеет управляемое удостоверение, назначаемое системой, но у него нет разрешения на создание секрета в целевом хранилище ключей.

Рекомендуемое действие:

  1. Убедитесь, что используемые учетные данные хранилища соответствуют заданному хранилищу служб восстановления.
  2. Убедитесь, что URI хранилища ключей соответствует предназначенному хранилищу ключей.
  3. Убедитесь, что имя хранилища служб восстановления указано в Key Vault —> политиках доступа —> приложения, с разрешениями на секреты установлено.

Снимок экрана: имя хранилища служб восстановления отображается в разделе Key Vault.

Если он не указан, настройте разрешение еще раз.

Неправильный URI Хранилища ключей Azure — 100272

Причина. Введенный универсальный код ресурса (URI) Key Vault не имеет правильного формата.

Рекомендуемое действие. Убедитесь, что вы ввели URI Key Vault, скопированный на портале Azure. Например: https://myvault.vault.azure.net/.

Снимок экрана: копирование URL-адреса Kay Vault.

UserErrorSecretExistsSoftDeleted (391282)

Причина: секрет в ожидаемом формате уже существует в Key Vault, но он находится в состоянии мягкого удаления. Если секрет не восстановлен, MARS не может сохранить парольную фразу для этого компьютера в предоставленном Key Vault.

Рекомендуемое действие: Проверьте, существует ли секрет в хранилище с именем AzBackup-<machine name>-<vaultname>, и находится ли он в состоянии "мягкого удаления". Восстановите мягко удаленный секрет, чтобы сохранить парольную фразу в нём.

UserErrorKeyVaultSoftDeleted (391283)

Причина: Хранилище ключей, предоставленное MARS, находится в состоянии мягкого удаления.

Рекомендуемое действие: восстановите Хранилище ключей или предоставьте новое хранилище ключей.

Регистрация не завершена

Причина: вы не выполнили регистрацию MARS, зарегистрируя парольную фразу. Таким образом, вы не сможете настраивать резервные копии, пока не зарегистрируетесь.

Рекомендуемое действие: выберите предупреждение и завершите регистрацию.

Снимок экрана: завершение регистрации.

  • Last updated on