Управление секретами Azure Stack Edge с помощью Azure Key Vault

ОБЛАСТЬ ПРИМЕНЕНИЯ:Azure Stack Edge Pro — GPUAzure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R

Azure Key Vault интегрирован с ресурсом Azure Stack Edge для управления секретами. В этой статье содержатся сведения о создании Azure Key Vault для ресурса Azure Stack Edge во время активации устройства, а затем используется для управления секретами.

Сведения о хранилище ключей и Azure Stack Edge

Облачная служба Azure Key Vault используется для безопасного хранения и управления доступом к маркерам, паролям, сертификатам, ключам API и другим секретам. Key Vault также упрощает создание и управление ключами шифрования, используемыми для шифрования данных.

Для службы Azure Stack Edge интеграция с хранилищем ключей обеспечивает следующие преимущества:

• Хранит секреты клиента. Одним из секретов, используемых для службы Azure Stack Edge, является ключ целостности канала (CIK). Этот ключ позволяет шифровать секреты и безопасно храниться в хранилище ключей. Секреты устройств, такие как ключ восстановления BitLocker и пароль пользователя контроллера управления базовой платой (BMC), также хранятся в хранилище ключей.

  Дополнительные сведения см. в разделе "Безопасное хранение секретов и ключей".

• Передает зашифрованные секреты клиента на устройство.

• Отображает секреты устройства для простого доступа, если устройство не работает.

Создание ключа активации и создание хранилища ключей

Хранилище ключей создается для ресурса Azure Stack Edge во время создания ключа активации. Хранилище ключей создается в той же группе ресурсов, где присутствует ресурс Azure Stack Edge. Разрешение вкладчика требуется для хранилища ключей.

Предварительные требования для хранилища ключей

Перед созданием хранилища ключей во время активации необходимо выполнить следующие предварительные требования:

• Зарегистрируйте поставщика ресурсов Microsoft.KeyVault перед созданием ресурса Azure Stack Edge. Поставщик ресурсов автоматически регистрируется, если у вас есть доступ владельца или участника к подписке. Хранилище ключей создается в той же подписке и группе ресурсов, что и ресурс Azure Stack Edge.

• При создании ресурса Azure Stack Edge также создается управляемое удостоверение, назначаемое системой, которое сохраняется в течение всего времени существования ресурса и взаимодействует с поставщиком ресурсов в облаке.

  Если управляемое удостоверение включено, Azure создает доверенное удостоверение для ресурса Azure Stack Edge.

Создание хранилища ключей

После создания ресурса необходимо активировать ресурс с устройством. Для этого вы создадите ключ активации из портал Azure.

При создании ключа активации происходят следующие события:

• Вы запрашиваете ключ активации в портал Azure. Затем запрос отправляется поставщику ресурсов хранилища ключей.
• Хранилище ключей уровня "Стандартный" с политикой доступа создается и заблокировано по умолчанию.

  • В этом хранилище ключей используется имя по умолчанию или кастомное имя длиной от 3 до 24 символов, указанное вами. Нельзя использовать хранилище ключей, которое уже используется.

  • Сведения о хранилище ключей хранятся в службе. Это хранилище ключей используется для управления секретами и сохраняется до тех пор, пока существует ресурс Azure Stack Edge.

    

• Блокировка ресурсов включена в хранилище ключей, чтобы предотвратить случайное удаление. Мягкое удаление также активировано в хранилище ключей, что позволяет восстановить его в течение 90 дней в случае случайного удаления. Дополнительные сведения см. в статье Общие сведения о мягком удалении в Azure Key Vault.
• Управляемое системой удостоверение, которое было создано при создании ресурса Azure Stack Edge, теперь включено.
• Ключ целостности канала (CIK) создается и помещается в хранилище ключей. Сведения о CIK отображаются в сервисе.
• Учетная запись хранилища с зональной избыточностью (ZRS) также создается в той же области, что и ресурс Azure Stack Edge, и на учетную запись накладывается блокировка.
  • Эта учетная запись используется для хранения журналов аудита.
  • Создание учетной записи хранения является длительным процессом и занимает несколько минут.
  • Учетная запись хранения помечена тегом с именем хранилища ключей.
• Настройка диагностики добавляется в хранилище ключей, и журналирование включено.
• Управляемое удостоверение добавляется в политику доступа к хранилищу ключей, чтобы разрешить доступ к хранилищу ключей, так как устройство использует хранилище ключей для хранения и извлечения секретов.
• Хранилище ключей проверяет подлинность запроса с помощью управляемого удостоверения для создания ключа активации. Ключ активации возвращается в портал Azure. Затем вы можете скопировать этот ключ и использовать его в локальном пользовательском интерфейсе для активации устройства.

Если возникнут проблемы, связанные с хранилищем ключей и активацией устройств, см. статью "Устранение неполадок с активацией устройства".

Просмотр свойств хранилища ключей

После создания ключа активации и создания хранилища ключей может потребоваться получить доступ к хранилищу ключей для просмотра секретов, политик доступа, диагностика и аналитических сведений. В следующей процедуре описывается каждая из этих операций.

Просмотр секретов

После создания ключа активации и создания хранилища ключей может потребоваться получить доступ к хранилищу ключей.

Чтобы получить доступ к хранилищу ключей и просмотреть секреты, выполните следующие действия.

1. В портал Azure для ресурса Azure Stack Edge перейдите в раздел "Безопасность".

2. В области справа в разделе "Безопасность" можно просмотреть секреты.

3. Вы также можете перейти к хранилищу ключей, связанному с ресурсом Azure Stack Edge. Выберите имя хранилища ключей.

   

4. Чтобы просмотреть секреты, хранящиеся в хранилище ключей, перейдите в раздел "Секреты". Ключ целостности канала, ключ восстановления BitLocker и пароли пользователей контроллера управления базовой платой (BMC) хранятся в хранилище ключей. Если устройство выходит из строя, портал предоставляет простой доступ к ключу восстановления BitLocker и паролю пользователя BMC.

   

Просмотр политики доступа к управляемым идентификаторам

Чтобы получить доступ к политикам доступа для хранилища ключей и управляемого удостоверения, выполните следующие действия.

1. В портал Azure для ресурса Azure Stack Edge перейдите в раздел "Безопасность".

2. Выберите ссылку, соответствующую имени хранилища ключей, чтобы перейти к хранилищу ключей, связанному с ресурсом Azure Stack Edge.

   

3. Чтобы просмотреть политики доступа, связанные с хранилищем ключей, нажмите на Access policies. Вы увидите, что управляемое удостоверение было предоставлено доступу. Выберите Разрешения секрета. Вы можете увидеть, что доступ управляемого удостоверения ограничен только действиями получения и установки секрета.

   

Просмотр журналов аудита

Чтобы получить доступ к хранилищу ключей и просмотреть параметры диагностики и журналы аудита, выполните следующие действия.

1. В портал Azure для ресурса Azure Stack Edge перейдите в раздел "Безопасность".

2. Выберите ссылку, соответствующую имени хранилища ключей, чтобы перейти к хранилищу ключей, связанному с ресурсом Azure Stack Edge.

   

3. Чтобы просмотреть параметры диагностика, связанные с хранилищем ключей, перейдите к параметрам диагностики. Этот параметр позволяет отслеживать, как и когда доступ к хранилищам ключей осуществляется и кем. Вы можете увидеть, что была создана настройка диагностики. Журналы направляются в учетную запись хранения, которая также была создана. События аудита также создаются в хранилище ключей.

   

Если вы настроили другой целевой объект хранения для журналов в хранилище ключей, можно просмотреть журналы непосредственно в этой учетной записи хранения.

Просмотр аналитики

Чтобы получить доступ к аналитическим сведениям хранилища ключей, включая операции, выполняемые в хранилище ключей, выполните следующие действия.

1. В портал Azure для ресурса Azure Stack Edge перейдите в раздел "Безопасность".

2. Выберите ссылку, соответствующую диагностике хранилища ключей.

   

3. В колонке "Аналитика" представлен обзор операций, выполняемых в хранилище ключей.

   

Просмотр состояния управляемого удостоверения

Чтобы просмотреть состояние управляемого удостоверения, назначаемого системой, связанного с ресурсом Azure Stack Edge, выполните следующие действия.

1. В портал Azure для ресурса Azure Stack Edge перейдите в раздел "Безопасность".

2. В правой области перейдите к системному управляемому удостоверению, чтобы просмотреть, включено ли или отключено системное управляемое удостоверение.

   

Просмотр блокировок хранилища ключей

Чтобы получить доступ к хранилищу ключей и просмотреть блокировки, выполните следующие действия.

1. В портал Azure для ресурса Azure Stack Edge перейдите в раздел "Безопасность".

2. Выберите ссылку, соответствующую имени хранилища ключей, чтобы перейти к хранилищу ключей, связанному с ресурсом Azure Stack Edge.

   

3. Чтобы просмотреть блокировки в хранилище ключей, перейдите в раздел "Блокировки". Чтобы предотвратить случайное удаление, в хранилище ключей включена блокировка ресурсов.

   

Повторное создание ключа активации

В некоторых случаях может потребоваться повторно создать ключ активации. При повторном создании ключа активации происходят следующие события:

1. Вы запрашиваете повторное создание ключа активации в портале Azure.
2. Ключ активации возвращается в портал Azure. Затем вы можете скопировать этот ключ и использовать его.

При повторном создании ключа активации доступ к хранилищу ключей не осуществляется.

Восстановление секретов устройства

Если CIK случайно удален или секреты (например, пароль пользователя BMC) стали устаревшими в хранилище ключей, вам потребуется отправить секреты с устройства, чтобы обновить секреты хранилища ключей.

Выполните следующие действия, чтобы синхронизировать секреты устройства:

1. В портал Azure перейдите к ресурсу Azure Stack Edge и перейдите в раздел "Безопасность".

2. В правой области в верхней панели команд выберите "Синхронизация секретов устройства".

3. Секреты устройства отправляются в хранилище ключей для восстановления или обновления секретов в хранилище ключей. При завершении синхронизации появится уведомление.

   

Удаление хранилища ключей

Существует два способа удаления хранилища ключей, связанного с ресурсом Azure Stack Edge:

• Удалите ресурс Azure Stack Edge и удалите связанное хранилище ключей одновременно.
• Случайно удалил хранилище ключей напрямую.

При удалении ресурса Azure Stack Edge хранилище ключей также удаляется с ресурсом. Вы получите запрос на подтверждение. Если вы храните другие ключи в этом хранилище ключей и не собираетесь удалять это хранилище ключей, вы можете не предоставить согласие. Только ресурс Azure Stack Edge удаляется, оставляя хранилище ключей нетронутым.

Выполните следующие действия, чтобы удалить ресурс Azure Stack Edge и связанное хранилище ключей:

1. На портале Azure перейдите к ресурсу Azure Stack Edge и затем в раздел "Обзор".

2. В правой области нажмите кнопку "Удалить". Это действие приведет к удалению ресурса Azure Stack Edge.

   

3. Вы увидите панель с подтверждением. Введите имя ресурса Azure Stack Edge. Чтобы подтвердить удаление связанного хранилища ключей, введите "Да".

   

4. Выберите команду Удалить.

Ресурс Azure Stack Edge и хранилище ключей удаляются.

Хранилище ключей может быть случайно удалено при использовании ресурса Azure Stack Edge. Если это произойдет, на странице Безопасность вашего ресурса Azure Stack Edge будет создано критическое оповещение. Вы можете перейти на эту страницу, чтобы восстановить хранилище ключей.

Восстановите хранилище ключей

Хранилище ключей, связанное с ресурсом Azure Stack Edge, можно восстановить, если оно удалено случайно или уничтожено. Если это хранилище ключей использовалось для хранения других ключей, необходимо восстановить эти ключи путем восстановления хранилища ключей.

• В течение 90 дней после удаления можно восстановить хранилище ключей, которое было удалено.
• Если 90-дневный период защиты от очистки уже истек, вы не сможете восстановить хранилище ключей. Вместо этого необходимо создать новое хранилище ключей.

В течение 90 дней после удаления выполните следующие действия, чтобы восстановить хранилище ключей:

• В портал Azure перейдите на страницу "Безопасность" ресурса Azure Stack Edge. Вы увидите уведомление о том, что хранилище ключей, связанное с вашим ресурсом, было удалено. Чтобы восстановить хранилище ключей, вы можете выбрать уведомление или нажать Перенастройка напротив имени хранилища ключей в разделе Параметры безопасности.

  

• В колонке "Восстановить хранилище ключей" выберите "Настроить". Следующие операции выполняются как часть восстановления:

  

  • Хранилище ключей восстанавливается с тем же именем, и на ресурс хранилища ключей устанавливается блокировка.

    Примечание.

    Если хранилище ключей удаляется, а период защиты от очистки в течение 90 дней не истек, то в этом периоде имя хранилища ключей нельзя использовать для создания нового хранилища ключей.

  • Учетная запись хранения создается для хранения журналов аудита.

  • Управляемое удостоверение, назначаемое системой, получает доступ к хранилищу ключей.

  • Секретные данные устройств передаются в хранилище ключей.

  Выберите Настроить.

  

  Хранилище ключей восстанавливается, и после завершения восстановления отображается уведомление об этом.

Если хранилище ключей удаляется и срок защиты от очистки в течение 90 дней истек, вы сможете создать новое хранилище ключей с помощью процедуры восстановления ключа, описанной выше. В этом случае вы укажите новое имя хранилища ключей. Создается новая учетная запись хранения, управляемому удостоверению предоставляется доступ к этому хранилищу ключей, а секреты устройств туда отправляются.

Восстановление доступа к управляемому удостоверению

Если политика доступа к управляемому удостоверению, назначаемая системой, удаляется, оповещение возникает, когда устройство не может повторно синхронизировать секреты хранилища ключей. Если у управляемого удостоверения нет доступа к хранилищу ключей, снова вызывается оповещение устройства. Выберите оповещение в каждом конкретном случае, чтобы открыть панель восстановления хранилища ключей и перенастроить её. Этот процесс должен восстановить доступ к управляемому удостоверению.

Следующие шаги

• Узнайте больше о том, как создать ключ активации.
• Устранение ошибок Key Vault на устройстве Azure Stack Edge.