Поделиться через

Использование ключей, управляемых клиентом, в Azure Key Vault для Azure Data Box.

Устройства Azure Data Box защищены паролем, чтобы предотвратить нежелательное вторжение. Этот пароль официально называется ключом разблокировки устройства и защищен с помощью ключа шифрования. По умолчанию ключ шифрования является управляемым ключом Майкрософт. Для более прямого управления можно указать собственный управляемый ключ.

Использование собственного ключа, управляемого клиентом, влияет только на шифрование ключа разблокировки устройства. Это не влияет на то, как данные, хранящиеся на устройстве, шифруются.

Чтобы обеспечить этот уровень контроля в рамках процесса заказа, используйте ключ, управляемый клиентом, при создании заказа. Дополнительные сведения см. в статье Руководство по оформлению заказа на Azure Data Box.

В этой статье описывается, как использовать ключи, управляемые клиентом, с существующим заказом Azure Data Box на портале Azure. Эта статья относится к устройствам Azure Data Box, Data Box Next-gen и Data Box Heavy.

Требования

Ключ, управляемый клиентом, для заказа Data Box, должен соответствовать следующим требованиям.

  • Ключ должен быть ключом RSA размером 2048 бит или больше.
  • Ключ должен быть создан и сохранен в Azure Key Vault, у которого включены функции мягкого удаления и не очищать. Вы можете создать хранилище ключей и ключ при создании или обновлении заказа. Дополнительные сведения см. в статье "Что такое Azure Key Vault?
  • Разрешения Get, UnwrapKey и WrapKey для ключа должны быть включены в связанное Хранилище ключей Azure. Эти разрешения должны сохраняться в течение всего времени существования заказа. Изменение этих разрешений запрещает доступ к ключу, управляемому клиентом, во время процесса копирования данных.

Включение ключа

Чтобы включить управляемый клиентом ключ для существующего заказа Data Box на портале Azure, выполните следующие действия.

  1. Перейдите на страницу Обзор для заказа Data Box.

    Снимок экрана, показывающий страницу обзора заказа Data Box.

  2. В группе "Параметры" выберите "Шифрование". В области "Тип шифрования" выберите параметр "Управляемый клиентом ключ ". Затем выберите "Выбрать ключ и хранилище ключей", чтобы открыть страницу "Выбрать ключ из хранилища ключей Azure".

    Снимок экрана, показывающий выбранный параметр

  3. Откроется страница выбора ключа из Azure Key Vault , и ваша подписка автоматически заполняется в раскрывающемся списке. Выберите существующее хранилище ключей в раскрывающемся списке хранилища ключей или нажмите кнопку "Создать" , чтобы создать новое хранилище ключей.

    Снимок экрана с выделением параметров хранилища ключей при выборе ключа, управляемого клиентом.

    Чтобы создать новое хранилище ключей, выберите подписку и группу ресурсов в соответствующих раскрывающихся списках "Подписка " и "Группа ресурсов ". Кроме того, можно создать новую группу ресурсов, выбрав "Создать " вместо заполнения параметра "Группа ресурсов ".

    Выберите нужные значения для раскрывающихся списков "Имя хранилища ключей", " Регион" и " Ценовая категория ". В группе параметров восстановления убедитесь, что включено мягкое удаление и включена защита от очистки. Укажите значение для поля "Срок хранения удаленных хранилищ", а затем выберите "Проверить + Создать".

    Снимок экрана, показывающий страницу

    Просмотрите сведения для хранилища ключей и нажмите кнопку "Создать". Вы получите уведомление о завершении создания хранилища ключей.

    Снимок экрана, показывающий создание Azure Key Vault с настраиваемыми параметрами.

  4. На экране Выбор ключа из Azure Key Vault можно выбрать существующий ключ из хранилища ключей или создать новый.

    Снимок экрана, показывающий выбор ключа из Azure Key Vault.

    Если вы хотите создать новый ключ, выберите Создать новый. Необходимо использовать ключ RSA с 2048 битами или больше.

    Снимок экрана, показывающий создание нового ключа в Azure Key Vault.

    Введите имя ключа, примите другие значения по умолчанию и нажмите кнопку "Создать". Вы получите уведомление о создании ключа в хранилище ключей.

    Снимок экрана, показывающий именование нового ключа в Azure Key Vault.

  5. В поле Версия можно выбрать существующую версию ключа из раскрывающегося списка.

    Снимок экрана, показывающий выбор версии ключа в Azure Key Vault.

    Если вы хотите сформировать новую версию ключа, выберите Создать новую.

    Снимок экрана, показывающий расположение ссылки

    Выберите параметры для новой версии ключа и выберите команду Создать.

    Снимок экрана, показывающий экран создания новой версии ключа.

  6. Выбрав хранилище ключей, ключ и версию ключа, нажмите кнопку "Выбрать".

    Снимок экрана, показывающий расположение кнопки

    Параметры Тип шифрования показывают выбранное хранилище ключей и ключ.

    Снимок экрана, показывающий сведения о Key и Key Vault.

  7. Выберите тип удостоверения, которое будет использоваться для управляемого клиентом ключа, предназначенного для этого ресурса. Можно использовать назначенное системой удостоверение, сформированное во время создания заказа, или выбрать удостоверение, назначенное пользователем.

    Назначаемое пользователем удостоверение — это независимый ресурс, который можно использовать для управления доступом к ресурсам. Дополнительные сведения см. в разделе Типы управляемых удостоверений.

    Снимок экрана, показывающий типы удостоверений.

    Чтобы назначить идентификатор пользователя, выберите Пользователь, назначаемый. Затем нажмите Выбрать удостоверение пользователяи выберите управляемое удостоверение, которое вы хотите использовать.

    Снимок экрана, показывающий параметры выбора ключа.

    Здесь нельзя создать новое удостоверение пользователя. Информацию о том, как создавать новое удостоверение см. в статье Создание, перечисление, удаление или назначение роли назначаемому и управляемому пользователем удостоверению с помощью портала Azure.

    Выбранное удостоверение пользователя отображается в параметрах Тип шифрования.

    Снимок экрана с выбранным удостоверением пользователя, показанным в области параметров типа шифрования.

  8. Нажмите кнопку Сохранить, чтобы сохранить обновленные параметры типа шифрования.

    Снимок экрана, показывающий расположение кнопки

    URL-адрес ключа отображается в разделе Тип шифрования.

    Снимок экрана, показывающий URL-адрес ключа, управляемый клиентом.

Внимание

Необходимо включить Get, UnwrapKey и WrapKey разрешения на ключе. Сведения о настройке разрешений в Azure CLI см. в статье az keyvault set-policy.

Изменить ключ

Чтобы изменить хранилище ключей, ключ и версию ключа, которые вы используете для ключа, управляемого клиентом, выполните следующие действия.

  1. На экране "Обзор " для заказа Data Box перейдите в раздел>"Параметры шифрования" и выберите "Изменить ключ".

    Снимок экрана страницы обзора заказа Data Box с сведениями о ключах, управляемых клиентом.

  2. Нажмите Выбрать другое хранилище ключей и ключ.

    Снимок экрана страницы обзора заказа Data Box, на котором выделен процесс выбора различных параметров хранилища ключей и ключей.

  3. На экране Выбор ключа из хранилища ключей отображается подписка, но нет хранилища ключей, ключа или версии ключа. Внесите любые из следующих изменений:

    • Выберите другой ключ из того же хранилища ключей. Выберите хранилище ключей перед выбором ключа и версии.

    • Выберите другое хранилище ключей и назначьте новый ключ.

    • Измените версию текущего ключа.

    Завершив изменения, нажмите кнопку Выбрать.

    Снимок экрана, показывающий параметры шифрования и расположение кнопки

  4. Выберите Сохранить.

    Снимок экрана, показывающий обновленные параметры шифрования и расположение кнопки

Внимание

Необходимо включить Get, UnwrapKey и WrapKey разрешения на ключе. Сведения о настройке разрешений в Azure CLI см. в статье az keyvault set-policy.

Смена идентичности

Выполните следующие действия, чтобы обновить удостоверение, которое управляет доступом к ключу, управляемому клиентом, для этого заказа:

  1. На экране Обзор для готового заказа Data Box выберите Параметры>Шифрование.

  2. Внесите любые из следующих изменений:

    • Чтобы изменить другое удостоверение пользователя, выберите "Выбрать другое удостоверение пользователя". Затем выберите другое удостоверение на панели справа от экрана и нажмите кнопку "Выбрать".

      Снимок экрана с параметрами изменения назначенной пользователем идентичности для управляемого клиентом ключа.

    • Чтобы переключиться на системное удостоверение, созданное во время создания заказа, выберите Системное назначение с помощью Выбрать тип удостоверения.

      Снимок экрана: параметры перехода на назначенный системой ключ из управляемого клиентом ключа.

  3. Выберите Сохранить.

    Снимок экрана: расположение кнопки, используемой для сохранения обновленных параметров шифрования.

Использование ключей, управляемых корпорацией Майкрософт

Чтобы перейти от использования ключа, управляемого клиентом, к ключу, управляемому корпорацией Майкрософт для своего заказа, выполните следующие действия.

  1. На экране Обзор для готового заказа Data Box выберите Параметры>Шифрование.

  2. Рядом с пунктом Выбор типа выберите Ключ, управляемый Майкрософт.

    Снимок экрана: панель обзора заказа Data Box.

  3. Выберите Сохранить.

    Снимок экрана: расположение кнопки, используемой для сохранения обновленных параметров шифрования для управляемого ключа Майкрософт.

Устранение неполадок

Если вы получаете ошибки, связанные с управляемым клиентом ключом, воспользуйтесь следующей таблицей для устранения неполадок.

Код ошибки Сведения об ошибке Резолюция
Ошибка пользователя Ssem: ключ шифрования отключен Не удалось получить ключ доступа: ключ, управляемый клиентом, отключен. Активируйте версию ключа.
Ошибка пользователя Ssem: срок действия ключа шифрования истек. Не удалось получить ключ доступа: срок действия управляемого клиентом ключа истек. Активация версии по ключу.
SsemUserErrorKeyDetailsNotFound Не удалось получить ключ доступа: ключ, управляемый клиентом, не найден. Если хранилище ключей удаляется:
  1. Если удаление произошло в течение периода длительности защиты от очистки, выполните действия, описанные в разделе "Восстановление хранилища ключей".
  2. Если защита от очистки отключена или удаление произошло за пределами длительности защиты от очистки, управляемый клиентом ключ не может быть восстановлен.

Если хранилище ключей прошло миграцию арендатора, его можно восстановить с помощью одного из следующих методов:
  1. Верните Key Vault обратно на старого арендатора.
  2. Установите Identity = None, а затем верните значение в Identity = SystemAssigned. Это действие удаляет и повторно создает идентификатор. Включите Get, WrapKey, и UnwrapKey разрешения для нового удостоверения в политике доступа хранилища ключей.
SsemUserErrorKeyVaultBadRequestException Применен ключ, управляемый клиентом, но доступ к ключу не был предоставлен или отменен или не удается получить доступ к хранилищу ключей из-за включения брандмауэра. Чтобы включить доступ к ключу, управляемому клиентом, добавьте выбранное удостоверение в хранилище ключей. Если в хранилище ключей включен брандмауэр, переключитесь на назначенное системой удостоверение, а затем добавьте управляемый клиентом ключ. Дополнительные сведения см. в статье Включение ключа.
SsemUserErrorKeyVaultDetailsNotFound Не удалось получить ключ доступа, так как связанное хранилище ключей для ключа, управляемого клиентом, не удалось найти. Если вы удалили хранилище ключей, вы не сможете восстановить ключ, управляемый клиентом. Если вы перенесли хранилище ключей на другой клиент, см. статью Изменение идентификатора клиента хранилища ключей после перемещения подписки. Если вы удалили хранилище ключей:
  1. Да, если он находится в периоде защиты от очистки, следуя инструкциям по восстановлению хранилища ключей.
  2. Нет, если она превышает длительность защиты от очистки.

В противном случае, если хранилище ключей подверглось миграции арендатора, да, его можно восстановить с помощью одного из следующих шагов:
  1. Верните Key Vault обратно на старого арендатора.
  2. Установите значение Identity = None, а затем верните обратно значение Identity = SystemAssigned. Изменение значения идентификатора приводит к его удалению и пересозданию после создания нового идентификатора. Включите разрешения Get, WrapKey и UnwrapKey для нового удостоверения в политике доступа хранилища ключей.
SsemUserErrorSystemAssignedIdentityAbsent Не удалось получить ключ доступа, так как ключ, управляемый клиентом, не удалось найти. Да, проверьте следующее:
  1. В Key Vault по-прежнему есть MSI в политике доступа.
  2. Идентичность имеет тип системно назначенный.
  3. Включите разрешения Get, WrapKey и UnwrapKey для идентичности в политике доступа хранилища ключей. Эти разрешения должны оставаться в течение всего времени существования заказа. Они используются во время создания заказа и в начале этапа копирования данных.
SsemUserErrorUserAssignedLimitReached Добавить новое назначенное пользователем удостоверение не удалось, так как достигнуто максимальное количество таких удостоверений, которое можно добавить. Повторите операцию с меньшим количеством удостоверений пользователей или удалите некоторые пользовательские удостоверения из ресурса, прежде чем повторить попытку.
SsemUserErrorCrossTenantIdentityAccessForbidden Сбой операции управления доступом к идентификации.
Примечание. Эта ошибка может возникать при перемещении подписки к другому арендатору. Клиент должен вручную переместить учетную запись в нового арендатора.		 Попробуйте добавить другую пользовательскую назначаемую идентичность в хранилище ключей, чтобы обеспечить доступ к ключу, управляемому клиентом. Или переместите удостоверение в нового арендатора, где имеется подписка. Дополнительные сведения см. в статье Включение ключа.
SsemUserErrorKekUserIdentityNotFound Применен ключ, управляемый клиентом, но идентификатор, назначенный пользователем, который имеет доступ к ключу, не найден в Active Directory.
Примечание. Эта ошибка может возникать при удалении удостоверения пользователя из Azure.		 Попробуйте добавить другую пользовательскую назначаемую идентичность в хранилище ключей, чтобы обеспечить доступ к ключу, управляемому клиентом. Дополнительные сведения см. в статье Включение ключа.
SsemUserErrorUserAssignedIdentityAbsent Не удалось получить ключ доступа, так как ключ, управляемый клиентом, не удалось найти. Не удалось получить доступ к ключу, управляемому клиентом. Либо пользовательское удостоверение, связанное с ключом, было удалено, либо его тип изменился.
SsemUserErrorKeyVaultBadRequestException Применен ключ, управляемый клиентом, но доступ к ключам не предоставлен или отменен, или не удалось получить доступ к хранилищу ключей, так как брандмауэр включен. Чтобы включить доступ к ключу, управляемому клиентом, добавьте выбранное удостоверение в хранилище ключей. Если в хранилище ключей включен брандмауэр, переключитесь на назначаемое системой удостоверение, а затем добавьте управляемый клиентом ключ. Дополнительные сведения см. в статье Включение ключа.
SsemUserErrorEncryptionKeyTypeNotSupported Тип ключа шифрования не поддерживается для операции. Включите поддерживаемый тип шифрования ключа, например RSA или RSA-HSM. Дополнительные сведения см. в разделе "Типы ключей", "Алгоритмы" и "Операции".
SsemUserErrorSoftDeleteAndPurgeProtectionNotEnabled Хранилище ключей не имеет активированных функций обратимого удаления или защиты от очистки. Убедитесь, что в хранилище ключей включена защита от обратимого удаления и очистки.
SsemUserErrorInvalidKeyVaultUrl
(только командная строка)		 Использовался недопустимый универсальный код ресурса (URI) хранилища ключей. Получите правильный URI хранилища ключей. Чтобы получить URI хранилища ключей, используйте Get-AzKeyVault в PowerShell.
SsemUserErrorKeyVaultUrlWithInvalidScheme Только HTTPS поддерживается для передачи URI хранилища ключей. Передайте URI хранилища ключей по протоколу HTTPS.
SsemUserErrorKeyVaultUrlInvalidHost Хост URI хранилища ключей не является допустимым в данном географическом регионе. В общедоступном облаке универсальный код ресурса (URI) хранилища ключей должен заканчиваться vault.azure.net. В облаке Azure для государственных организаций универсальный код ресурса (URI) хранилища ключей должен заканчиваться vault.usgovcloudapi.net.
Общая ошибка Не удалось получить ключ доступа. Эта ошибка является универсальной ошибкой. Обратитесь в служба поддержки Майкрософт, чтобы устранить ошибку и определить дальнейшие действия.

Следующие шаги

  • Last updated on