Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Устройства Azure Data Box защищены паролем, чтобы предотвратить нежелательное вторжение. Этот пароль официально называется ключом разблокировки устройства и защищен с помощью ключа шифрования. По умолчанию ключ шифрования является управляемым ключом Майкрософт. Для более прямого управления можно указать собственный управляемый ключ.
Использование собственного ключа, управляемого клиентом, влияет только на шифрование ключа разблокировки устройства. Это не влияет на то, как данные, хранящиеся на устройстве, шифруются.
Чтобы обеспечить этот уровень контроля в рамках процесса заказа, используйте ключ, управляемый клиентом, при создании заказа. Дополнительные сведения см. в статье Руководство по оформлению заказа на Azure Data Box.
В этой статье описывается, как использовать ключи, управляемые клиентом, с существующим заказом Azure Data Box на портале Azure. Эта статья относится к устройствам Azure Data Box, Data Box Next-gen и Data Box Heavy.
Требования
Ключ, управляемый клиентом, для заказа Data Box, должен соответствовать следующим требованиям.
- Ключ должен быть ключом RSA размером 2048 бит или больше.
- Ключ должен быть создан и сохранен в Azure Key Vault, у которого включены функции мягкого удаления и не очищать. Вы можете создать хранилище ключей и ключ при формировании или обновлении заказа. Дополнительные сведения см. в статье Что такое хранилище ключей Azure?
- Разрешения
Get,UnwrapKeyиWrapKeyдля ключа должны быть включены в связанное Хранилище ключей Azure. Эти разрешения должны сохраняться в течение всего времени существования заказа. Изменение этих разрешений запрещает доступ к ключу, управляемому клиентом, во время процесса копирования данных.
Включение ключа
Чтобы включить управляемый клиентом ключ для существующего заказа Data Box на портале Azure, выполните следующие действия.
Перейдите на страницу обзора для заказа Data Box.
В группе "Параметры" выберите "Шифрование". В области "Тип шифрования" выберите параметр "Управляемый клиентом ключ ". Затем выберите "Выбрать ключ и хранилище ключей", чтобы открыть страницу "Выбрать ключ из хранилища ключей Azure".
Откроется страница выбора ключа из Azure Key Vault , и ваша подписка автоматически заполняется в раскрывающемся списке. Выберите существующее хранилище ключей в раскрывающемся списке хранилища ключей или нажмите кнопку "Создать" , чтобы создать новое хранилище ключей.
Чтобы создать новое хранилище ключей, выберите подписку и группу ресурсов в соответствующих раскрывающихся списках "Подписка " и "Группа ресурсов ". Кроме того, можно создать новую группу ресурсов, выбрав "Создать " вместо заполнения параметра "Группа ресурсов ".
Выберите нужные значения для раскрывающихся списков "Имя хранилища ключей", " Регион" и " Ценовая категория ". В группе параметров восстановления убедитесь, что мягкое удаление и защита от очистки включены. Укажите значение в поле "Дни хранения удалённых хранилищ", а затем выберите "Проверка и создание".
Просмотрите сведения для хранилища ключей и нажмите кнопку "Создать". Вы получите уведомление о завершении создания хранилища ключей.
На экране Выбор ключа из Azure Key Vault можно выбрать существующий ключ из хранилища ключей или создать новый.
Если вы хотите создать новый ключ, выберите Создать новый. Необходимо использовать ключ RSA с 2048 битами или больше.
Введите имя ключа, примите другие значения по умолчанию и нажмите кнопку "Создать". Вы получите уведомление о создании ключа в хранилище ключей.
В поле Версия можно выбрать существующую версию ключа из раскрывающегося списка.
Если вы хотите сформировать новую версию ключа, выберите Создать новую.
Выберите параметры для новой версии ключа и выберите команду Создать.
Выбрав хранилище ключей, ключ и версию ключа, нажмите кнопку "Выбрать".
Параметры Тип шифрования показывают выбранное хранилище ключей и ключ.
Выберите тип удостоверения, которое будет использоваться для управляемого клиентом ключа, предназначенного для этого ресурса. Можно использовать назначенное системой удостоверение, сформированное во время создания заказа, или выбрать удостоверение, назначенное пользователем.
Назначенное пользователем удостоверение — это самостоятельный ресурс, который можно использовать для контроля доступа к ресурсам. Для получения дополнительной информации см. Типы управляемых удостоверений.
Чтобы назначить удостоверение пользователя, выберите Назначенный пользователю. Затем нажмите Выбрать удостоверение пользователяи выберите управляемое удостоверение, которое вы хотите использовать.
Здесь нельзя создать новое удостоверение пользователя. Информацию о том, как создавать новое удостоверение см. в статье Создание, перечисление, удаление или назначение роли назначаемому и управляемому пользователем удостоверению с помощью портала Azure.
Выбранное удостоверение пользователя отображается в параметрах Тип шифрования.
Нажмите кнопку Сохранить, чтобы сохранить обновленные параметры типа шифрования.
URL-адрес ключа отображается в разделе Тип шифрования.
Внимание
Необходимо включить Get, UnwrapKey и WrapKey разрешения на ключе. Сведения о настройке разрешений в Azure CLI см. в статье az keyvault set-policy.
Изменить ключ
Чтобы изменить хранилище ключей, ключ и версию ключа, которые вы используете для ключа, управляемого клиентом, выполните следующие действия.
На экране "Обзор " для заказа Data Box перейдите в раздел>"Параметры шифрования" и выберите "Изменить ключ".
Нажмите Выбрать другое хранилище ключей и ключ.
На экране Выбор ключа из хранилища ключей отображается подписка, но нет хранилища ключей, ключа или версии ключа. Внесите любые из следующих изменений:
Выберите другой ключ из того же хранилища ключей. Выберите хранилище ключей перед выбором ключа и версии.
Выберите другое хранилище ключей и назначьте новый ключ.
Измените версию текущего ключа.
Завершив изменения, нажмите кнопку Выбрать.
Выберите Сохранить.
Внимание
Необходимо включить Get, UnwrapKey и WrapKey разрешения на ключе. Сведения о настройке разрешений в Azure CLI см. в статье az keyvault set-policy.
Смена идентичности
Выполните следующие действия, чтобы обновить удостоверение, которое управляет доступом к ключу, управляемому клиентом, для этого заказа:
На экране Обзор для готового заказа Data Box выберите Параметры>Шифрование.
Внесите любые из следующих изменений:
Чтобы изменить другое удостоверение пользователя, выберите "Выбрать другое удостоверение пользователя". Затем выберите другое удостоверение на панели в правой части экрана и нажмите кнопку Выбрать.
Чтобы переключиться на удостоверение личности, назначенное системой во время формирования заказа, выберите Назначенное системой в меню Тип удостоверения.
Выберите Сохранить.
Использование ключей, управляемых корпорацией Майкрософт
Чтобы перейти от использования ключа, управляемого клиентом, к ключу, управляемому корпорацией Майкрософт для своего заказа, выполните следующие действия.
На экране Обзор для готового заказа Data Box выберите Параметры>Шифрование.
Рядом с пунктом Выбор типа выберите Ключ, управляемый Майкрософт.
Выберите Сохранить.
Устранение неполадок
Если вы получаете ошибки, связанные с управляемым клиентом ключом, воспользуйтесь следующей таблицей для устранения неполадок.
| Код ошибки | Сведения об ошибке | Резолюция |
|---|---|---|
| Ошибка пользователя Ssem: ключ шифрования отключен | Не удалось получить ключ доступа: ключ, управляемый клиентом, отключен. | Включите версию ключа. |
| Ошибка пользователя Ssem: срок действия ключа шифрования истек. | Не удалось получить ключ доступа: срок действия управляемого клиентом ключа истек. | Активация версии по ключу. |
| SsemUserErrorKeyDetailsNotFound | Не удалось получить ключ доступа: ключ, управляемый клиентом, не найден. | Если хранилище ключей удаляется:
Если хранилище ключей прошло миграцию арендатора, его можно восстановить с помощью одного из следующих методов:
|
| SsemUserErrorKeyVaultBadRequestException | Применен ключ, управляемый клиентом, но доступ к ключу не был предоставлен или отменен или не удается получить доступ к хранилищу ключей из-за включения брандмауэра. | Чтобы включить доступ к ключу, управляемому клиентом, добавьте выбранное удостоверение в хранилище ключей. Если в хранилище ключей включен брандмауэр, переключитесь на назначенное системой удостоверение, а затем добавьте управляемый клиентом ключ. Дополнительные сведения см. в статье Включение ключа. |
| SsemUserErrorKeyVaultDetailsNotFound | Не удалось получить ключ доступа, так как связанное хранилище ключей для ключа, управляемого клиентом, не удалось найти. | Если вы удалили хранилище ключей, вы не сможете восстановить ключ, управляемый клиентом. Если вы перенесли хранилище ключей на другой клиент, см. статью Изменение идентификатора клиента хранилища ключей после перемещения подписки. Если вы удалили хранилище ключей:
Иначе если хранилище ключей подверглось миграции арендатора, его можно восстановить, следуя одному из следующих шагов:
|
| Ошибка пользователя Ssem: Отсутствует системно назначенная идентичность | Не удалось получить ключ доступа, так как ключ, управляемый клиентом, не удалось найти. | Да, проверьте, есть ли:
|
| ОшибкаSsem: Достигнут предел назначенных пользователям лимитов | Добавить новое назначенное пользователем удостоверение не удалось, так как достигнуто максимальное количество таких удостоверений, которое можно добавить. | Повторите операцию с меньшим количеством удостоверений пользователей или удалите некоторые пользовательские удостоверения из ресурса, прежде чем повторить попытку. |
| SsemUserErrorCrossTenantIdentityAccessForbidden | Операция доступа для управляемого удостоверения завершилась сбоем. Примечание. Эта ошибка может возникать при перемещении подписки к другому арендатору. Клиент должен вручную переместить удостоверение в нового арендатора. |
Попробуйте добавить другую пользовательскую назначаемую идентичность в хранилище ключей, чтобы обеспечить доступ к ключу, управляемому клиентом. Или переместите учетную запись в новый клиент, где находится подписка. Дополнительные сведения см. в статье Включение ключа. |
| SsemUserErrorKekUserIdentityNotFound | Применен ключ, управляемый клиентом, но идентификатор, назначенный пользователем, который имеет доступ к ключу, не найден в Active Directory. Примечание. Эта ошибка может возникать при удалении удостоверения пользователя из Azure. |
Попробуйте добавить другую пользовательскую назначаемую идентичность в хранилище ключей, чтобы обеспечить доступ к ключу, управляемому клиентом. Дополнительные сведения см. в статье Включение ключа. |
| Ошибка пользователя: назначенное пользователем удостоверение отсутствует | Не удалось получить ключ доступа, так как ключ, управляемый клиентом, не удалось найти. | Не удалось получить доступ к ключу, управляемому клиентом. Либо пользовательское удостоверение, связанное с ключом, было удалено, либо его тип изменился. |
| SsemUserErrorKeyVaultBadRequestException | Применен ключ, управляемый клиентом, но доступ к ключам не предоставлен или отменен, или не удалось получить доступ к хранилищу ключей, так как брандмауэр включен. | Чтобы включить доступ к ключу, управляемому клиентом, добавьте выбранное удостоверение в хранилище ключей. Если в хранилище ключей включен брандмауэр, переключитесь на назначаемое системой удостоверение, а затем добавьте управляемый клиентом ключ. Дополнительные сведения см. в статье Включение ключа. |
| SsemUserErrorEncryptionKeyTypeNotSupported | Тип ключа шифрования не поддерживается для операции. | Включите поддерживаемый тип шифрования ключа, например RSA или RSA-HSM. Дополнительные сведения см. в разделе "Типы ключей", "Алгоритмы" и "Операции". |
| Ошибка пользователя Ssem: Защита от мягкого удаления и очистки не включена | Хранилище ключей не имеет функции мягкого удаления или защиты от удаления. | Убедитесь, что в хранилище ключей включены функции мягкого удаления и защиты от очистки. |
| SsemUserErrorInvalidKeyVaultUrl (только командная строка) |
Использовался недопустимый универсальный код ресурса (URI) хранилища ключей. | Получите правильный URI хранилища ключей. Чтобы получить URI хранилища ключей, используйте Get-AzKeyVault в PowerShell. |
| ОшибкаПользователяURLХранилищаКлючейСНевернойСхемой | Только HTTPS поддерживается для передачи URI хранилища ключей. | Передайте URI хранилища ключей по протоколу HTTPS. |
| SsemUserErrorКлючХранилищаUrlНеверныйХост | Хост URI хранилища ключей не является допустимым в данном географическом регионе. | В общедоступном облаке универсальный код ресурса (URI) хранилища ключей должен заканчиваться vault.azure.net. В облаке Azure для государственных организаций универсальный код ресурса (URI) хранилища ключей должен заканчиватьсяvault.usgovcloudapi.net. |
| Общая ошибка | Не удалось получить ключ доступа. | Эта ошибка является универсальной ошибкой. Обратитесь в служба поддержки Майкрософт, чтобы устранить ошибку и определить дальнейшие действия. |