Bezpečné ukládání a správa přístupového hesla agenta MARS ve službě Azure Key Vault

Azure Backup pomocí agenta služby Recovery Services (MARS) umožňuje zálohovat soubory a složky a data stavu systému do trezoru služby Azure Recovery Services. Tato data se šifrují pomocí přístupového hesla, které zadáte během instalace a registrace agenta MARS. Toto heslo se vyžaduje k načtení a obnovení zálohovacích dat a je potřeba je uložit do zabezpečeného externího umístění.

Důležité

Pokud dojde ke ztrátě tohoto přístupového hesla, microsoft nebude moct načíst zálohovaná data uložená v trezoru služby Recovery Services. Toto heslo doporučujeme uložit do zabezpečeného externího umístění, jako je Azure Key Vault.

Teď můžete šifrovací heslo bezpečně uložit ve službě Azure Key Vault jako tajný klíč z konzoly MARS během instalace nových počítačů a změnou přístupového hesla pro stávající počítače. Pokud chcete povolit ukládání přístupového hesla do služby Azure Key Vault, musíte trezoru služby Recovery Services udělit oprávnění k vytvoření tajného kódu ve službě Azure Key Vault.

Než začnete

• Vytvořte trezor služby Recovery Services pro případ, že ho nemáte.
• K uložení všech přístupových hesel byste měli použít jeden trezor klíčů Azure Key Vault. Pokud ho nemáte, vytvořte službu Key Vault .
• Ceny služby Azure Key Vault platí při vytváření nové služby Azure Key Vault pro uložení přístupového hesla.
• Po vytvoření služby Key Vault se ujistěte, že je zapnutá ochrana před náhodným nebo škodlivým odstraněním přístupového hesla.
• Tato funkce se podporuje jenom ve veřejných oblastech Azure s agentem MARS verze 2.0.9262.0 nebo vyšší.

Konfigurace trezoru služby Recovery Services pro ukládání přístupových hesel do služby Azure Key Vault

Než budete moct heslo uložit do služby Azure Key Vault, nakonfigurujte trezor služby Recovery Services a Azure Key Vault.

Pokud chcete nakonfigurovat trezor, postupujte podle těchto kroků v dané sekvenci, abyste dosáhli zamýšlených výsledků. Jednotlivé akce jsou podrobně popsány v následujících částech:

1. Povolená spravovaná identita přiřazená systémem pro trezor služby Recovery Services
2. Přiřaďte oprávnění trezoru služby Recovery Services k uložení přístupového hesla jako tajného klíče ve službě Azure Key Vault.
3. V Azure Key Vault zapněte ochranu proti obnovitelnému odstranění a vymazání.

Poznámka:

• Po povolení této funkce nesmíte spravovanou identitu zakázat (dokonce dočasně). Zakázání spravované identity může vést k nekonzistentnímu chování.
• Spravovaná identita přiřazená uživatelem se v současné době nepodporuje pro ukládání přístupového hesla ve službě Azure Key Vault.

Povolení spravované identity přiřazené systémem pro trezor služby Recovery Services

Zvolte klienta:

Azure Portal

Postupujte následovně:

1. Přejděte na identitu trezoru >služby Recovery Services.

   

2. Vyberte kartu Přiřazená systémem.

3. Změňte stav na Zapnuto.

4. Výběrem možnosti Uložit povolíte identitu trezoru.

Vygeneruje se ID objektu, což je spravovaná identita trezoru přiřazená systémem.

PowerShell

Pokud chcete povolit spravovanou identitu přiřazenou systémem pro trezor služby Recovery Services, použijte rutinu Update-AzRecoveryServicesVault .

Příklad

$vault=Get-AzRecoveryServicesVault -ResourceGroupName "testrg" -Name "testvault"
Update-AzRecoveryServicesVault -IdentityType SystemAssigned -ResourceGroupName TestRG -Name TestVault
$vault.Identity | fl

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : SystemAssigned

Rozhraní příkazového řádku

Pokud chcete povolit spravovanou identitu přiřazenou systémem pro trezor služby Recovery Services, použijte az backup vault identity assign tento příkaz.

Příklad

az backup vault identity assign --system-assigned --resource-group MyResourceGroup --name MyVault

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : SystemAssigned

Přiřazení oprávnění k uložení přístupového hesla ve službě Azure Key Vault

Na základě modelu oprávnění služby Key Vault (přístupových oprávnění na základě role nebo modelu oprávnění na základě zásad přístupu) nakonfigurovaného pro službu Key Vault najdete v následujících částech.

Povolení oprávnění pomocí modelu oprávnění přístupu na základě role pro Key Vault

Zvolte klienta:

Azure Portal

Oprávnění přiřadíte takto:

1. Přejděte ke konfiguraci přístupu k nastavením>služby Azure Key Vault>a ujistěte se, že model oprávnění je RBAC.

   

2. Pokud chcete přidat přiřazení role, vyberte Řízení přístupu (IAM)>+Přidat.

3. Identita trezoru služby Recovery Services vyžaduje oprávnění Nastavit tajný klíč k vytvoření a přidání přístupového hesla jako tajného klíče do služby Key Vault.

   Můžete vybrat předdefinované role , jako je například Key Vault Secrets Officer , který má oprávnění (spolu s dalšími oprávněními, která nejsou pro tuto funkci nutná) nebo vytvořit vlastní roli s oprávněním Nastavit pouze u tajného klíče.

   V části Podrobnosti vyberte Zobrazit, abyste zobrazili oprávnění udělená rolí a ujistěte se, že je k dispozici oprávnění Nastavit u tajného klíče.

   

   

4. Výběrem možnosti Další pokračujte výběrem možnosti Členové pro zadání.

5. Vyberte spravovanou identitu a pak + Vyberte členy. zvolte Předplatné cílového trezoru služby Recovery Services a v části Spravovaná identita přiřazená systémem vyberte trezor služby Recovery Services.

   Vyhledejte a vyberte název trezoru služby Recovery Services.

   

6. Vyberte Další, zkontrolujte zadání a vyberte Zkontrolovat a přiřadit.

   

7. Ve službě Key Vault přejděte do řízení přístupu (IAM), vyberte přiřazení rolí a ujistěte se, že je uvedený trezor služby Recovery Services.

   

PowerShell

Oprávnění přiřadíte spuštěním následující rutiny:

#Find the application id for your recovery services vault
Get-AzADServicePrincipal -SearchString <principalName>
#Identify a role with Set permission on Secret, like Key Vault Secret Office
Get-AzRoleDefinition | Format-Table -Property Name, IsCustom, Id
#Assign role to Recovery Services Vault identity 
Get-AzRoleDefinition -Name <roleName>
#Assign by Service Principal ApplicationId
New-AzRoleAssignment -RoleDefinitionName 'Key Vault Secrets Officer' -ApplicationId {i.e 00001111-aaaa-2222-bbbb-3333cccc4444} -Scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}

Rozhraní příkazového řádku

Oprávnění přiřadíte spuštěním následujícího příkazu:

#Find the application id for your recovery services vault
az ad sp list --all --filter "displayname eq '<my recovery vault name>' and servicePrincipalType eq 'ManagedIdentity'"
#Identify a role with Set permission on Secret, like Key Vault Secret Office
az role definition list --query "[].{name:name, roleType:roleType, roleName:roleName}" --output tsv
az role definition list --name "{roleName}"
#Assign role to Recovery Services Vault identity 
az role assignment create --role "Key Vault Secrets Officer" --assignee "<application id>" {i.e "11112222-bbbb-3333-cccc-4444dddd5555"} --scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}

Povolení oprávnění pomocí modelu oprávnění zásad přístupu pro službu Key Vault

Zvolte klienta:

Azure Portal

Postupujte následovně:

1. Přejděte do zásad> přístupu služby Azure Key Vault>a pak vyberte + Vytvořit.

   

2. V části Oprávnění tajných kódů vyberte Nastavit operaci.

   Určuje povolené akce u tajného klíče.

   

3. Přejděte na Výběr objektu zabezpečení a vyhledejte trezor ve vyhledávacím poli pomocí názvu nebo spravované identity.

   Vyberte trezor z výsledku hledání a zvolte Vybrat.

   

4. Přejděte na Zkontrolovat a vytvořit, ujistěte se, že je k dispozici oprávnění Nastavit, a instanční objekt je správný trezor služby Recovery Services a pak vyberte Vytvořit.

   

   

PowerShell

Pokud chcete získat ID objektu zabezpečení trezoru služby Recovery Services, použijte rutinu Get-AzADServicePrincipal . Pak pomocí tohoto ID v rutině Get-AzADServicePrincipal nastavte zásady přístupu pro trezor klíčů.

Příklad

$sp = Get-AzADServicePrincipal -DisplayName MyVault
$Set-AzKeyVaultAccessPolicy -VaultName myKeyVault -ObjectId $sp.Id -PermissionsToSecrets set

Rozhraní příkazového řádku

Pokud chcete získat ID objektu zabezpečení trezoru služby Recovery Services, použijte az ad sp list příkaz. Pak pomocí tohoto ID v az keyvault set-policy příkazu nastavte zásadu přístupu pro trezor klíčů.

Příklad

az ad sp list --display-name MyVault
az keyvault set-policy --name myKeyVault --object-id <object-id> --secret-permissions set

Povolení obnovitelného odstranění a ochrany před vymazáním ve službě Azure Key Vault

Ve službě Azure Key Vault, která ukládá šifrovací klíč, musíte povolit obnovitelné odstranění a vyprázdnění.

Volba klienta*

Azure Portal

Ochranu obnovitelného odstranění a vymazání můžete povolit ve službě Azure Key Vault.

Alternativně můžete tyto vlastnosti nastavit při vytváření služby Key Vault. Přečtěte si další informace o těchto vlastnostech služby Key Vault.

PowerShell

1. Přihlaste se ke svému účtu Azure.

   Login-AzAccount
   

2. Vyberte předplatné, které obsahuje váš trezor.

   Set-AzContext -SubscriptionId SubscriptionId
   

3. Povolte obnovitelné odstranění.

   ($resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "AzureKeyVaultName").ResourceId).Properties | Add-Member -MemberType "NoteProperty" -Name "enableSoftDelete" -Value "true"
   Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
   

4. Povolte ochranu před vymazáním.

   ($resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "AzureKeyVaultName").ResourceId).Properties | Add-Member -MemberType "NoteProperty" -Name "enablePurgeProtection" -Value "true"
   Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
   
   

Rozhraní příkazového řádku

1. Přihlaste se ke svému účtu Azure.

   az login
   

2. Vyberte předplatné, které obsahuje váš trezor.

   az account set --subscription "Subscription1"
   

3. Povolení obnovitelného odstranění

   az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-soft-delete true
   

4. Povolení ochrany před vymazáním

   az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-purge-protection true 
   

Uložení přístupového hesla do služby Azure Key Vault pro novou instalaci MARS

Než budete pokračovat v instalaci agenta MARS, ujistěte se, že jste nakonfigurovali trezor služby Recovery Services pro ukládání přístupových frází do služby Azure Key Vault a úspěšně jste provedli následující kroky:

1. Vytvořili jste trezor služby Recovery Services.

2. Povolili spravovanou identitu přiřazenou systémem trezoru služby Recovery Services.

3. Přiřazená oprávnění k trezoru služby Recovery Services k vytvoření tajného kódu ve službě Key Vault.

4. Povolili jsme obnovitelné odstranění a ochranu před vymazáním pro službu Key Vault.

5. Pokud chcete nainstalovat agenta MARS na počítač, stáhněte instalační program MARS z webu Azure Portal a pak použijte průvodce instalací.

6. Po zadání přihlašovacích údajů trezoru služby Recovery Services během registrace vyberte v nastavení šifrování možnost uložení přístupového hesla do služby Azure Key Vault.

   

7. Zadejte heslo nebo vyberte Vygenerovat heslo.

8. Na webu Azure Portal otevřete key Vault a zkopírujte identifikátor URI služby Key Vault.

   

9. Vložte identifikátor URI služby Key Vault do konzoly MARS a pak vyberte Zaregistrovat.

   Pokud dojde k chybě, další informace najdete v části řešení potíží.

10. Jakmile registrace proběhne úspěšně, vytvoří se možnost zkopírovat identifikátor do tajného kódu a heslo se neuloží do souboru místně.

    

    Pokud heslo změníte v budoucnu pro tohoto agenta MARS, přidá se nová verze tajného kódu s nejnovějším přístupovým heslem.

Tento proces můžete automatizovat pomocí nové možnosti KeyVaultUri v Set-OBMachineSetting command instalačním skriptu.

Uložení přístupového hesla do služby Azure Key Vault pro existující instalaci MARS

Pokud máte existující instalaci agenta MARS a chcete heslo uložit do služby Azure Key Vault, aktualizujte agenta na verzi 2.0.9262.0 nebo vyšší a proveďte operaci hesla změn.

Po aktualizaci agenta MARS se ujistěte, že jste nakonfigurovali trezor služby Recovery Services pro ukládání přístupových frází do služby Azure Key Vault a úspěšně jste provedli následující:

1. Vytvořili jste trezor služby Recovery Services.
2. Povolili spravovanou identitu přiřazenou systémem trezoru služby Recovery Services.
3. Přiřazená oprávnění k trezoru služby Recovery Services k vytvoření tajného kódu ve službě Key Vault.
4. Povolené obnovitelné odstranění a ochrana před vymazáním ve službě Key Vault

Uložení přístupového hesla do služby Key Vault:

1. Otevřete konzolu agenta MARS.

   Měl by se zobrazit banner s výzvou k výběru odkazu pro uložení přístupového hesla do služby Azure Key Vault.

   Můžete také pokračovat výběrem možnosti Změnit vlastnosti>změnit heslo.

   

2. V dialogovém okně Změnit vlastnosti se zobrazí možnost uložení přístupového hesla do služby Key Vault zadáním identifikátoru URI služby Key Vault.

   Poznámka:

   Pokud je počítač už nakonfigurovaný tak, aby uložil heslo do služby Key Vault, do textového pole se automaticky vyplní identifikátor URI služby Key Vault.

   

3. Otevřete Azure Portal, otevřete službu Key Vault a pak zkopírujte identifikátor URI služby Key Vault.

   

4. Vložte identifikátor URI služby Key Vault do konzoly MARS a pak vyberte OK.

   Pokud dojde k chybě, další informace najdete v části řešení potíží.

5. Jakmile bude operace hesla změn úspěšná, vytvoří se možnost zkopírovat identifikátor do tajného klíče a heslo se neuloží do souboru místně.

   

   Pokud heslo změníte v budoucnu pro tohoto agenta MARS, přidá se nová verze tajného kódu s nejnovějším přístupovým heslem.

Tento krok můžete automatizovat pomocí nové možnosti KeyVaultUri v rutině Set-OBMachineSetting .

Načtení přístupového hesla ze služby Azure Key Vault pro počítač

Pokud váš počítač přestane být dostupný a potřebujete obnovit zálohovaná data z trezoru služby Recovery Services prostřednictvím obnovení alternativního umístění, budete potřebovat heslo počítače, abyste mohli pokračovat.

Heslo se uloží do služby Azure Key Vault jako tajný klíč. Jeden tajný klíč se vytvoří na počítač a při změně přístupového hesla pro počítač se do tajného kódu přidá nová verze. Tajný kód má název AzBackup-machine fully qualified name-vault name.

Vyhledání přístupového hesla počítače:

1. Na webu Azure Portal otevřete key Vault použitý k uložení přístupového hesla pro počítač.

   Ke uložení všech přístupových hesel doporučujeme použít jednu službu Key Vault.

2. Vyberte Tajné kódy a vyhledejte tajný kód s názvem AzBackup-<machine name>-<vaultname>.

   

3. Vyberte tajný klíč, otevřete nejnovější verzi a zkopírujte hodnotu tajného kódu.

   Toto je přístupové heslo počítače, které se má použít během obnovení.

   

   Pokud máte ve službě Key Vault velký počet tajných kódů, vypište a vyhledejte tajný kód pomocí rozhraní příkazového řádku služby Key Vault.

az keyvault secret list --vault-name 'myvaultname’ | jq '.[] | select(.name|test("AzBackup-<myvmname>"))'

Řešení běžných scénářů

Tato část obsahuje nejčastější chyby při ukládání přístupového hesla do služby Azure Key Vault.

Systémová identita není nakonfigurovaná – 391224

Příčina: K této chybě dochází v případě, že trezor služby Recovery Services nemá nakonfigurovanou spravovanou identitu přiřazenou systémem.

Doporučená akce: Ujistěte se, že je spravovaná identita přiřazená systémem správně nakonfigurovaná pro trezor služby Recovery Services podle požadavků.

Oprávnění nejsou nakonfigurovaná – 391225

Příčina: Trezor služby Recovery Services má spravovanou identitu přiřazenou systémem, ale nemá oprávnění Nastavit k vytvoření tajného klíče v cílové službě Key Vault.

Doporučená akce:

1. Ujistěte se, že použité přihlašovací údaje trezoru odpovídají zamýšlenému trezoru služby Recovery Services.
2. Ujistěte se, že identifikátor URI služby Key Vault odpovídá zamýšlené službě Key Vault.
3. Ujistěte se, že je název trezoru služby Recovery Services uvedený v části Key Vault –> Zásady přístupu –> Aplikace s nastavenými oprávněními tajných kódů.

Pokud není uvedená, nakonfigurujte oprávnění znovu.

Identifikátor URI služby Azure Key Vault není správný – 100272

Příčina: Zadaný identifikátor URI služby Key Vault není ve správném formátu.

Doporučená akce: Ujistěte se, že jste zadali identifikátor URI služby Key Vault zkopírovaný z webu Azure Portal. Například https://myvault.vault.azure.net/.

 

UserErrorSecretExistsSoftDeleted (391282)

Příčina: Tajný kód v očekávaném formátu už ve službě Key Vault existuje, ale je ve stavu obnovitelného odstranění. Pokud se tajný klíč neobnoví, mars nemůže heslo pro tento počítač uložit do poskytnuté služby Key Vault.

Doporučená akce: Zkontrolujte, jestli v trezoru existuje tajný klíč s názvem AzBackup-<machine name>-<vaultname> a jestli je ve stavu obnovitelného odstranění. Obnovte obnovitelně odstraněný tajný klíč a uložte do něj přístupové heslo.

UserErrorKeyVaultSoftDeleted (391283)

Příčina: Služba Key Vault poskytnutá službě MARS je ve stavu obnovitelného odstranění.

Doporučená akce: Obnovení služby Key Vault nebo poskytnutí nové služby Key Vault

Registrace není úplná

Příčina: Registraci MARS jste nedokončili registrací hesla. Proto nebudete moct konfigurovat zálohy, dokud se nezaregistrujete.

Doporučená akce: Vyberte zprávu upozornění a dokončete registraci.