Sdílet prostřednictvím

Řešení potíží s klíčem spravovaným zákazníkem

  • Článek

Tento článek je třetí částí čtyřdílné série kurzů. První část obsahuje přehled klíčů spravovaných zákazníkem, jejich funkcí a důležitých informací, než ho povolíte v registru. V druhé části se dozvíte, jak povolit klíč spravovaný zákazníkem pomocí Azure CLI, webu Azure Portal nebo šablony Azure Resource Manageru. Ve třetí části se dozvíte, jak obměňovat, aktualizovat a odvolat klíč spravovaný zákazníkem. Tento článek vám pomůže vyřešit běžné problémy s klíči spravovanými zákazníkem.

Chyba při odebírání spravované identity

Pokud se pokusíte odebrat spravovanou identitu přiřazenou uživatelem nebo systémem, kterou jste použili ke konfiguraci šifrování registru, může se zobrazit chyba:

Azure resource '/subscriptions/xxxx/resourcegroups/myGroup/providers/Microsoft.ContainerRegistry/registries/myRegistry' does not have access to identity 'xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx' Try forcibly adding the identity to the registry <registry name>. For more information on bring your own key, please visit 'https://aka.ms/acr/cmk'.

Šifrovací klíč nemůžete změnit (otočit). Postup řešení závisí na typu identity, kterou jste použili k šifrování.

Odebrání identity přiřazené uživatelem

Pokud se při pokusu o odebrání identity přiřazené uživatelem zobrazí tato chyba, postupujte takto:

  1. Znovu přiřaďte identitu přiřazenou uživatelem pomocí příkazu az acr identity assign .

  2. Předejte ID prostředku přiřazené uživatelem nebo použijte název identity, pokud je ve stejné skupině prostředků jako registr.

    Příklad:

    az acr identity assign -n myRegistry \
    --identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"

  3. Změňte klíč a přiřaďte jinou identitu.

  4. Teď můžete odebrat původní identitu přiřazenou uživatelem.

Odebrání identity přiřazené systémem

Pokud se při pokusu o odebrání identity přiřazené systémem zobrazí chyba, vytvořte lístek podpora Azure pro pomoc s obnovením identity.

Chyba po povolení brány firewall trezoru klíčů

Pokud povolíte bránu firewall trezoru klíčů nebo virtuální síť po vytvoření šifrovaného registru, může se zobrazit chyba HTTP 403 nebo jiné chyby při importu nebo automatizované obměně klíčů. Chcete-li tento problém vyřešit, překonfigurujte spravovanou identitu a klíč, které jste původně použili k šifrování. Podívejte se na postup obměna klíče spravovaného zákazníkem.

Pokud potíže potrvají, obraťte se na podporu Azure.

Chyba vypršení platnosti identity

Identita připojená k registru je nastavená pro autorenewal, aby se zabránilo vypršení platnosti. Pokud zrušíte přidružení identity k registru, zobrazí se chybová zpráva s vysvětlením, že nemůžete odebrat identitu, která se používá pro CMK. Pokus o odebrání identity ohrožuje autorenewal identity. Operace vyžádání/nabízení artefaktů fungují až do vypršení platnosti identity (obvykle tři měsíce). Po vypršení platnosti identity se zobrazí zpráva HTTP 403 s chybovou zprávou Identita přidružená k registru je neaktivní. Příčinou může být pokus o odebrání identity. Znovu přiřaďte identitu ručně.

Identitu musíte znovu přiřadit zpět do registru explicitně.

  1. Spuštěním příkazu az acr identity assign znovu přiřaďte identitu ručně.

    • Příklad:
    az acr identity assign -n myRegistry \
--identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"

Náhodné vymazání trezoru klíčů nebo klíče

Odstranění trezoru klíčů nebo klíče, který se používá k šifrování registru pomocí klíče spravovaného zákazníkem, znepřístupňuje obsah registru. Pokud je v trezoru klíčů povolené obnovitelné odstranění (výchozí možnost), můžete obnovit odstraněný trezor nebo objekt trezoru klíčů a obnovit operace registru.

Další kroky

Scénáře odstranění a obnovení trezoru klíčů najdete v tématu Správa obnovení služby Azure Key Vault s využitím obnovitelného odstranění a ochrany před vymazáním.