Sdílet prostřednictvím


Použití klíčů spravovaných zákazníkem ve službě Azure Key Vault pro Azure Data Box

Azure Data Box chrání klíč pro odemknutí zařízení (označovaný také jako heslo zařízení), který slouží k uzamčení zařízení, prostřednictvím šifrovacího klíče. Ve výchozím nastavení je tento šifrovací klíč spravovaný Microsoftem. Pokud chcete mít větší kontrolu, můžete použít klíč spravovaný zákazníkem.

Použití klíče spravovaného zákazníkem nemá vliv na šifrování dat v zařízení. Má vliv pouze na šifrování klíče pro odemknutí zařízení.

Pokud chcete zachovat tuto úroveň kontroly v celém procesu objednávky, použijte při vytváření objednávky klíč spravovaný zákazníkem. Další informace najdete v tématu Kurz: Objednání Azure Data Boxu.

Tento článek ukazuje, jak na webu Azure Portal povolit klíč spravovaný zákazníkem pro vaši stávající objednávku Data Boxu. Zjistíte, jak změnit trezor klíčů, klíč, verzi nebo identitu vašeho aktuálního klíče spravovaného zákazníkem nebo přepnout zpět na použití spravovaného klíče Microsoftu.

Tento článek se týká zařízení Azure Data Box a Azure Data Box Heavy.

Požadavky

Klíč spravovaný zákazníkem pro objednávku Data Boxu musí splňovat následující požadavky:

  • Klíč se musí vytvořit a uložit ve službě Azure Key Vault s povoleným obnovitelném odstraněním a nevyprázdnit . Další informace najdete v tématu Co je Azure Key Vault? Při vytváření nebo aktualizaci objednávky můžete vytvořit trezor klíčů a klíč.
  • Klíč musí být klíč RSA o velikosti 2048 nebo větší.
  • Musíte povolit Getklíč a UnwrapKeyWrapKey oprávnění pro klíč ve službě Azure Key Vault. Oprávnění musí zůstat na místě po celou dobu životnosti objednávky. V opačném případě není klíč spravovaný zákazníkem přístupný na začátku fáze kopírování dat.

Povolení klíče

Pokud chcete na webu Azure Portal povolit klíč spravovaný zákazníkem pro vaši stávající objednávku Data Boxu, postupujte takto:

  1. Přejděte na obrazovku Přehled objednávky Data Boxu.

    Obrazovka s přehledem objednávky Data Boxu – 1

  2. Přejděte do části Šifrování nastavení > a vyberte Klíč spravovaný zákazníkem. Pak vyberte Vybrat klíč a trezor klíčů.

    Výběr možnosti šifrování klíče spravovaného zákazníkem

    Na obrazovce Vybrat klíč ze služby Azure Key Vault se vaše předplatné vyplní automaticky.

  3. V případě trezoru klíčů můžete v rozevíracím seznamu vybrat existující trezor klíčů nebo vybrat Vytvořit nový a vytvořit nový trezor klíčů.

    Možnosti trezoru klíčů při výběru klíče spravovaného zákazníkem

    Pokud chcete vytvořit nový trezor klíčů, zadejte předplatné, skupinu prostředků, název trezoru klíčů a další informace na obrazovce Vytvořit nový trezor klíčů. V možnostech obnovení se ujistěte, že je povolená ochrana obnovitelného odstranění a vymazání. Pak vyberte Zkontrolovat a vytvořit.

    Kontrola a vytvoření služby Azure Key Vault

    Zkontrolujte informace o trezoru klíčů a vyberte Vytvořit. Počkejte několik minut, než se vytvoření trezoru klíčů dokončí.

    Vytvoření služby Azure Key Vault s nastavením

  4. Na obrazovce Vybrat klíč ze služby Azure Key Vault můžete vybrat existující klíč z trezoru klíčů nebo vytvořit nový.

    Výběr klíče ze služby Azure Key Vault

    Pokud chcete vytvořit nový klíč, vyberte Vytvořit nový. Musíte použít klíč RSA. Velikost může být 2048 nebo vyšší.

    Vytvoření nového klíče ve službě Azure Key Vault

    Zadejte název nového klíče, přijměte ostatní výchozí hodnoty a vyberte Vytvořit. Zobrazí se oznámení o vytvoření klíče v trezoru klíčů.

    Název nového klíče

  5. Pro verzi můžete v rozevíracím seznamu vybrat existující verzi klíče.

    Výběr verze pro nový klíč

    Pokud chcete vygenerovat novou verzi klíče, vyberte Vytvořit novou.

    Otevření dialogového okna pro vytvoření nové verze klíče

    Zvolte nastavení pro novou verzi klíče a vyberte Vytvořit.

    Vytvoření nové verze klíče

  6. Pokud jste vybrali trezor klíčů, klíč a verzi klíče, zvolte Vybrat.

    Klíč ve službě Azure Key Vault

    Nastavení typu šifrování zobrazuje trezor klíčů a klíč, který jste zvolili.

    Klíč a trezor klíčů pro klíč spravovaný zákazníkem

  7. Vyberte typ identity, který se má použít ke správě klíče spravovaného zákazníkem pro tento prostředek. Můžete použít identitu přiřazenou systémem, která byla vygenerována při vytváření objednávky, nebo zvolit identitu přiřazenou uživatelem.

    Identita přiřazená uživatelem je nezávislý prostředek, který můžete použít ke správě přístupu k prostředkům. Další informace najdete v tématu Typy spravovaných identit.

    Výběr typu identity

    Pokud chcete přiřadit identitu uživatele, vyberte Přiřazený uživatel. Pak vyberte Vybrat identitu uživatele a vyberte spravovanou identitu, kterou chcete použít.

    Vyberte identitu, která se má použít.

    Tady nemůžete vytvořit novou identitu uživatele. Informace o tom, jak ho vytvořit, najdete v tématu Vytvoření, výpis, odstranění nebo přiřazení role spravované identitě přiřazené uživatelem pomocí webu Azure Portal.

    Vybraná identita uživatele se zobrazí v nastavení typu šifrování.

    Vybraná identita uživatele zobrazená v nastavení typu šifrování

  8. Výběrem možnosti Uložit uložte aktualizované nastavení typu šifrování.

    Uložení klíče spravovaného zákazníkem

    Adresa URL klíče se zobrazí pod typem šifrování.

    Adresa URL klíče spravovaného zákazníkem

Důležité

Je nutné povolit Getklíč a UnwrapKeyWrapKey oprávnění. Pokud chcete nastavit oprávnění v Azure CLI, přečtěte si příkaz az keyvault set-policy.

Změnit klíč

Pokud chcete změnit verzi trezoru klíčů, klíče nebo klíče pro klíč spravovaný zákazníkem, který právě používáte, postupujte takto:

  1. Na obrazovce Přehled objednávky Data Boxu přejděte na Nastavení>šifrování a klikněte na Změnit klíč.

    Obrazovka s přehledem objednávky Data Boxu s klíčem spravovaným zákazníkem – 1

  2. Vyberte jiný trezor klíčů a klíč.

    Obrazovka s přehledem objednávky Data Boxu, výběr jiného klíče a možnosti trezoru klíčů

  3. Na obrazovce Vybrat klíč z trezoru klíčů se zobrazuje předplatné, ale bez trezoru klíčů, klíče nebo verze klíče. Můžete provést některou z následujících změn:

    • Vyberte jiný klíč ze stejného trezoru klíčů. Před výběrem klíče a verze budete muset trezor klíčů vybrat.

    • Vyberte jiný trezor klíčů a přiřaďte nový klíč.

    • Změňte verzi aktuálního klíče.

    Po dokončení změn zvolte Vybrat.

    Volba možnosti šifrování – 2

  4. Zvolte Uložit.

    Uložení aktualizovaných nastavení šifrování – 1

Důležité

Je nutné povolit Getklíč a UnwrapKeyWrapKey oprávnění. Pokud chcete nastavit oprávnění v Azure CLI, přečtěte si příkaz az keyvault set-policy.

Změna identity

Pokud chcete změnit identitu, která se používá ke správě přístupu ke klíči spravovanému zákazníkem pro tuto objednávku, postupujte takto:

  1. Na obrazovce Přehled dokončené objednávky Data Boxu přejděte na Nastavení>šifrování.

  2. Proveďte jednu z následujících změn:

    • Pokud chcete změnit jinou identitu uživatele, klikněte na vybrat jinou identitu uživatele. Pak na panelu na pravé straně obrazovky vyberte jinou identitu a zvolte Vybrat.

      Možnost změny identity přiřazené uživatelem pro klíč spravovaný zákazníkem

    • Pokud chcete přepnout na identitu přiřazenou systémem vygenerovanou při vytváření objednávky, vyberte Systém přiřazený typem identity.

      Možnost pro změnu na systém přiřazený pro klíč spravovaný zákazníkem

  3. Zvolte Uložit.

    Uložení aktualizovaných nastavení šifrování – 2

Použití spravovaného klíče Microsoftu

Pokud chcete změnit použití klíče spravovaného zákazníkem na klíč spravovaný Microsoftem pro vaši objednávku, postupujte takto:

  1. Na obrazovce Přehled dokončené objednávky Data Boxu přejděte na Nastavení>šifrování.

  2. Podle typu Vybrat vyberte klíč spravovaný Microsoftem.

    Obrazovka s přehledem objednávky Data Boxu - 5

  3. Zvolte Uložit.

    Uložení aktualizovaných nastavení šifrování pro spravovaný klíč Microsoftu

Řešení chyb

Pokud dojde k chybám souvisejícím s klíčem spravovaným zákazníkem, při řešení potíží použijte následující tabulku.

Kód chyby Podrobnosti o chybě Dobytný?
SsemUserErrorEncryptionKeyDisabled Nelze načíst klíč, protože klíč spravovaný zákazníkem je zakázaný. Ano, povolením verze klíče.
SsemUserErrorEncryptionKeyExpired Nelze načíst klíč, protože vypršela platnost klíče spravovaného zákazníkem. Ano, povolením verze klíče.
SsemUserErrorKeyDetailsNotFound Nelze načíst klíč, protože se nepodařilo najít klíč spravovaný zákazníkem. Pokud jste trezor klíčů odstranili, nemůžete obnovit klíč spravovaný zákazníkem. Pokud jste migrovali trezor klíčů do jiného tenanta, přečtěte si téma Změna ID tenanta trezoru klíčů po přesunu předplatného. Pokud jste odstranili trezor klíčů:
  1. Ano, pokud je v době ochrany před vymazáním, použijte postup v části Obnovení trezoru klíčů.
  2. Ne, pokud je nad rámec doby ochrany před vymazáním.

Jinak pokud trezor klíčů prošel migrací tenanta, ano, můžete ho obnovit pomocí jednoho z následujících kroků:
  1. Vraťte trezor klíčů zpět ke starému tenantovi.
  2. Nastavte Identity = None a pak nastavte hodnotu zpět na Identity = SystemAssigned. Tím se odstraní a znovu vytvoří identita po vytvoření nové identity. WrapKeyV zásadách přístupu trezoru klíčů povolte Geta UnwrapKey oprávnění k nové identitě.
SsemUserErrorKeyVaultBadRequestException Použili jste klíč spravovaný zákazníkem, ale přístup ke klíči nebyl udělen nebo byl odvolán nebo se nepodařilo získat přístup k trezoru klíčů kvůli povolení brány firewall. Přidejte do trezoru klíčů vybranou identitu, abyste povolili přístup k klíči spravovanému zákazníkem. Pokud má trezor klíčů povolenou bránu firewall, přepněte na identitu přiřazenou systémem a přidejte klíč spravovaný zákazníkem. Další informace najdete v tématu povolení klíče.
SsemUserErrorKeyVaultDetailsNotFound Nelze načíst klíč jako přidružený trezor klíčů pro klíč spravovaný zákazníkem. Pokud jste trezor klíčů odstranili, nemůžete obnovit klíč spravovaný zákazníkem. Pokud jste migrovali trezor klíčů do jiného tenanta, přečtěte si téma Změna ID tenanta trezoru klíčů po přesunu předplatného. Pokud jste odstranili trezor klíčů:
  1. Ano, pokud je v době ochrany před vymazáním, použijte postup v části Obnovení trezoru klíčů.
  2. Ne, pokud je nad rámec doby ochrany před vymazáním.

Jinak pokud trezor klíčů prošel migrací tenanta, ano, můžete ho obnovit pomocí jednoho z následujících kroků:
  1. Vraťte trezor klíčů zpět ke starému tenantovi.
  2. Nastavte Identity = None a pak nastavte hodnotu zpět na Identity = SystemAssigned. Tím se odstraní a znovu vytvoří identita po vytvoření nové identity. WrapKeyV zásadách přístupu trezoru klíčů povolte Geta UnwrapKey oprávnění k nové identitě.
SsemUserErrorSystemAssignedIdentityAbsent Nelze načíst klíč, protože se nepodařilo najít klíč spravovaný zákazníkem. Ano, zkontrolujte, jestli:
  1. Trezor klíčů stále obsahuje MSI v zásadách přístupu.
  2. Identita je typu Systém přiřazen.
  3. WrapKeyUnwrapKey Povolte Geta oprávnění k identitě v zásadách přístupu trezoru klíčů. Tato oprávnění musí zůstat po celou dobu životnosti objednávky. Používají se při vytváření objednávek a na začátku fáze kopírování dat.
SsemUserErrorUserAssignedLimitReached Přidání nové identity přiřazené uživatelem selhalo, protože jste dosáhli limitu celkového počtu identit přiřazených uživatelem, které je možné přidat. Zkuste operaci zopakovat s menším počtem identit uživatelů nebo před opakováním odeberte z prostředku některé identity přiřazené uživatelem.
SsemUserErrorCrossTenantIdentityAccessForbidden Operace přístupu ke spravované identitě se nezdařila.
Poznámka: K této chybě může dojít, když se předplatné přesune do jiného tenanta. Zákazník musí identitu ručně přesunout do nového tenanta.
Zkuste do trezoru klíčů přidat jinou identitu přiřazenou uživatelem, abyste povolili přístup ke klíči spravovanému zákazníkem. Nebo přesuňte identitu do nového tenanta, pod kterým se předplatné nachází. Další informace najdete v tématu povolení klíče.
SsemUserErrorKekUserIdentityNotFound Použili jste klíč spravovaný zákazníkem, ale identitu přiřazenou uživatelem, která má přístup k klíči, nebyla v active directory nalezena.
Poznámka: K této chybě může dojít při odstranění identity uživatele z Azure.
Zkuste do trezoru klíčů přidat jinou identitu přiřazenou uživatelem, abyste povolili přístup ke klíči spravovanému zákazníkem. Další informace najdete v tématu povolení klíče.
SsemUserErrorUserAssignedIdentityAbsent Nelze načíst klíč, protože se nepodařilo najít klíč spravovaný zákazníkem. Nelze získat přístup k klíči spravovanému zákazníkem. Buď je odstraněna identita přiřazená uživatelem (UAI) přidružená k klíči, nebo se změnil typ UAI.
SsemUserErrorKeyVaultBadRequestException Použili jste klíč spravovaný zákazníkem, ale přístup ke klíči nebyl udělen nebo byl odvolán, nebo se k trezoru klíčů nepodařilo získat přístup, protože je povolená brána firewall. Přidejte do trezoru klíčů vybranou identitu, abyste povolili přístup k klíči spravovanému zákazníkem. Pokud má trezor klíčů povolenou bránu firewall, přepněte na identitu přiřazenou systémem a přidejte klíč spravovaný zákazníkem. Další informace najdete v tématu povolení klíče.
SsemUserErrorEncryptionKeyTypeNotSupported Typ šifrovacího klíče není pro operaci podporovaný. Povolte u klíče podporovaný typ šifrování , například RSA nebo RSA-HSM. Další informace najdete v tématu Typy klíčů, algoritmy a operace.
SsemUserErrorSoftDeleteAndPurgeProtectionNotEnabled Trezor klíčů nemá povolenou obnovitelné odstranění ani ochranu před vymazáním. Ujistěte se, že je v trezoru klíčů povolená ochrana proti obnovitelnému odstranění i vymazání.
SsemUserErrorInvalidKeyVaultUrl
(Pouze příkazový řádek)
Byl použit neplatný identifikátor URI trezoru klíčů. Získejte správný identifikátor URI trezoru klíčů. Pokud chcete získat identifikátor URI trezoru klíčů, použijte rutinu Get-AzKeyVault v PowerShellu.
SsemUserErrorKeyVaultUrlWithInvalidScheme Pro předávání identifikátoru URI trezoru klíčů se podporuje jenom HTTPS. Předejte identifikátor URI trezoru klíčů přes PROTOKOL HTTPS.
SsemUserErrorKeyVaultUrlInvalidHost Hostitel identifikátoru URI trezoru klíčů není povoleným hostitelem v geografické oblasti. Ve veřejném cloudu by měl identifikátor URI trezoru klíčů končit vault.azure.net. V cloudu Azure Government by měl identifikátor URI trezoru klíčů končit vault.usgovcloudapi.net.
Obecná chyba Nelze načíst klíč. Tato chyba je obecná chyba. Pokud chcete tuto chybu vyřešit, obraťte se na podpora Microsoftu a zjistěte další kroky.

Další kroky