Compartir a través de


Uso de claves administradas por el cliente en Azure Key Vault para Azure Data Box

Azure Data Box se encarga de proteger la clave de desbloqueo del dispositivo (también conocida como contraseña del dispositivo), que se usa para bloquear el dispositivo a través de una clave de cifrado. De forma predeterminada, esta clave de cifrado es una clave administrada por Microsoft. Para obtener más control, puede usar una clave administrada por el cliente.

El uso de una clave administrada por el cliente no afecta a cómo se cifran los datos del dispositivo. Solo afecta al modo en que se cifra la clave de desbloqueo del dispositivo.

Para mantener este nivel de control a lo largo del proceso de pedido, use una clave administrada por el cliente cuando lo cree. Para más información, consulte Tutorial: Realización de pedidos de Azure Data Box.

En este artículo se muestra cómo habilitar una clave administrada por el cliente para un pedido de Data Box existente en Azure Portal. Verá cómo cambiar el almacén de claves, la clave, la versión o la identidad de la clave administrada por el cliente actual, o volver a usar una clave administrada por Microsoft.

La información de este artículo se aplica tanto a dispositivos con Azure Data Box como con Azure Data Box Heavy.

Requisitos

La clave administrada por el cliente para un pedido de Data Box debe cumplir los siguientes requisitos:

  • La clave se debe crear y almacenar en un almacén de Azure Key Vault que tenga habilitada las opciones Eliminación temporal y No purgar. Para obtener más información, consulte ¿Qué es Azure Key Vault? Puede crear un almacén de claves y una clave al crear o actualizar el pedido.
  • La clave debe ser una clave RSA de un tamaño de 2048 o superior.
  • Debe habilitar los permisos Get, UnwrapKey y WrapKey para la clave en Azure Key Vault. Los permisos deben permanecer implementados durante la vigencia del pedido. De lo contrario, no se puede acceder a la clave administrada por el cliente al principio de la fase de copia de datos.

Habilitación de la clave

Para habilitar una clave administrada por el cliente para el pedido de Data Box existente en Azure Portal, siga estos pasos:

  1. Vaya a la pantalla de información general del pedido de Data Box.

    Pantalla de información general de un pedido de Data Box-1

  2. Vaya a Configuración > Cifrado y seleccione Clave administrada por el cliente. Elija Seleccione un almacén de claves y una clave.

    Selección de la opción de cifrado de clave administrada por el cliente

    En la pantalla Seleccionar clave en Azure Key Vault, la suscripción se rellena automáticamente.

  3. Para Almacén de claves, puede seleccionar un almacén de claves existente de la lista desplegable o seleccionar Crear nuevo y crear un nuevo almacén de claves.

    Opciones del almacén de claves al seleccionar una clave administrada por el cliente

    Para crear un nuevo almacén de claves, escriba la suscripción, el grupo de recursos, el nombre del almacén de claves y otra información en la pantalla Crear nuevo almacén de claves. En Opciones de recuperación, asegúrese de que Eliminación temporal y Protección de purga están habilitadas. Después, seleccione Revisar y crear.

    Revisar y crear en Azure Key Vault

    Revise la información del almacén de claves y seleccione Crear. Espere un par de minutos hasta que se complete la creación del almacén de claves.

    Creación de una instancia de Azure Key Vault con la configuración

  4. En la pantalla Seleccionar clave en Azure Key Vault, puede seleccionar una clave existente del almacén de claves o crear una nueva.

    Seleccionar clave en Azure Key Vault

    Si quiere crear una clave nueva, seleccione Crear nuevo. Debe usar una clave RSA. El tamaño puede ser de 2048 o superior.

    Creación de una clave nueva en Azure Key Vault

    Escriba un nombre para la clave nueva, acepte los otros valores predeterminados y seleccione Crear. Se le notificará que se ha creado una clave en el almacén de claves.

    Nombre de la nueva clave

  5. En Versión, puede seleccionar una versión de clave existente en la lista desplegable.

    Selección de la versión de la nueva clave

    Si desea generar una nueva versión de clave, seleccione Crear nuevo.

    Abrir un cuadro de diálogo para crear una nueva versión de la clave

    Elija la configuración de la nueva versión de la clave y seleccione Crear.

    Creación de una nueva versión de la clave

  6. Cuando haya seleccionado un almacén de claves, una clave y una versión de clave, elija Seleccionar.

    Una clave en una instancia de Azure Key Vault

    La configuración de Tipo de cifrado muestra el almacén de claves y la clave que eligió.

    Clave y almacén de claves para la clave administrada por el cliente

  7. Seleccione el tipo de identidad que se va a usar para administrar la clave administrada por el cliente para este recurso. Puede usar la identidad asignada por el sistema que se generó durante la creación del pedido o elegir una identidad asignada por el usuario.

    Una identidad asignada por el usuario es un recurso independiente que puede usar para administrar el acceso a los recursos. Para más información, consulte Tipos de identidad administrada.

    Selección del tipo identidad

    Para asignar una identidad de usuario, seleccione Asignado por el usuario. A continuación, seleccione Seleccionar una identidad de usuario y seleccione la identidad administrada que desea usar.

    Selección de una identidad para usar

    Aquí no se puede crear una nueva identidad de usuario. Para aprender a crear una, consulte Creación, enumeración, eliminación o asignación de un rol a una identidad administrada asignada por el usuario mediante Azure Portal.

    La identidad de usuario seleccionada se muestra en la configuración de Tipo de cifrado.

    Se muestra una identidad de usuario en la configuración Tipo de cifrado

  8. Seleccione Guardar para guardar la configuración de Tipo de cifrado actualizada.

    Guardado de la clave administrada por el cliente

    La dirección URL de la clave se muestra en el tipo de cifrado.

    Dirección URL de la clave administrada por el cliente

Importante

Debe habilitar los permisos Get, UnwrapKey y WrapKey en la clave. Para establecer los permisos en la CLI de Azure, consulte az keyvault set-policy.

Cambio de clave

Para cambiar el almacén de claves, la clave o la versión de clave para la clave administrada por el cliente que está usando actualmente, siga estos pasos:

  1. En la pantalla de información general del pedido de Data Box, vaya a Configuración>Cifrado y haga clic en Cambiar clave.

    Pantalla de información general de un pedido de Data Box con clave administrada por el cliente-1

  2. Elija Select a different key vault and key (Seleccione un almacén de claves y una clave diferentes).

    Pantalla de información general de un orden de Data Box, opción Seleccione un almacén de claves y una clave diferentes

  3. En la pantalla Selección de clave del almacén de claves se muestra la suscripción pero no el almacén de claves, la clave o la versión de clave. Puede hacer alguno de los siguientes cambios:

    • Seleccione una clave diferente del mismo almacén de claves. Deberá seleccionar el almacén de claves antes de seleccionar la clave y la versión.

    • Seleccione un almacén de claves diferente y asigne una nueva clave.

    • Cambie la versión de la clave actual.

    Cuando haya terminado de realizar los cambios, elija Seleccionar.

    Elección de una opción de cifrado - 2

  4. Seleccione Guardar.

    Guardado de la configuración de cifrado actualizada - 1

Importante

Debe habilitar los permisos Get, UnwrapKey y WrapKey en la clave. Para establecer los permisos en la CLI de Azure, consulte az keyvault set-policy.

Cambio de identidad

A fin de cambiar la identidad que se usa para administrar el acceso a la clave administrada por el cliente para este pedido, siga estos pasos:

  1. En la pantalla de información general del pedido de Data Box completado, vaya a Configuración>Cifrado.

  2. Realice uno de los siguientes cambios:

    • Para cambiar a una identidad de usuario diferente, haga clic en Select a different user identity (Seleccionar una identidad de usuario diferente). Después, seleccione una identidad diferente en el panel del lado derecho de la pantalla y elija Seleccionar.

      Opción para cambiar la identidad asignada por el usuario para una clave administrada por el cliente

    • Para cambiar a la identidad asignada por el sistema generada durante la creación del pedido, seleccione Asignado por el sistema mediante Select identity type (Seleccionar tipo de identidad).

      Opción para cambiar a asignado por el sistema para una clave administrada por el cliente

  3. Seleccione Guardar.

    Guardado de la configuración de cifrado actualizada - 2

Uso de una clave administrada por Microsoft

Para cambiar del uso de una clave administrada por el cliente a la clave administrada para Microsoft para su pedido, siga estos pasos:

  1. En la pantalla de información general del pedido de Data Box completado, vaya a Configuración>Cifrado.

  2. En Seleccionar tipo, seleccione Microsoft managed key (Clave administrada por Microsoft).

    Pantalla de información general de un pedido de Data Box - 5

  3. Seleccione Guardar.

    Guardado de la configuración de cifrado actualizada para una clave administrada de Microsoft

Solución de errores

Si recibe errores relacionados con la clave administrada por el cliente, use la tabla siguiente para solucionar los problemas.

Código de error Detalles del error ¿Recuperable?
SsemUserErrorEncryptionKeyDisabled No se ha podido capturar la clave de paso porque la clave administrada por el cliente está deshabilitada. Sí, habilitando la versión de la clave.
SsemUserErrorEncryptionKeyExpired No se ha podido capturar la clave de paso porque la clave administrada por el cliente ha expirado. Sí, habilitando la versión de la clave.
SsemUserErrorKeyDetailsNotFound No se ha podido capturar la clave de paso porque no se ha encontrado la clave administrada por el cliente. Si eliminó el almacén de claves, no puede recuperar la clave administrada por el cliente. Si migró el almacén de claves a otro inquilino, consulte Cambio del identificador de inquilino de Key Vault después de mover una suscripción. Si eliminó el almacén de claves:
  1. Sí, si está dentro de la duración de la protección de purga, con los pasos descritos en Recuperación de un almacén de claves.
  2. No, si está fuera de la duración de la protección de purga.

De lo contrario, si el almacén de claves pasó por una migración de inquilinos, sí, se puede recuperar con uno de estos pasos:
  1. Revierta el almacén de claves de vuelta al inquilino anterior.
  2. Establezca Identity = None y, a continuación, vuelva a establecer el valor en Identity = SystemAssigned. Esto elimina y vuelve a crear la identidad una vez que se crea la identidad nueva. Habilite los permisos Get, WrapKey y UnwrapKey a la identidad nueva en la directiva de acceso del almacén de claves.
SsemUserErrorKeyVaultBadRequestException Se ha aplicado una clave administrada por el cliente, pero el acceso a la clave no se ha concedido o se ha revocado, o no se puede acceder al almacén de claves porque el firewall está habilitado. Agregue la identidad seleccionada al almacén de claves para habilitar el acceso a la clave administrada por el cliente. Si el almacén de claves tiene el firewall habilitado, cambie a una identidad asignada por el sistema y, después, agregue una clave administrada por el cliente. Para obtener más información, consulte cómo habilitar la clave.
SsemUserErrorKeyVaultDetailsNotFound No se ha podido capturar la clave de paso porque no se ha encontrado el almacén de claves asociado para la clave administrada por el cliente. Si eliminó el almacén de claves, no puede recuperar la clave administrada por el cliente. Si migró el almacén de claves a otro inquilino, consulte Cambio del identificador de inquilino de Key Vault después de mover una suscripción. Si eliminó el almacén de claves:
  1. Sí, si está dentro de la duración de la protección de purga, con los pasos descritos en Recuperación de un almacén de claves.
  2. No, si está fuera de la duración de la protección de purga.

De lo contrario, si el almacén de claves pasó por una migración de inquilinos, sí, se puede recuperar con uno de estos pasos:
  1. Revierta el almacén de claves de vuelta al inquilino anterior.
  2. Establezca Identity = None y, a continuación, vuelva a establecer el valor en Identity = SystemAssigned. Esto elimina y vuelve a crear la identidad una vez que se crea la identidad nueva. Habilite los permisos Get, WrapKey y UnwrapKey a la identidad nueva en la directiva de acceso del almacén de claves.
SsemUserErrorSystemAssignedIdentityAbsent No se ha podido capturar la clave de paso porque no se ha encontrado la clave administrada por el cliente. Sí, compruebe si:
  1. Key Vault todavía tiene el MSI en la directiva de acceso.
  2. La identidad es de tipo Sistema asignado.
  3. Habilite los permisos Get, WrapKey y UnwrapKey en la identidad nueva en la directiva de acceso del almacén de claves. Estos permisos deben permanecer implementados durante la vigencia del pedido. Se usan durante la creación del pedido y al principio de la fase de copia de datos.
SsemUserErrorUserAssignedLimitReached Se produjo un error al agregar una identidad asignada por el usuario porque alcanzó el límite del número total de identidades asignadas por el usuario que se pueden agregar. Vuelva a intentar la operación con menos identidades de usuario o quite algunas identidades asignadas por el usuario del recurso antes de volver a intentarlo.
SsemUserErrorCrossTenantIdentityAccessForbidden Error en la operación de acceso a la identidad administrada.
Nota: Este error se puede producir cuando una suscripción se mueve a otro inquilino. El cliente tiene que trasladar manualmente la identidad al nuevo inquilino.
Pruebe a agregar otra identidad asignada por el usuario al almacén de claves para habilitar el acceso a la clave administrada por el cliente. O bien, mueva la identidad seleccionada al nuevo inquilino en el que está presente la suscripción. Para obtener más información, consulte cómo habilitar la clave.
SsemUserErrorKekUserIdentityNotFound Se ha aplicado una clave administrada por el cliente, pero la identidad asignada por el usuario que tiene acceso a la clave no se ha encontrado en Active Directory.
Nota: Este error se puede producir cuando se elimina una identidad de usuario de Azure.
Pruebe a agregar otra identidad asignada por el usuario al almacén de claves para habilitar el acceso a la clave administrada por el cliente. Para obtener más información, consulte cómo habilitar la clave.
SsemUserErrorUserAssignedIdentityAbsent No se ha podido capturar la clave de paso porque no se ha encontrado la clave administrada por el cliente. No se ha podido acceder a la clave administrada por el cliente. Se ha eliminado la identidad asignada por el usuario asociada con la clave o el tipo de esta identidad ha cambiado.
SsemUserErrorKeyVaultBadRequestException Se ha aplicado una clave administrada por el cliente, pero no se ha concedido o revocado el acceso a la clave, o no se ha podido acceder al almacén de claves porque está habilitado un firewall. Agregue la identidad seleccionada al almacén de claves para habilitar el acceso a la clave administrada por el cliente. Si el almacén de claves tiene el firewall habilitado, cambie a una identidad asignada por el sistema y, después, agregue una clave administrada por el cliente. Para obtener más información, consulte cómo habilitar la clave.
SsemUserErrorEncryptionKeyTypeNotSupported No se admite el tipo de clave de cifrado para la operación. Habilite un tipo de cifrado admitido en la clave, por ejemplo, RSA o RSA-HSM. Para más información, vea Tipos de claves, algoritmos y operaciones.
SsemUserErrorSoftDeleteAndPurgeProtectionNotEnabled El almacén de claves no tiene habilitada la protección contra eliminación temporal o purga. Asegúrese de que la eliminación temporal y la protección de purga están habilitadas en el almacén de claves.
SsemUserErrorInvalidKeyVaultUrl
(Solo línea de comandos)
Se ha usado un URI de almacén de claves no válido. Obtenga el URI correcto del almacén de claves. Para obtener el URI del almacén de claves, use Get-AzKeyVault en PowerShell.
SsemUserErrorKeyVaultUrlWithInvalidScheme Solo se admite HTTPS para pasar el URI del almacén de claves. Pase el URI del almacén de claves mediante HTTPS.
SsemUserErrorKeyVaultUrlInvalidHost El host del URI del almacén de claves no es un host permitido en la región geográfica. En la nube pública, el URI del almacén de claves debe terminar con vault.azure.net. En la nube de Azure Government, el URI del almacén de claves debe terminar con vault.usgovcloudapi.net.
Error genérico No se pudo capturar la clave de paso. Este error es genérico. Póngase en contacto con el Soporte técnico de Microsoft para solucionar el error y determinar los pasos siguientes.

Pasos siguientes