Uso de claves administradas por el cliente en Azure Key Vault para Azure Data Box
Azure Data Box se encarga de proteger la clave de desbloqueo del dispositivo (también conocida como contraseña del dispositivo), que se usa para bloquear el dispositivo a través de una clave de cifrado. De forma predeterminada, esta clave de cifrado es una clave administrada por Microsoft. Para obtener más control, puede usar una clave administrada por el cliente.
El uso de una clave administrada por el cliente no afecta a cómo se cifran los datos del dispositivo. Solo afecta al modo en que se cifra la clave de desbloqueo del dispositivo.
Para mantener este nivel de control a lo largo del proceso de pedido, use una clave administrada por el cliente cuando lo cree. Para más información, consulte Tutorial: Realización de pedidos de Azure Data Box.
En este artículo se muestra cómo habilitar una clave administrada por el cliente para un pedido de Data Box existente en Azure Portal. Verá cómo cambiar el almacén de claves, la clave, la versión o la identidad de la clave administrada por el cliente actual, o volver a usar una clave administrada por Microsoft.
La información de este artículo se aplica tanto a dispositivos con Azure Data Box como con Azure Data Box Heavy.
Requisitos
La clave administrada por el cliente para un pedido de Data Box debe cumplir los siguientes requisitos:
- La clave se debe crear y almacenar en un almacén de Azure Key Vault que tenga habilitada las opciones Eliminación temporal y No purgar. Para obtener más información, consulte ¿Qué es Azure Key Vault? Puede crear un almacén de claves y una clave al crear o actualizar el pedido.
- La clave debe ser una clave RSA de un tamaño de 2048 o superior.
- Debe habilitar los permisos
Get,UnwrapKeyyWrapKeypara la clave en Azure Key Vault. Los permisos deben permanecer implementados durante la vigencia del pedido. De lo contrario, no se puede acceder a la clave administrada por el cliente al principio de la fase de copia de datos.
Habilitación de la clave
Para habilitar una clave administrada por el cliente para el pedido de Data Box existente en Azure Portal, siga estos pasos:
Vaya a la pantalla de información general del pedido de Data Box.
Vaya a Configuración > Cifrado y seleccione Clave administrada por el cliente. Elija Seleccione un almacén de claves y una clave.
En la pantalla Seleccionar clave en Azure Key Vault, la suscripción se rellena automáticamente.
Para Almacén de claves, puede seleccionar un almacén de claves existente de la lista desplegable o seleccionar Crear nuevo y crear un nuevo almacén de claves.
Para crear un nuevo almacén de claves, escriba la suscripción, el grupo de recursos, el nombre del almacén de claves y otra información en la pantalla Crear nuevo almacén de claves. En Opciones de recuperación, asegúrese de que Eliminación temporal y Protección de purga están habilitadas. Después, seleccione Revisar y crear.
Revise la información del almacén de claves y seleccione Crear. Espere un par de minutos hasta que se complete la creación del almacén de claves.
En la pantalla Seleccionar clave en Azure Key Vault, puede seleccionar una clave existente del almacén de claves o crear una nueva.
Si quiere crear una clave nueva, seleccione Crear nuevo. Debe usar una clave RSA. El tamaño puede ser de 2048 o superior.
Escriba un nombre para la clave nueva, acepte los otros valores predeterminados y seleccione Crear. Se le notificará que se ha creado una clave en el almacén de claves.
En Versión, puede seleccionar una versión de clave existente en la lista desplegable.
Si desea generar una nueva versión de clave, seleccione Crear nuevo.
Elija la configuración de la nueva versión de la clave y seleccione Crear.
Cuando haya seleccionado un almacén de claves, una clave y una versión de clave, elija Seleccionar.
La configuración de Tipo de cifrado muestra el almacén de claves y la clave que eligió.
Seleccione el tipo de identidad que se va a usar para administrar la clave administrada por el cliente para este recurso. Puede usar la identidad asignada por el sistema que se generó durante la creación del pedido o elegir una identidad asignada por el usuario.
Una identidad asignada por el usuario es un recurso independiente que puede usar para administrar el acceso a los recursos. Para más información, consulte Tipos de identidad administrada.
Para asignar una identidad de usuario, seleccione Asignado por el usuario. A continuación, seleccione Seleccionar una identidad de usuario y seleccione la identidad administrada que desea usar.
Aquí no se puede crear una nueva identidad de usuario. Para aprender a crear una, consulte Creación, enumeración, eliminación o asignación de un rol a una identidad administrada asignada por el usuario mediante Azure Portal.
La identidad de usuario seleccionada se muestra en la configuración de Tipo de cifrado.
Seleccione Guardar para guardar la configuración de Tipo de cifrado actualizada.
La dirección URL de la clave se muestra en el tipo de cifrado.
Importante
Debe habilitar los permisos Get, UnwrapKey y WrapKey en la clave. Para establecer los permisos en la CLI de Azure, consulte az keyvault set-policy.
Cambio de clave
Para cambiar el almacén de claves, la clave o la versión de clave para la clave administrada por el cliente que está usando actualmente, siga estos pasos:
En la pantalla de información general del pedido de Data Box, vaya a Configuración>Cifrado y haga clic en Cambiar clave.
Elija Select a different key vault and key (Seleccione un almacén de claves y una clave diferentes).
En la pantalla Selección de clave del almacén de claves se muestra la suscripción pero no el almacén de claves, la clave o la versión de clave. Puede hacer alguno de los siguientes cambios:
Seleccione una clave diferente del mismo almacén de claves. Deberá seleccionar el almacén de claves antes de seleccionar la clave y la versión.
Seleccione un almacén de claves diferente y asigne una nueva clave.
Cambie la versión de la clave actual.
Cuando haya terminado de realizar los cambios, elija Seleccionar.
Seleccione Guardar.
Importante
Debe habilitar los permisos Get, UnwrapKey y WrapKey en la clave. Para establecer los permisos en la CLI de Azure, consulte az keyvault set-policy.
Cambio de identidad
A fin de cambiar la identidad que se usa para administrar el acceso a la clave administrada por el cliente para este pedido, siga estos pasos:
En la pantalla de información general del pedido de Data Box completado, vaya a Configuración>Cifrado.
Realice uno de los siguientes cambios:
Para cambiar a una identidad de usuario diferente, haga clic en Select a different user identity (Seleccionar una identidad de usuario diferente). Después, seleccione una identidad diferente en el panel del lado derecho de la pantalla y elija Seleccionar.
Para cambiar a la identidad asignada por el sistema generada durante la creación del pedido, seleccione Asignado por el sistema mediante Select identity type (Seleccionar tipo de identidad).
Seleccione Guardar.
Uso de una clave administrada por Microsoft
Para cambiar del uso de una clave administrada por el cliente a la clave administrada para Microsoft para su pedido, siga estos pasos:
En la pantalla de información general del pedido de Data Box completado, vaya a Configuración>Cifrado.
En Seleccionar tipo, seleccione Microsoft managed key (Clave administrada por Microsoft).
Seleccione Guardar.
Solución de errores
Si recibe errores relacionados con la clave administrada por el cliente, use la tabla siguiente para solucionar los problemas.
| Código de error | Detalles del error | ¿Recuperable? |
|---|---|---|
| SsemUserErrorEncryptionKeyDisabled | No se ha podido capturar la clave de paso porque la clave administrada por el cliente está deshabilitada. | Sí, habilitando la versión de la clave. |
| SsemUserErrorEncryptionKeyExpired | No se ha podido capturar la clave de paso porque la clave administrada por el cliente ha expirado. | Sí, habilitando la versión de la clave. |
| SsemUserErrorKeyDetailsNotFound | No se ha podido capturar la clave de paso porque no se ha encontrado la clave administrada por el cliente. | Si eliminó el almacén de claves, no puede recuperar la clave administrada por el cliente. Si migró el almacén de claves a otro inquilino, consulte Cambio del identificador de inquilino de Key Vault después de mover una suscripción. Si eliminó el almacén de claves:
De lo contrario, si el almacén de claves pasó por una migración de inquilinos, sí, se puede recuperar con uno de estos pasos:
|
| SsemUserErrorKeyVaultBadRequestException | Se ha aplicado una clave administrada por el cliente, pero el acceso a la clave no se ha concedido o se ha revocado, o no se puede acceder al almacén de claves porque el firewall está habilitado. | Agregue la identidad seleccionada al almacén de claves para habilitar el acceso a la clave administrada por el cliente. Si el almacén de claves tiene el firewall habilitado, cambie a una identidad asignada por el sistema y, después, agregue una clave administrada por el cliente. Para obtener más información, consulte cómo habilitar la clave. |
| SsemUserErrorKeyVaultDetailsNotFound | No se ha podido capturar la clave de paso porque no se ha encontrado el almacén de claves asociado para la clave administrada por el cliente. | Si eliminó el almacén de claves, no puede recuperar la clave administrada por el cliente. Si migró el almacén de claves a otro inquilino, consulte Cambio del identificador de inquilino de Key Vault después de mover una suscripción. Si eliminó el almacén de claves:
De lo contrario, si el almacén de claves pasó por una migración de inquilinos, sí, se puede recuperar con uno de estos pasos:
|
| SsemUserErrorSystemAssignedIdentityAbsent | No se ha podido capturar la clave de paso porque no se ha encontrado la clave administrada por el cliente. | Sí, compruebe si:
|
| SsemUserErrorUserAssignedLimitReached | Se produjo un error al agregar una identidad asignada por el usuario porque alcanzó el límite del número total de identidades asignadas por el usuario que se pueden agregar. | Vuelva a intentar la operación con menos identidades de usuario o quite algunas identidades asignadas por el usuario del recurso antes de volver a intentarlo. |
| SsemUserErrorCrossTenantIdentityAccessForbidden | Error en la operación de acceso a la identidad administrada. Nota: Este error se puede producir cuando una suscripción se mueve a otro inquilino. El cliente tiene que trasladar manualmente la identidad al nuevo inquilino. |
Pruebe a agregar otra identidad asignada por el usuario al almacén de claves para habilitar el acceso a la clave administrada por el cliente. O bien, mueva la identidad seleccionada al nuevo inquilino en el que está presente la suscripción. Para obtener más información, consulte cómo habilitar la clave. |
| SsemUserErrorKekUserIdentityNotFound | Se ha aplicado una clave administrada por el cliente, pero la identidad asignada por el usuario que tiene acceso a la clave no se ha encontrado en Active Directory. Nota: Este error se puede producir cuando se elimina una identidad de usuario de Azure. |
Pruebe a agregar otra identidad asignada por el usuario al almacén de claves para habilitar el acceso a la clave administrada por el cliente. Para obtener más información, consulte cómo habilitar la clave. |
| SsemUserErrorUserAssignedIdentityAbsent | No se ha podido capturar la clave de paso porque no se ha encontrado la clave administrada por el cliente. | No se ha podido acceder a la clave administrada por el cliente. Se ha eliminado la identidad asignada por el usuario asociada con la clave o el tipo de esta identidad ha cambiado. |
| SsemUserErrorKeyVaultBadRequestException | Se ha aplicado una clave administrada por el cliente, pero no se ha concedido o revocado el acceso a la clave, o no se ha podido acceder al almacén de claves porque está habilitado un firewall. | Agregue la identidad seleccionada al almacén de claves para habilitar el acceso a la clave administrada por el cliente. Si el almacén de claves tiene el firewall habilitado, cambie a una identidad asignada por el sistema y, después, agregue una clave administrada por el cliente. Para obtener más información, consulte cómo habilitar la clave. |
| SsemUserErrorEncryptionKeyTypeNotSupported | No se admite el tipo de clave de cifrado para la operación. | Habilite un tipo de cifrado admitido en la clave, por ejemplo, RSA o RSA-HSM. Para más información, vea Tipos de claves, algoritmos y operaciones. |
| SsemUserErrorSoftDeleteAndPurgeProtectionNotEnabled | El almacén de claves no tiene habilitada la protección contra eliminación temporal o purga. | Asegúrese de que la eliminación temporal y la protección de purga están habilitadas en el almacén de claves. |
| SsemUserErrorInvalidKeyVaultUrl (Solo línea de comandos) |
Se ha usado un URI de almacén de claves no válido. | Obtenga el URI correcto del almacén de claves. Para obtener el URI del almacén de claves, use Get-AzKeyVault en PowerShell. |
| SsemUserErrorKeyVaultUrlWithInvalidScheme | Solo se admite HTTPS para pasar el URI del almacén de claves. | Pase el URI del almacén de claves mediante HTTPS. |
| SsemUserErrorKeyVaultUrlInvalidHost | El host del URI del almacén de claves no es un host permitido en la región geográfica. | En la nube pública, el URI del almacén de claves debe terminar con vault.azure.net. En la nube de Azure Government, el URI del almacén de claves debe terminar con vault.usgovcloudapi.net. |
| Error genérico | No se pudo capturar la clave de paso. | Este error es genérico. Póngase en contacto con el Soporte técnico de Microsoft para solucionar el error y determinar los pasos siguientes. |