Paso 2: Migración entre claves protegidas por HSM
Estas instrucciones forman parte de la ruta de migración de AD RMS a Azure Information Protection y solo son aplicables si la clave de AD RMS está protegida por HSM y desea migrar a Azure Information Protection con una clave de inquilino protegida por HSM en Azure Key Vault.
Si no es el escenario de configuración elegido, vuelva al Paso 4. Exportación de los datos de configuración de AD RMS e importación en Azure RMS y elija otra configuración.
Nota:
En estas instrucciones se supone que la clave de AD RMS está protegida por módulos. Este es el caso de uso más habitual.
Se trata de un procedimiento en dos partes para importar la clave HSM y la configuración de AD RMS a Azure Information Protection, para dar lugar a la clave de inquilino de Azure Information Protection administrada por el usuario (BYOK).
Dado que la clave de inquilino de Azure Information Protection se almacenará y administrará mediante Azure Key Vault, esta parte de la migración requiere administración en Azure Key Vault, además de Azure Information Protection. Si Azure Key Vault está administrado por un administrador diferente al de su organización, debe coordinar y trabajar con ese administrador para completar estos procedimientos.
Antes de empezar, asegúrese de que la organización tiene un almacén de claves que se ha creado en Azure Key Vault y que admite claves protegidas con HSM. Aunque no es necesario, se recomienda tener un almacén de claves dedicado para Azure Information Protection. Este almacén de claves se configurará para permitir que el servicio Azure Rights Management acceda a él, por lo que las claves que almacena este almacén de claves deben limitarse solo a las claves de Azure Information Protection.
Sugerencia
Si va a realizar los pasos de configuración de Azure Key Vault y no está familiarizado con este servicio de Azure, es posible que le resulte útil revisar primero la Introducción a Azure Key Vault.
Parte 1: Transferencia de la clave HSM a Azure Key Vault
El administrador de Azure Key Vault realiza estos procedimientos.
Para cada clave SLC exportada que quiera almacenar en Azure Key Vault, siga las instrucciones de la documentación de Azure Key Vault, mediante Implementación de "Bring Your Own Key" (BYOK) para Azure Key Vault con la siguiente excepción:
No realice los pasos para Generar la clave de inquilino, puesto que ya tiene el equivalente de la implementación de AD RMS. Alternativamente, identifique las claves usadas por el servidor de AD RMS desde la instalación de nCipher y prepare estas claves para la transferencia y, a continuación, transfiéralas a Azure Key Vault.
Los archivos de clave cifrados para nCipher se denominan key_<keyAppName>_<keyIdentifier> localmente en el servidor. Por ejemplo,
C:\Users\All Users\nCipher\Key Management Data\local\key_mscapi_f829e3d888f6908521fe3d91de51c25d27116a54
. Necesitará el valor de mscapi como keyAppName y su propio valor para el identificador de clave al ejecutar el comando KeyTransferRemote para crear una copia de la clave con permisos reducidos.Cuando la clave se carga en Azure Key Vault, verá las propiedades de la clave mostradas, lo cual incluye el identificador de clave. Será similar a https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333.. Tome nota de esta dirección URL, porque el administrador de Azure Information Protection la necesitará para indicar al servicio Azure Rights Management que use esta clave para su clave de inquilino.
En la estación de trabajo conectada a internet, en una sesión de PowerShell, use el cmdlet Set-AzKeyVaultAccessPolicy para autorizar a la entidad de servicio de Azure Rights Management a acceder al almacén de claves que almacenará la clave de inquilino de Azure Information Protection. Los permisos necesarios son descifrar, cifrar, unwrapkey, wrapkey, comprobar y firmar.
Por ejemplo, si el almacén de claves que ha creado para Azure Information Protection se denomina contoso-byok-ky y el grupo de recursos se denomina contoso-byok-rg, ejecute el siguiente comando:
Set-AzKeyVaultAccessPolicy -VaultName "contoso-byok-kv" -ResourceGroupName "contoso-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
Ahora que ha preparado la clave HSM en Azure Key Vault para el servicio Azure Rights Management desde Azure Information Protection, está listo para importar los datos de configuración de AD RMS.
Parte 2: Importación de los datos de configuración en Azure Information Protection
Estos procedimientos los realiza el administrador de Azure Information Protection.
En la estación de trabajo de conexión a internet y en la sesión de PowerShell, conéctese al servicio Azure Rights Management mediante el cmdlet Connect-AipService.
A continuación, cargue cada archivo de dominio de publicación de confianza (.xml), mediante el cmdlet Import-AipServiceTpd. Por ejemplo, debe tener al menos un archivo adicional para importar si actualizó el clúster de AD RMS para el modo criptográfico 2.
Para ejecutar este cmdlet, necesita la contraseña que especificó anteriormente para cada archivo de datos de configuración y la dirección URL de la clave que se identificó en el paso anterior.
Por ejemplo, con un archivo de datos de configuración de C:\contoso-tpd1.xml y nuestro valor de dirección URL de clave del paso anterior, ejecute primero lo siguiente para almacenar la contraseña:
$TPD_Password = Read-Host -AsSecureString
Introduzca la contraseña que especificó para exportar el archivo de datos de configuración. A continuación, ejecute el siguiente comando y confirme que desea realizar esta acción:
Import-AipServiceTpd -TpdFile "C:\contoso-tpd1.xml" -ProtectionPassword $TPD_Password –KeyVaultKeyUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
Como parte de esta importación, la clave SLC se importa y se establece automáticamente como archivada.
Cuando haya cargado cada archivo, ejecute Set-AipServiceKeyProperties para especificar qué clave importada coincide con la clave SLC activa actualmente en el clúster de AD RMS. Esta clave se convierte en la clave de inquilino activa para el servicio Azure Rights Management.
Use el cmdlet Disconnect-AipServiceService para desconectarse del servicio Azure Rights Management:
Disconnect-AipServiceService
Si más adelante necesita confirmar qué clave usa la clave de inquilino de Azure Information Protection en Azure Key Vault, use el cmdlet Get-AipServiceKeys de Azure RMS.
Ya está listo para ir al Paso 5. Activación del servicio Azure Rights Management.