Delen via

Problemen met een door de klant beheerde sleutel oplossen

  • Artikel

Dit artikel is deel vier in een vierdelige reeks zelfstudies. Deel één biedt een overzicht van door de klant beheerde sleutels, hun functies en overwegingen voordat u er een inschakelt in uw register. In deel twee leert u hoe u een door de klant beheerde sleutel inschakelt met behulp van de Azure CLI, Azure Portal of een Azure Resource Manager-sjabloon. In deel drie leert u hoe u een door de klant beheerde sleutel draait, bijwerkt en intrekt. Dit artikel helpt u bij het oplossen van veelvoorkomende problemen met door de klant beheerde sleutels.

Fout bij het verwijderen van een beheerde identiteit

Als u probeert een door de gebruiker toegewezen of door het systeem toegewezen beheerde identiteit te verwijderen die u hebt gebruikt om versleuteling voor uw register te configureren, ziet u mogelijk een fout:

Azure resource '/subscriptions/xxxx/resourcegroups/myGroup/providers/Microsoft.ContainerRegistry/registries/myRegistry' does not have access to identity 'xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx' Try forcibly adding the identity to the registry <registry name>. For more information on bring your own key, please visit 'https://aka.ms/acr/cmk'.

U kunt de versleutelingssleutel niet wijzigen (draaien). De oplossingsstappen zijn afhankelijk van het type identiteit dat u hebt gebruikt voor versleuteling.

Een door de gebruiker toegewezen identiteit verwijderen

Als u de fout krijgt wanneer u probeert een door de gebruiker toegewezen identiteit te verwijderen, voert u de volgende stappen uit:

  1. Wijs de door de gebruiker toegewezen identiteit opnieuw toe met behulp van de opdracht az acr identity assign .

  2. Geef de resource-id van de door de gebruiker toegewezen identiteit door of gebruik de naam van de identiteit wanneer deze zich in dezelfde resourcegroep bevindt als het register.

    Voorbeeld:

    az acr identity assign -n myRegistry \
    --identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"

  3. Wijzig de sleutel en wijs een andere identiteit toe.

  4. U kunt nu de oorspronkelijke door de gebruiker toegewezen identiteit verwijderen.

Een door het systeem toegewezen identiteit verwijderen

Als u de fout krijgt wanneer u een door het systeem toegewezen identiteit probeert te verwijderen, maakt u een ondersteuning voor Azure ticket voor hulp bij het herstellen van de identiteit.

Fout nadat u een sleutelkluisfirewall hebt ingeschakeld

Als u een sleutelkluisfirewall of virtueel netwerk inschakelt nadat u een versleuteld register hebt gemaakt, ziet u mogelijk HTTP 403- of andere fouten met het importeren van installatiekopieën of automatische sleutelrotatie. U kunt dit probleem oplossen door de beheerde identiteit en sleutel die u in eerste instantie hebt gebruikt voor versleuteling opnieuw te configureren. Zie de stappen in Een door de klant beheerde sleutel draaien.

Neem contact op met de ondersteuning van Azure als het probleem zich blijft voordoen.

Fout bij verlopen identiteit

De identiteit die aan een register is gekoppeld, is ingesteld voor autorenewal om verlooptijd te voorkomen. Als u een identiteit loskoppelt van een register, treedt er een foutbericht op waarin wordt uitgelegd dat u de identiteit die wordt gebruikt voor CMK niet kunt verwijderen. Als u de identiteit probeert te verwijderen, wordt de automatische rerene van identiteit in gevaar gebracht. De pull-/pushbewerkingen van het artefact werken totdat de identiteit verloopt (meestal drie maanden). Nadat de identiteit is verlopen, ziet u http 403 met het foutbericht 'De identiteit die is gekoppeld aan het register is inactief. Dit kan het gevolg zijn van een poging om de identiteit te verwijderen. Wijs de identiteit handmatig opnieuw toe".

U moet de identiteit expliciet opnieuw toewijzen aan het register.

  1. Voer de opdracht az acr identity assign uit om de identiteit handmatig opnieuw toe te wijzen.

    • Bijvoorbeeld:
    az acr identity assign -n myRegistry \
--identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"

Onbedoeld verwijderen van een sleutelkluis of sleutel

Het verwijderen van de sleutelkluis of de sleutel die wordt gebruikt om een register te versleutelen met een door de klant beheerde sleutel, maakt de inhoud van het register niet toegankelijk. Als voorlopig verwijderen is ingeschakeld in de sleutelkluis (de standaardoptie), kunt u een verwijderde kluis of sleutelkluisobject herstellen en registerbewerkingen hervatten.

Volgende stappen

Zie Azure Key Vault-herstelbeheer met voorlopig verwijderen en opschonen voor scenario's voor sleutelkluisverwijdering en herstel.