Udostępnij za pośrednictwem

Rozwiązywanie problemów z kluczem zarządzanym przez klienta

  • Artykuł

Ten artykuł jest częścią czwartą w czteroczęściowej serii samouczków. Część pierwsza zawiera omówienie kluczy zarządzanych przez klienta, ich funkcji i zagadnień przed włączeniem ich w rejestrze. W drugiej części dowiesz się, jak włączyć klucz zarządzany przez klienta przy użyciu interfejsu wiersza polecenia platformy Azure, witryny Azure Portal lub szablonu usługi Azure Resource Manager. W trzeciej części dowiesz się, jak obracać, aktualizować i odwoływać klucz zarządzany przez klienta. Ten artykuł ułatwia rozwiązywanie typowych problemów z kluczami zarządzanymi przez klienta.

Błąd podczas usuwania tożsamości zarządzanej

Jeśli spróbujesz usunąć tożsamość zarządzaną przypisaną przez użytkownika lub przypisaną przez system, która została użyta do skonfigurowania szyfrowania dla rejestru, może zostać wyświetlony błąd:

Azure resource '/subscriptions/xxxx/resourcegroups/myGroup/providers/Microsoft.ContainerRegistry/registries/myRegistry' does not have access to identity 'xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx' Try forcibly adding the identity to the registry <registry name>. For more information on bring your own key, please visit 'https://aka.ms/acr/cmk'.

Nie możesz zmienić (obracać) klucza szyfrowania. Kroki rozwiązywania zależą od typu tożsamości użytej do szyfrowania.

Usuwanie tożsamości przypisanej przez użytkownika

Jeśli podczas próby usunięcia tożsamości przypisanej przez użytkownika wystąpi błąd, wykonaj następujące kroki:

  1. Przypisz ponownie tożsamość przypisaną przez użytkownika przy użyciu polecenia az acr identity assign .

  2. Przekaż identyfikator zasobu tożsamości przypisanej przez użytkownika lub użyj nazwy tożsamości, gdy znajduje się ona w tej samej grupie zasobów co rejestr.

    Na przykład:

    az acr identity assign -n myRegistry \
    --identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"

  3. Zmień klucz i przypisz inną tożsamość.

  4. Teraz możesz usunąć oryginalną tożsamość przypisaną przez użytkownika.

Usuwanie tożsamości przypisanej przez system

Jeśli podczas próby usunięcia tożsamości przypisanej przez system wystąpi błąd, utwórz bilet pomoc techniczna platformy Azure, aby uzyskać pomoc w przywracaniu tożsamości.

Błąd po włączeniu zapory magazynu kluczy

Jeśli włączysz zaporę magazynu kluczy lub sieć wirtualną po utworzeniu zaszyfrowanego rejestru, może zostać wyświetlony komunikat HTTP 403 lub inne błędy związane z importowaniem obrazu lub automatycznym rotacją kluczy. Aby rozwiązać ten problem, skonfiguruj ponownie tożsamość zarządzaną i klucz, który początkowo był używany do szyfrowania. Zobacz kroki opisane w temacie Rotacja klucza zarządzanego przez klienta.

Jeśli problem będzie się powtarzać, skontaktuj się z pomocą techniczną platformy Azure.

Błąd wygaśnięcia tożsamości

Tożsamość dołączona do rejestru jest ustawiona dla autorenewal, aby uniknąć wygaśnięcia. Jeśli usuniesz skojarzenie tożsamości z rejestru, zostanie wyświetlony komunikat o błędzie wyjaśniający, że nie można usunąć tożsamości używanej dla klucza zarządzanego przez klienta. Próba usunięcia tożsamości zagraża autorenewal tożsamości. Operacje ściągania/wypychania artefaktu działają do momentu wygaśnięcia tożsamości (zazwyczaj trzy miesiące). Po wygaśnięciu tożsamości zostanie wyświetlony komunikat HTTP 403 z komunikatem o błędzie "Tożsamość skojarzona z rejestrem jest nieaktywna. Może to być spowodowane próbą usunięcia tożsamości. Ponownie przypisz tożsamość ręcznie".

Musisz ponownie przypisać tożsamość z powrotem do rejestru.

  1. Uruchom polecenie az acr identity assign, aby ponownie przypisać tożsamość ręcznie.

    • Na przykład:
    az acr identity assign -n myRegistry \
--identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"

Przypadkowe usunięcie magazynu kluczy lub klucza

Usunięcie magazynu kluczy lub klucza używanego do szyfrowania rejestru za pomocą klucza zarządzanego przez klienta sprawia, że zawartość rejestru jest niedostępna. Jeśli usuwanie nietrwałe jest włączone w magazynie kluczy (opcja domyślna), możesz odzyskać usunięty magazyn lub obiekt magazynu kluczy i wznowić operacje rejestru.

Następne kroki

Aby zapoznać się ze scenariuszami usuwania i odzyskiwania magazynu kluczy, zobacz Zarządzanie odzyskiwaniem usługi Azure Key Vault przy użyciu usuwania nietrwałego i ochrony przed przeczyszczeniem.