Udostępnij za pośrednictwem


Zarządzanie wpisami tajnymi usługi Azure Stack Edge przy użyciu usługi Azure Key Vault

DOTYCZY: Tak dla jednostki SKU procesora GPU ProAzure Stack Edge Pro — GPUTak dla jednostki SKU Pro 2Azure Stack Edge Pro 2Tak dla jednostki SKU Pro RAzure Stack Edge Pro R Azure Stack Edge Mini RTak dla jednostki SKU Mini R

Usługa Azure Key Vault jest zintegrowana z zasobem usługi Azure Stack Edge na potrzeby zarządzania wpisami tajnymi. Ten artykuł zawiera szczegółowe informacje na temat sposobu tworzenia usługi Azure Key Vault dla zasobu usługi Azure Stack Edge podczas aktywacji urządzenia, a następnie jest używany do zarządzania wpisami tajnymi.

Informacje o magazynie kluczy i usłudze Azure Stack Edge

Usługa w chmurze Azure Key Vault służy do bezpiecznego przechowywania i kontrolowania dostępu do tokenów, haseł, certyfikatów, kluczy interfejsu API i innych wpisów tajnych. Usługa Key Vault ułatwia również tworzenie i kontrolowanie kluczy szyfrowania używanych do szyfrowania danych.

W przypadku usługi Azure Stack Edge integracja z magazynem kluczy zapewnia następujące korzyści:

  • Przechowuje wpisy tajne klienta. Jednym z wpisów tajnych używanych w usłudze Azure Stack Edge jest klucz integralności kanału (CIK). Ten klucz umożliwia szyfrowanie wpisów tajnych i jest bezpiecznie przechowywany w magazynie kluczy. Wpisy tajne urządzeń, takie jak klucz odzyskiwania funkcji BitLocker i hasło użytkownika kontrolera zarządzania płytą główną (BMC), są również przechowywane w magazynie kluczy.

    Aby uzyskać więcej informacji, zobacz Bezpieczne przechowywanie wpisów tajnych i kluczy.

  • Przekazuje zaszyfrowane wpisy tajne klienta do urządzenia.

  • Wyświetla wpisy tajne urządzenia w celu łatwego dostępu, jeśli urządzenie nie działa.

Generowanie klucza aktywacji i tworzenie magazynu kluczy

Magazyn kluczy jest tworzony dla zasobu usługi Azure Stack Edge podczas procesu generowania klucza aktywacji. Magazyn kluczy jest tworzony w tej samej grupie zasobów, w której znajduje się zasób usługi Azure Stack Edge. Uprawnienia współautora są wymagane w magazynie kluczy.

Wymagania wstępne dotyczące magazynu kluczy

Przed utworzeniem magazynu kluczy podczas aktywacji należy spełnić następujące wymagania wstępne:

  • Przed utworzeniem zasobu usługi Azure Stack Edge zarejestruj dostawcę zasobów Microsoft.KeyVault . Dostawca zasobów jest automatycznie rejestrowany, jeśli masz dostęp właściciela lub współautora do subskrypcji. Magazyn kluczy jest tworzony w tej samej subskrypcji i grupie zasobów co zasób usługi Azure Stack Edge.

  • Podczas tworzenia zasobu usługi Azure Stack Edge tworzona jest również tożsamość zarządzana przypisana przez system, która będzie trwała przez cały okres istnienia zasobu i komunikuje się z dostawcą zasobów w chmurze.

    Po włączeniu tożsamości zarządzanej platforma Azure tworzy zaufaną tożsamość dla zasobu usługi Azure Stack Edge.

Tworzenie magazynu kluczy

Po utworzeniu zasobu należy aktywować zasób za pomocą urządzenia. W tym celu wygenerujesz klucz aktywacji w witrynie Azure Portal.

Podczas generowania klucza aktywacji występują następujące zdarzenia:

Przepływ generowania klucza aktywacji

  • Zażądasz klucza aktywacji w witrynie Azure Portal. Żądanie jest następnie wysyłane do dostawcy zasobów magazynu kluczy.
  • Tworzony jest magazyn kluczy w warstwie Standardowa z zasadami dostępu i jest domyślnie zablokowany.
    • Ten magazyn kluczy używa nazwy domyślnej lub od 3 do 24 znaków określonej nazwy niestandardowej. Nie można użyć magazynu kluczy, który jest już używany.

    • Szczegóły magazynu kluczy są przechowywane w usłudze. Ten magazyn kluczy jest używany do zarządzania wpisami tajnymi i utrzymuje się tak długo, jak istnieje zasób usługi Azure Stack Edge.

      Usługa Key Vault utworzona podczas generowania klucza aktywacji

  • Blokada zasobów jest włączona w magazynie kluczy, aby zapobiec przypadkowemu usunięciu. Usuwanie nietrwałe jest również włączone w magazynie kluczy, który umożliwia przywrócenie magazynu kluczy w ciągu 90 dni w przypadku przypadkowego usunięcia. Aby uzyskać więcej informacji, zobacz Omówienie usuwania nietrwałego usługi Azure Key Vault.
  • Tożsamość zarządzana przypisana przez system, która została utworzona podczas tworzenia zasobu usługi Azure Stack Edge, jest teraz włączona.
  • Klucz integralności kanału jest generowany i umieszczany w magazynie kluczy. Szczegóły ciK są wyświetlane w usłudze.
  • Konto magazynu strefowo nadmiarowego (ZRS) jest również tworzone w tym samym zakresie co zasób usługi Azure Stack Edge, a blokada jest umieszczana na koncie.
    • To konto służy do przechowywania dzienników inspekcji.
    • Tworzenie konta magazynu jest długotrwałym procesem i trwa kilka minut.
    • Konto magazynu jest oznaczane nazwą magazynu kluczy.
  • Do magazynu kluczy jest dodawane ustawienie diagnostyczne, a rejestrowanie jest włączone.
  • Tożsamość zarządzana jest dodawana do zasad dostępu magazynu kluczy, aby umożliwić dostęp do magazynu kluczy, ponieważ urządzenie używa magazynu kluczy do przechowywania i pobierania wpisów tajnych.
  • Magazyn kluczy uwierzytelnia żądanie przy użyciu tożsamości zarządzanej w celu wygenerowania klucza aktywacji. Klucz aktywacji jest zwracany do witryny Azure Portal. Następnie możesz skopiować ten klucz i użyć go w lokalnym interfejsie użytkownika, aby aktywować urządzenie.

Uwaga

  • Jeśli masz istniejący zasób usługi Azure Stack Edge przed zintegrowaniem usługi Azure Key Vault z zasobem usługi Azure Stack Edge, nie ma to wpływu. Możesz nadal używać istniejącego zasobu usługi Azure Stack Edge.
  • Utworzenie magazynu kluczy i konta magazynu powoduje dodanie ogólnego kosztu zasobu. Aby uzyskać więcej informacji na temat dozwolonych transakcji i odpowiednich opłat, zobacz Cennik usługi Azure Key Vault i Cennik konta magazynu.

Jeśli wystąpią problemy związane z magazynem kluczy i aktywacją urządzenia, zobacz Rozwiązywanie problemów z aktywacją urządzeń.

Wyświetlanie właściwości magazynu kluczy

Po wygenerowaniu klucza aktywacji i utworzeniu magazynu kluczy możesz uzyskać dostęp do magazynu kluczy, aby wyświetlić wpisy tajne, zasady dostępu, diagnostykę i szczegółowe informacje. Poniższa procedura opisuje każdą z tych operacji.

Wyświetlanie wpisów tajnych

Po wygenerowaniu klucza aktywacji i utworzeniu magazynu kluczy możesz uzyskać dostęp do magazynu kluczy.

Aby uzyskać dostęp do magazynu kluczy i wyświetlić wpisy tajne, wykonaj następujące kroki:

  1. W witrynie Azure Portal dla zasobu usługi Azure Stack Edge przejdź do obszaru Zabezpieczenia.

  2. W okienku po prawej stronie w obszarze Zabezpieczenia można wyświetlić wpisy tajne.

  3. Możesz również przejść do magazynu kluczy skojarzonego z zasobem usługi Azure Stack Edge. Wybierz pozycję Nazwa magazynu kluczy.

    Przejdź do magazynu kluczy urządzenia

  4. Aby wyświetlić wpisy tajne przechowywane w magazynie kluczy, przejdź do pozycji Wpisy tajne. Klucz integralności kanału, klucz odzyskiwania funkcji BitLocker i hasła użytkownika kontrolera zarządzania płytą główną (BMC) są przechowywane w magazynie kluczy. Jeśli urządzenie ulegnie awarii, portal zapewnia łatwy dostęp do klucza odzyskiwania funkcji BitLocker i hasła użytkownika kontrolera BMC.

    Wyświetlanie wpisów tajnych urządzenia w magazynie kluczy

Wyświetlanie zasad dostępu tożsamości zarządzanej

Aby uzyskać dostęp do zasad dostępu dla magazynu kluczy i tożsamości zarządzanej, wykonaj następujące kroki:

  1. W witrynie Azure Portal dla zasobu usługi Azure Stack Edge przejdź do obszaru Zabezpieczenia.

  2. Wybierz link odpowiadający nazwie magazynu kluczy, aby przejść do magazynu kluczy skojarzonego z zasobem usługi Azure Stack Edge.

    Przejdź do magazynu kluczy urządzenia

  3. Aby wyświetlić zasady dostępu skojarzone z magazynem kluczy, przejdź do pozycji Zasady dostępu. Widać, że tożsamość zarządzana uzyskała dostęp. Wybierz pozycję Uprawnienia wpisu tajnego. Widać, że dostęp do tożsamości zarządzanej jest ograniczony tylko do opcji Pobierz i Ustaw wpis tajny.

    Wyświetlanie zasad dostępu dla magazynu kluczy

Wyświetlanie dzienników inspekcji

Aby uzyskać dostęp do magazynu kluczy i wyświetlić ustawienia diagnostyczne i dzienniki inspekcji, wykonaj następujące kroki:

  1. W witrynie Azure Portal dla zasobu usługi Azure Stack Edge przejdź do obszaru Zabezpieczenia.

  2. Wybierz link odpowiadający nazwie magazynu kluczy, aby przejść do magazynu kluczy skojarzonego z zasobem usługi Azure Stack Edge.

    Przejdź do magazynu kluczy urządzenia

  3. Aby wyświetlić ustawienia diagnostyczne skojarzone z magazynem kluczy, przejdź do pozycji Ustawienia diagnostyki. To ustawienie umożliwia monitorowanie sposobu i momentu uzyskiwania dostępu do magazynów kluczy oraz przez kogo. Zobaczysz, że utworzono ustawienie diagnostyczne. Dzienniki przepływają do konta magazynu, które zostało również utworzone. Zdarzenia inspekcji są również tworzone w magazynie kluczy.

    Wyświetlanie ustawień diagnostycznych dla magazynu kluczy

Jeśli skonfigurowano inny element docelowy magazynu dla dzienników w magazynie kluczy, możesz wyświetlić dzienniki bezpośrednio na tym koncie magazynu.

Wyświetl szczegółowe informacje

Aby uzyskać dostęp do szczegółowych informacji dotyczących magazynu kluczy, w tym operacji wykonywanych w magazynie kluczy, wykonaj następujące kroki:

  1. W witrynie Azure Portal dla zasobu usługi Azure Stack Edge przejdź do obszaru Zabezpieczenia.

  2. Wybierz link odpowiadający diagnostyce magazynu kluczy.

    Przejdź do magazynu kluczy urządzenia

  3. Blok Szczegółowe informacje zawiera omówienie operacji wykonywanych w magazynie kluczy.

    Wyświetlanie szczegółowych informacji dla magazynu kluczy

Wyświetlanie stanu tożsamości zarządzanej

Aby wyświetlić stan tożsamości zarządzanej przypisanej przez system skojarzonej z zasobem usługi Azure Stack Edge, wykonaj następujące kroki:

  1. W witrynie Azure Portal dla zasobu usługi Azure Stack Edge przejdź do obszaru Zabezpieczenia.

  2. W okienku po prawej stronie przejdź do tożsamości zarządzanej przypisanej przez system, aby sprawdzić, czy tożsamość zarządzana przypisana przez system jest włączona lub wyłączona.

    Przejdź do magazynu kluczy urządzenia

Wyświetlanie blokad magazynu kluczy

Aby uzyskać dostęp do magazynu kluczy i wyświetlić blokady, wykonaj następujące kroki:

  1. W witrynie Azure Portal dla zasobu usługi Azure Stack Edge przejdź do obszaru Zabezpieczenia.

  2. Wybierz link odpowiadający nazwie magazynu kluczy, aby przejść do magazynu kluczy skojarzonego z zasobem usługi Azure Stack Edge.

    Przejdź do magazynu kluczy urządzenia

  3. Aby wyświetlić blokady w magazynie kluczy, przejdź do pozycji Blokady. Aby zapobiec przypadkowemu usunięciu, blokada zasobu jest włączona w magazynie kluczy.

    Wyświetlanie blokad w magazynie kluczy

Ponowne generowanie klucza aktywacji

W niektórych przypadkach może być konieczne ponowne wygenerowanie klucza aktywacji. Podczas ponownego generowania klucza aktywacji występują następujące zdarzenia:

  1. Zażądasz ponownego wygenerowania klucza aktywacji w witrynie Azure Portal.
  2. Klucz aktywacji jest zwracany do witryny Azure Portal. Następnie możesz skopiować ten klucz i użyć go.

Magazyn kluczy nie jest dostępny podczas ponownego generowania klucza aktywacji.

Odzyskiwanie wpisów tajnych urządzenia

Jeśli klucz CIK zostanie przypadkowo usunięty lub wpisy tajne (na przykład hasło użytkownika BMC) staną się nieaktualne w magazynie kluczy, należy wypchnąć wpisy tajne z urządzenia, aby zaktualizować wpisy tajne magazynu kluczy.

Wykonaj następujące kroki, aby zsynchronizować wpisy tajne urządzenia:

  1. W witrynie Azure Portal przejdź do zasobu usługi Azure Stack Edge, a następnie przejdź do obszaru Zabezpieczenia.

  2. W okienku po prawej stronie na górnym pasku poleceń wybierz pozycję Synchronizuj wpisy tajne urządzenia.

  3. Wpisy tajne urządzenia są wypychane do magazynu kluczy w celu przywrócenia lub zaktualizowania wpisów tajnych w magazynie kluczy. Po zakończeniu synchronizacji zostanie wyświetlone powiadomienie.

    Synchronizowanie wpisów tajnych urządzenia w magazynie kluczy

Usuwanie magazynu kluczy

Istnieją dwa sposoby usuwania magazynu kluczy skojarzonego z zasobem usługi Azure Stack Edge:

  • Usuń zasób usługi Azure Stack Edge i wybierz opcję usunięcia skojarzonego magazynu kluczy w tym samym czasie.
  • Przypadkowo usunięto magazyn kluczy bezpośrednio.

Po usunięciu zasobu usługi Azure Stack Edge magazyn kluczy jest również usuwany z zasobem. Zostanie wyświetlony monit o potwierdzenie. Jeśli przechowujesz inne klucze w tym magazynie kluczy i nie zamierzasz usuwać tego magazynu kluczy, możesz nie wyrazić zgody. Tylko zasób usługi Azure Stack Edge jest usuwany, pozostawiając magazyn kluczy bez zmian.

Wykonaj następujące kroki, aby usunąć zasób usługi Azure Stack Edge i skojarzony magazyn kluczy:

  1. W witrynie Azure Portal przejdź do zasobu usługi Azure Stack Edge, a następnie przejdź do pozycji Przegląd.

  2. W okienku po prawej stronie wybierz pozycję Usuń. Ta akcja spowoduje usunięcie zasobu usługi Azure Stack Edge.

    Usuwanie zasobu usługi Azure Stack Edge i skojarzonego magazynu kluczy

  3. Zostanie wyświetlony blok potwierdzenia. Wpisz nazwę zasobu usługi Azure Stack Edge. Aby potwierdzić usunięcie skojarzonego magazynu kluczy, wpisz Tak.

    Potwierdzanie usunięcia zasobu usługi Azure Stack Edge i skojarzonego magazynu kluczy

  4. Wybierz Usuń.

Zasób usługi Azure Stack Edge i magazyn kluczy zostaną usunięte.

Magazyn kluczy może zostać przypadkowo usunięty, gdy zasób usługi Azure Stack Edge jest używany. W takim przypadku alert krytyczny zostanie zgłoszony na stronie Zabezpieczenia zasobu usługi Azure Stack Edge. Możesz przejść do tej strony, aby odzyskać magazyn kluczy.

Odzyskiwanie magazynu kluczy

Magazyn kluczy skojarzony z zasobem usługi Azure Stack Edge można odzyskać, jeśli zostanie on usunięty przypadkowo lub przeczyszczone. Jeśli ten magazyn kluczy został użyty do przechowywania innych kluczy, konieczne będzie odzyskanie tych kluczy przez przywrócenie magazynu kluczy.

  • W ciągu 90 dni od usunięcia można przywrócić magazyn kluczy, który został usunięty.
  • Jeśli okres ochrony przed przeczyszczeniem wynosi już 90 dni, nie można przywrócić magazynu kluczy. Zamiast tego należy utworzyć nowy magazyn kluczy.

W ciągu 90 dni od usunięcia wykonaj następujące kroki, aby odzyskać magazyn kluczy:

  • W witrynie Azure Portal przejdź do strony Zabezpieczenia zasobu usługi Azure Stack Edge. Zobaczysz powiadomienie o tym, że magazyn kluczy skojarzony z zasobem został usunięty. Możesz wybrać powiadomienie lub wybrać pozycję Skonfiguruj ponownie względem nazwy magazynu kluczy w obszarze Preferencje zabezpieczeń, aby odzyskać magazyn kluczy.

    Przejdź do strony Zabezpieczenia

  • W bloku Odzyskiwanie magazynu kluczy wybierz pozycję Konfiguruj. Następujące operacje są wykonywane w ramach odzyskiwania:

    Kroki odzyskiwania

    • Magazyn kluczy jest odzyskiwane z taką samą nazwą, a blokada jest umieszczana w zasobie magazynu kluczy.

      Uwaga

      Jeśli magazyn kluczy zostanie usunięty, a okres ochrony przed przeczyszczeniem wynosi 90 dni, wówczas w tym okresie nie można użyć nazwy magazynu kluczy do utworzenia nowego magazynu kluczy.

    • Konto magazynu jest tworzone do przechowywania dzienników inspekcji.

    • Tożsamość zarządzana przypisana przez system ma dostęp do magazynu kluczy.

    • Wpisy tajne urządzenia są wypychane do magazynu kluczy.

    Wybierz Konfiguruj.

    Odzyskiwanie bloku magazynu kluczy

    Magazyn kluczy zostanie odzyskany, a po zakończeniu odzyskiwania zostanie wyświetlone powiadomienie.

Jeśli magazyn kluczy zostanie usunięty, a upłynął okres ochrony przed przeczyszczeniem 90 dni, będziesz mieć możliwość utworzenia nowego magazynu kluczy za pomocą procedury Odzyskiwania klucza opisanej powyżej. W takim przypadku podasz nową nazwę magazynu kluczy. Zostanie utworzone nowe konto magazynu, tożsamość zarządzana ma przyznany dostęp do tego magazynu kluczy, a wpisy tajne urządzeń są wypychane do tego magazynu kluczy.

Odzyskiwanie dostępu do tożsamości zarządzanej

Jeśli zasady dostępu tożsamości zarządzanej przypisane przez system zostaną usunięte, zostanie zgłoszony alert, gdy urządzenie nie będzie mogło ponownie zsynchronizować wpisów tajnych magazynu kluczy. Jeśli tożsamość zarządzana nie ma dostępu do magazynu kluczy, zostanie zgłoszony alert urządzenia. Wybierz alert w każdym przypadku, aby otworzyć blok Odzyskaj magazyn kluczy i ponownie skonfigurować. Ten proces powinien przywrócić dostęp do tożsamości zarządzanej.

Udzielanie tożsamości zarządzanej dostępu do przepływu magazynu kluczy

Następne kroki