Compartilhar via

Etapa 2: migração de chave protegida por HSM para chave protegida por HSM

  • Artigo

Essas instruções fazem parte do caminho de migração do AD RMS para a Proteção de Informações do Azure e são aplicáveis somente se sua chave do AD RMS estiver protegida por HSM e você desejar migrar para a Proteção de Informações do Azure com uma chave de locatário protegida por HSM no Azure Key Vault.

Se esse não for o cenário de configuração escolhido, volte para a Etapa 4. Exportar dados de configuração do AD RMS e importá-los para o Azure RMS e escolha uma configuração diferente.

Observação

Estas instruções pressupõem que a chave do AD RMS está protegida por módulo. Esse é, na maioria das vezes, o caso mais comum.

Importar a configuração da chave HSM e do AD RMS para a Proteção de Informações do Azure é um procedimento de duas partes que resulta em sua chave de locatário da Proteção de Informações do Azure que é gerenciada por você (BYOK) no Azure Key Vault.

Como sua chave de locatário da Proteção de Informações do Azure será armazenada e gerenciada pelo Azure Key Vault, essa parte da migração requer administração no Azure Key Vault, além da Proteção de Informações do Azure. Se o Azure Key Vault for gerenciado por um administrador diferente de você para sua organização, você deverá coordenar e trabalhar com esse administrador para concluir esses procedimentos.

Antes de começar, verifique se sua organização tem um cofre de chaves que foi criado no Azure Key Vault e se ele oferece suporte a chaves protegidas por HSM. Embora não seja necessário, recomendamos que você tenha um cofre de chaves dedicado para a Proteção de Informações do Azure. Esse cofre de chaves deve ser configurado para permitir o acesso do serviço Azure Rights Management, portanto, as chaves armazenadas por esse cofre de chaves devem ser limitadas somente às chaves da Proteção de Informações do Azure.

Dica

Se você estiver executando as etapas de configuração do Azure Key Vault e não estiver familiarizado com esse serviço do Azure, talvez seja útil revisar primeiro a Introdução ao Azure Key Vault.

Parte 1: transferir sua chave para o Azure Key Vault

Esses procedimentos devem ser feitos pelo administrador do Azure Key Vault.

  1. Para cada chave SLC exportada que deseja armazenar no Azure Key Vault, siga as instruções da documentação do Azure cofre de chaves, usando Implementar Bring Your Own Key (BYOK) ao Azure Key Vault, com a seguinte exceção:

    • Não execute as etapas para Gerar chave de locatário, porque você já tem o equivalente a ela pela implantação do AD RMS. Em vez disso, identifique as chaves usadas pelo servidor AD RMS a partir da instalação do nCipher, prepare essas chaves para transferência e, em seguida, transfira-as para o Azure Key Vault.

      Os arquivos de chave criptografados para nCipher são chamados localmente no servidor de key_<keyAppName>_<keyIdentifier>. Por exemplo, C:\Users\All Users\nCipher\Key Management Data\local\key_mscapi_f829e3d888f6908521fe3d91de51c25d27116a54. Ao executar o comando KeyTransferRemote para criar uma cópia da chave com permissões reduzidas, será necessário ter o valor mscapi como o keyAppName e o seu próprio valor para o identificador de chave.

      Quando a chave é carregada no Azure Key Vault, você vê as propriedades da chave exibidas, o que inclui a identificação da chave. Será semelhante a https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Anote essa URL, porque o administrador da Proteção de Informações do Azure precisa dela para informar ao serviço Azure Rights Management para usar essa chave como sua chave de locatário.

  2. Na estação de trabalho conectada à Internet, em uma sessão do PowerShell, use o cmdlet Set-AzKeyVaultAccessPolicy para autorizar a entidade de serviço do Azure Rights Management a acessar o cofre de chaves que armazenará a chave de locatário da Proteção de Informações do Azure. As permissões necessárias são decrypt, encrypt, unwrapkey, wrapkey, verify e sign.

    Por exemplo, se o cofre de chaves que você criou para a Proteção de Informações do Azure se chama contoso-byok-ky e seu grupo de recursos se chama contoso-byok-rg, execute o seguinte comando:

    Set-AzKeyVaultAccessPolicy -VaultName "contoso-byok-kv" -ResourceGroupName "contoso-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get

Agora que você preparou sua chave HSM no Azure Key Vault para o serviço Azure Rights Management da Proteção de Informações do Azure, pode começar a importar seus dados de configuração do AD RMS.

Parte 2: importar os dados de configuração para a Proteção de Informações do Azure

Esses procedimentos devem ser feitos pelo administrador da Proteção de Informações do Azure.

  1. Na estação de trabalho conectada à Internet e na sessão do PowerShell, conecte-se ao serviço Azure Rights Management usando o cmdlet Connect-AipService.

    Em seguida, carregue cada arquivo de domínio de publicação confiável (.xml), usando o cmdlet Import-AipServiceTpd. Por exemplo, você deve ter pelo menos um arquivo adicional para importar se tiver atualizado seu cluster do AD RMS para o Modo Criptográfico 2.

    Para executar esse cmdlet, é necessária a senha especificada anteriormente para cada arquivo de dados de configuração e da URL da chave que foi identificada na etapa anterior.

    Por exemplo, usando um arquivo de dados de configuração de C:\contoso-tpd1.xml e nosso valor de URL de chave da etapa anterior, primeiro execute o procedimento a seguir para armazenar a senha:

     $TPD_Password = Read-Host -AsSecureString

    Insira a senha que você especificou para exportar o arquivo de dados de configuração. Em seguida, execute o seguinte comando e confirme que deseja executar essa ação:

    Import-AipServiceTpd -TpdFile "C:\contoso-tpd1.xml" -ProtectionPassword $TPD_Password –KeyVaultKeyUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose

    Como parte dessa importação, a chave SLC é importada e definida automaticamente como arquivada.

  2. Depois de carregar cada arquivo, execute Set-AipServiceKeyProperties para especificar qual chave importada corresponde à chave SLC no cluster AD RMS. Essa chave passa a ser a chave de locatário ativa para seu serviço Azure Rights Management.

  3. Use o cmdlet Disconnect-AipServiceService para se desconectar do serviço Azure Rights Management:

    Disconnect-AipServiceService

Se, posteriormente, você precisar confirmar qual a chave usada pela sua chave de locatário da Proteção de Informações do Azure no Azure Key Vault, use o cmdlet Get-AipServiceKeys do Azure RMS.

Agora você pode para ir para a Etapa 5. Ativar o serviço Azure Rights Management.