Partilhar via


Solucionar problemas de uma chave gerenciada pelo cliente

Este artigo é a quarta parte de uma série de tutoriais de quatro partes. A primeira parte fornece uma visão geral das chaves gerenciadas pelo cliente, seus recursos e considerações antes de habilitar uma no registro. Na segunda parte, você aprenderá a habilitar uma chave gerenciada pelo cliente usando a CLI do Azure, o portal do Azure ou um modelo do Azure Resource Manager. Na terceira parte, você aprenderá a girar, atualizar e revogar uma chave gerenciada pelo cliente. Este artigo ajuda você a solucionar problemas comuns com chaves gerenciadas pelo cliente.

Erro ao remover uma identidade gerenciada

Se tentar remover uma identidade gerida atribuída pelo utilizador ou pelo sistema que utilizou para configurar a encriptação para o registo, poderá ver um erro:

Azure resource '/subscriptions/xxxx/resourcegroups/myGroup/providers/Microsoft.ContainerRegistry/registries/myRegistry' does not have access to identity 'xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx' Try forcibly adding the identity to the registry <registry name>. For more information on bring your own key, please visit 'https://aka.ms/acr/cmk'.

Não é possível alterar (rodar) a chave de encriptação. As etapas de resolução dependem do tipo de identidade que você usou para criptografia.

Removendo uma identidade atribuída pelo usuário

Se você receber o erro ao tentar remover uma identidade atribuída pelo usuário, siga estas etapas:

  1. Reatribua a identidade atribuída pelo usuário usando o comando az acr identity assign .

  2. Passe a ID de recurso da identidade atribuída pelo usuário ou use o nome da identidade quando ela estiver no mesmo grupo de recursos do Registro.

    Por exemplo:

    az acr identity assign -n myRegistry \
        --identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"
    
  3. Altere a chave e atribua uma identidade diferente.

  4. Agora, você pode remover a identidade original atribuída pelo usuário.

Removendo uma identidade atribuída ao sistema

Se você receber o erro ao tentar remover uma identidade atribuída ao sistema, crie um tíquete de suporte do Azure para obter assistência na restauração da identidade.

Erro depois de ativar uma firewall de cofre de chaves

Se você habilitar um firewall de cofre de chaves ou uma rede virtual depois de criar um registro criptografado, poderá ver HTTP 403 ou outros erros com importação de imagem ou rotação automatizada de chaves. Para corrigir esse problema, reconfigure a identidade gerenciada e a chave que você usou inicialmente para criptografia. Consulte as etapas em Girar uma chave gerenciada pelo cliente.

Se o problema persistir, contacte o Suporte do Azure.

Erro de expiração de identidade

A identidade anexada a um registo está definida para renovação automática para evitar a expiração. Se você desassociar uma identidade de um registro, ocorrerá uma mensagem de erro explicando que não é possível remover a identidade em uso para CMK. A tentativa de remover a identidade compromete a autorrenovação da identidade. As operações pull/push do artefato funcionam até que a identidade expire (geralmente três meses). Após a expiração da identidade, você verá o HTTP 403 com uma mensagem de erro "A identidade associada ao registro está inativa. Isto pode dever-se a uma tentativa de remoção da identidade. Reatribua a identidade manualmente".

Você tem que reatribuir a identidade de volta ao registro explicitamente.

  1. Execute o comando az acr identity assign para reatribuir a identidade manualmente.

    • Por exemplo,
    az acr identity assign -n myRegistry \
    --identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"
    

Exclusão acidental de um cofre de chaves ou chave

A exclusão do cofre de chaves, ou a chave, usada para criptografar um registro com uma chave gerenciada pelo cliente torna o conteúdo do registro inacessível. Se a exclusão suave estiver habilitada no cofre de chaves (a opção padrão), você poderá recuperar um objeto de cofre ou cofre de chaves excluído e retomar as operações do Registro.

Próximos passos

Para cenários de exclusão e recuperação do cofre de chaves, consulte Gerenciamento de recuperação do Cofre de Chaves do Azure com proteção de exclusão e limpeza suave.