Partilhar via


Etapa 2: Chave protegida por HSM para migração de chave protegida por HSM

Estas instruções fazem parte do caminho de migração do AD RMS para a Proteção de Informações do Azure e são aplicáveis somente se sua chave AD RMS estiver protegida por HSM e você quiser migrar para a Proteção de Informações do Azure com uma chave de locatário protegida por HSM no Cofre de Chaves do Azure.

Se este não for o cenário de configuração escolhido, volte para a Etapa 4. Exporte dados de configuração do AD RMS e importe-os para o Azure RMS e escolha uma configuração diferente.

Nota

Estas instruções pressupõem que a sua chave AD RMS está protegida por módulos. Este é o caso mais típico.

É um procedimento de duas partes para importar sua chave HSM e configuração do AD RMS para a Proteção de Informações do Azure, para resultar em sua chave de locatário da Proteção de Informações do Azure gerenciada por você (BYOK).

Como sua chave de locatário da Proteção de Informações do Azure será armazenada e gerenciada pelo Cofre de Chaves do Azure, essa parte da migração requer administração no Cofre de Chaves do Azure, além da Proteção de Informações do Azure. Se o Cofre de Chaves do Azure for gerenciado por um administrador diferente do seu para sua organização, você deverá coordenar e trabalhar com esse administrador para concluir esses procedimentos.

Antes de começar, certifique-se de que a sua organização tem um cofre de chaves que foi criado no Cofre de Chaves do Azure e que suporta chaves protegidas por HSM. Embora não seja necessário, recomendamos que você tenha um cofre de chaves dedicado para a Proteção de Informações do Azure. Esse cofre de chaves será configurado para permitir que o serviço Azure Rights Management o acesse, portanto, as chaves que esse cofre de chaves armazena devem ser limitadas apenas às chaves da Proteção de Informações do Azure.

Gorjeta

Se estiver a efetuar os passos de configuração para o Azure Key Vault e não estiver familiarizado com este serviço do Azure, poderá achar útil rever primeiro Introdução ao Azure Key Vault.

Parte 1: Transfira sua chave HSM para o Azure Key Vault

Esses procedimentos são feitos pelo administrador do Cofre de Chaves do Azure.

  1. Para cada chave SLC exportada que você deseja armazenar no Cofre de Chaves do Azure, siga as instruções da documentação do Cofre de Chaves do Azure, usando Implementando trazer sua própria chave (BYOK) para o Cofre de Chaves do Azure com a seguinte exceção:

    • Não execute as etapas para Gerar sua chave de locatário, porque você já tem o equivalente da sua implantação do AD RMS. Em vez disso, identifique as chaves usadas pelo servidor AD RMS na instalação do nCipher e prepare essas chaves para transferência e, em seguida, transfira-as para o Cofre de Chaves do Azure.

      Os arquivos de chave criptografados para nCipher são nomeados key_<keyAppName>_<keyIdentifier> localmente no servidor. Por exemplo, C:\Users\All Users\nCipher\Key Management Data\local\key_mscapi_f829e3d888f6908521fe3d91de51c25d27116a54. Você precisará do valor mscapi como keyAppName e do seu próprio valor para o identificador de chave quando executar o comando KeyTransferRemote para criar uma cópia da chave com permissões reduzidas.

      Quando a chave é carregada no Cofre de Chaves do Azure, você vê as propriedades da chave exibida, que inclui a ID da chave. Será semelhante a https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Anote essa URL porque o administrador da Proteção de Informações do Azure precisa que ela diga ao serviço Azure Rights Management para usar essa chave para sua chave de locatário.

  2. Na estação de trabalho conectada à Internet, em uma sessão do PowerShell, use o cmdlet Set-AzKeyVaultAccessPolicy para autorizar a entidade de serviço do Azure Rights Management a acessar o cofre de chaves que armazenará a chave de locatário da Proteção de Informações do Azure. As permissões necessárias são desencriptar, encriptar, unwrapkey, wrapkey, verificar e assinar.

    Por exemplo, se o cofre de chaves que você criou para a Proteção de Informações do Azure for chamado contoso-byok-ky e seu grupo de recursos for chamado contoso-byok-rg, execute o seguinte comando:

    Set-AzKeyVaultAccessPolicy -VaultName "contoso-byok-kv" -ResourceGroupName "contoso-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
    

Agora que preparou a sua chave HSM no Azure Key Vault para o serviço Azure Rights Management a partir da Proteção de Informações do Azure, está pronto para importar os dados de configuração do AD RMS.

Parte 2: Importar os dados de configuração para a Proteção de Informações do Azure

Esses procedimentos são feitos pelo administrador da Proteção de Informações do Azure.

  1. Na estação de trabalho conectada à Internet e na sessão do PowerShell, conecte-se ao serviço Azure Rights Management usando o cmdlet Connect-AipService .

    Em seguida, carregue cada arquivo de domínio de publicação confiável (.xml) usando o cmdlet Import-AipServiceTpd . Por exemplo, você deve ter pelo menos um arquivo adicional para importar se tiver atualizado seu cluster AD RMS para o Modo Criptográfico 2.

    Para executar esse cmdlet, você precisa da senha especificada anteriormente para cada arquivo de dados de configuração e da URL da chave identificada na etapa anterior.

    Por exemplo, usando um arquivo de dados de configuração de C:\contoso-tpd1.xml e nosso valor de URL de chave da etapa anterior, execute primeiro o seguinte para armazenar a senha:

     $TPD_Password = Read-Host -AsSecureString
    

    Digite a senha que você especificou para exportar o arquivo de dados de configuração. Em seguida, execute o seguinte comando e confirme que deseja executar essa ação:

    Import-AipServiceTpd -TpdFile "C:\contoso-tpd1.xml" -ProtectionPassword $TPD_Password –KeyVaultKeyUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
    

    Como parte dessa importação, a chave SLC é importada e definida automaticamente como arquivada.

  2. Quando tiver carregado cada ficheiro, execute Set-AipServiceKeyProperties para especificar qual a chave importada que corresponde à chave SLC atualmente ativa no cluster AD RMS. Essa chave se torna a chave de locatário ativa para seu serviço Azure Rights Management.

  3. Use o cmdlet Disconnect-AipServiceService para se desconectar do serviço Azure Rights Management:

    Disconnect-AipServiceService
    

Se, posteriormente, você precisar confirmar qual chave sua chave de locatário da Proteção de Informações do Azure está usando no Cofre de Chaves do Azure, use o cmdlet Get-AipServiceKeys do Azure RMS.

Agora você está pronto para ir para a Etapa 5. Ative o serviço Azure Rights Management.