Шифрование данных резервного копирования в хранилище резервных копий с помощью ключей, управляемых клиентом

Azure Backup можно использовать для шифрования данных резервного копирования с помощью ключей, управляемых клиентом (CMKs), а не ключей, управляемых платформой (PMKs), которые включены по умолчанию. Ключи для шифрования данных резервного копирования должны храниться в Azure Key Vault.

Ключ шифрования, используемый для шифрования резервных копий, может отличаться от ключа шифрования, используемого для источника. Ключ шифрования данных на основе AES 256 (DEK) помогает защитить данные. Ключи шифрования ключей (KEKs), в свою очередь, помогают защитить DEK. У вас есть полный контроль над данными и ключами.

Чтобы разрешить шифрование, необходимо предоставить управляемому удостоверению хранилища резервных копий, которое вы хотите использовать для CMK, разрешения на доступ к ключу шифрования в хранилище ключей. При необходимости ключ можно изменить.

Примечание.

Параметры шифрования и CMK используются взаимозаменяемо.

Поддерживаемые регионы

В настоящее время пакеты CMK для хранилищ резервного копирования доступны во всех общедоступных регионах Azure.

Требования к ключу Key Vault и управляемому HSM

Перед включением шифрования в хранилище резервных копий ознакомьтесь со следующими требованиями:

• Параметры шифрования используют Azure Key Vault или управляемый аппаратный модуль безопасности (HSM) вместе с сведениями об управляемом удостоверении хранилища резервных копий.

• Управляемое удостоверение хранилища резервного копирования должно иметь:

  • Встроенная роль пользователя шифрования криптослужбы, если хранилище ключей использует конфигурацию управления доступом на основе ролей (RBAC), основанную на управлении удостоверениями и доступом (IAM).
  • Получение, перенос и отмена разрешений, если хранилище ключей использует конфигурацию, основанную на политиках доступа.
  • Получение, перенос и отмена разрешений, предоставленных через локальный RBAC в ключе, если вы используете управляемый модуль HSM. Подробнее.

• Убедитесь, что у вас есть допустимый ключ Key Vault. Не используйте истекший или отключенный ключ, так как он не может использоваться для шифрования неактивных данных и приведет к сбоям операций резервного копирования и восстановления. Термин Key Vault также указывает управляемый HSM, если вы не заметили его ранее.

• Key Vault должен иметь обратимое удаление и защиту очистки.

• Параметры шифрования поддерживают ключи RSA и RSA-HSM Azure Key Vault только размером 2048, 3 072 и 4096. Дополнительные сведения о ключах. Прежде чем рассматривать регионы Key Vault для параметров шифрования, см . сценарии аварийного восстановления Key Vault для поддержки региональной отработки отказа.

Рекомендации

Прежде чем включить шифрование в хранилище резервных копий, ознакомьтесь со следующими рекомендациями.

• После включения шифрования с помощью cmKs для хранилища резервных копий вы не сможете вернуться к использованию PMKs (по умолчанию). Ключи шифрования или управляемое удостоверение можно изменить в соответствии с требованиями.

• CMK применяется к хранилищу хранилища Azure Backup и уровням архива хранилища. Оно неприменимо для операционного уровня.

• Перемещение хранилища резервных копий с шифрованием CMK между группами ресурсов и подписками в настоящее время не поддерживается.

• После включения параметров шифрования в хранилище резервных копий не отключать или отключать управляемое удостоверение или удалять разрешения Key Vault, используемые для параметров шифрования. Эти действия приводят к сбою заданий резервного копирования, восстановления, распределения по уровням и окончания срока действия точки восстановления. Они будут нести расходы на данные, хранящиеся в хранилище резервных копий, пока:

  • Вы восстанавливаете разрешения Key Vault.
  • Вы повторно создайте удостоверение, назначаемое системой, предоставьте ему разрешения хранилища ключей и обновите параметры шифрования (если вы использовали удостоверение, назначаемое системой для параметров шифрования).
  • При повторном подключении управляемого удостоверения убедитесь, что у него есть разрешения на доступ к хранилищу ключей и ключу для использования нового удостоверения, назначаемого пользователем.

• Параметры шифрования используют ключ Azure Key Vault и сведения об управляемом удостоверении хранилища резервных копий.

  Если ключ или хранилище ключей, которые вы используете, удаляется или доступ отзывается и не может быть восстановлен, вы потеряете доступ к данным, хранящимся в хранилище резервных копий. Кроме того, убедитесь, что у вас есть соответствующие разрешения для предоставления и обновления управляемого удостоверения, хранилища резервных копий и сведений о хранилище ключей.

• Хранилища, использующие управляемые удостоверения, назначаемые пользователем, для шифрования CMK не поддерживают использование частных конечных точек для Azure Backup.

• Хранилища ключей, ограничивающие доступ к определенным сетям, в настоящее время не поддерживаются управляемыми удостоверениями, назначенными пользователем, для шифрования CMK.

Включение шифрования с помощью ключей, управляемых клиентом при создании хранилища

При создании хранилища резервных копий можно включить шифрование резервных копий с помощью cmKs. Узнайте, как создать хранилище резервных копий.

Выберите клиент:

Портал Azure

Чтобы включить шифрование, выполните следующие действия.

1. В портал Azure перейдите в хранилище резервных копий.

2. На вкладке "Свойства хранилища" выберите "Добавить удостоверение".

   

3. В колонке "Выбор назначенных пользователем управляемых удостоверений" выберите управляемое удостоверение из списка, который вы хотите использовать для шифрования, а затем нажмите кнопку "Добавить".

4. Для типа шифрования выберите "Использовать управляемый клиентом ключ".

5. Чтобы указать ключ, который следует использовать для шифрования, выберите соответствующий вариант.

   Чтобы включить авторотацию версии ключа шифрования, используемой для хранилища резервных копий, выберите пункт "Выбрать из Key Vault". Или удалите компонент версии из URI ключа, выбрав URI ключа ВВОД. Дополнительные сведения об автообмене.

6. Укажите универсальный код ресурса (URI) для ключа шифрования. Вы также можете просмотреть и выбрать ключ.

   

7. Добавьте управляемое удостоверение, назначаемое пользователем, для управления шифрованием с помощью CMK.

   Во время создания хранилища для CMK можно использовать только назначаемые пользователем управляемые удостоверения .

   

   Чтобы использовать CMK с управляемым удостоверением, назначаемого системой, обновите свойства хранилища после создания хранилища.

   

8. Чтобы включить шифрование в инфраструктуре хранилища резервных копий, выберите "Шифрование инфраструктуры".

   Шифрование инфраструктуры можно включить только в новом хранилище во время создания и использования ключей, управляемых клиентом (CMK).

9. Добавьте теги (необязательно) и продолжайте создавать хранилище.

PowerShell

Чтобы включить шифрование в хранилище резервных копий, обновите следующие параметры в команде New-AzDataProtectionBackupVault , а затем запустите ее.

• [-IdentityUserAssignedIdentity <Hashtable>]
• [-CmkEncryptionState <EncryptionState>]
• [-CmkInfrastructureEncryption <InfrastructureEncryptionState>]
• [-CmkIdentityType <IdentityType>]
• [-CmkUserAssignedIdentityId <String>]
• [-CmkEncryptionKeyUri <String>]

New-AzDataProtectionBackupVault -SubscriptionId xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx -ResourceGroupName "resourceGroupName" -VaultName "vaultName" -Location "location" -StorageSetting $storagesetting -IdentityType UserAssigned -UserAssignedIdentity $userAssignedIdentity -CmkEncryptionState Enabled -CmkIdentityType UserAssigned -CmkUserAssignedIdentityId $cmkIdentityId -CmkEncryptionKeyUri $cmkKeyUri -CmkInfrastructureEncryption Enabled

CLI

Чтобы включить шифрование в хранилище резервных копий, обновите следующие параметры в команде az dataprotection backup-vault create , а затем запустите ее.

• [--cmk-encryption-key-uri]
• [--cmk-encryption-state {Disabled, Enabled, Inconsistent}]
• [--cmk-identity-type {SystemAssigned, UserAssigned}]
• [--cmk-infra-encryption {Disabled, Enabled}]
• [--cmk-uami]

az dataprotection backup-vault create --resource-group
                                      --storage-setting
                                      --vault-name
                                      [--azure-monitor-alerts-for-job-failures {Disabled, Enabled}]
                                      [--cmk-encryption-key-uri]
                                      [--cmk-encryption-state {Disabled, Enabled, Inconsistent}]
                                      [--cmk-identity-type {SystemAssigned, UserAssigned}]
                                      [--cmk-infra-encryption {Disabled, Enabled}]
                                      [--cmk-uami]
                                      [--cross-region-restore-state {Disabled, Enabled}]
                                      [--cross-subscription-restore-state {Disabled, Enabled, PermanentlyDisabled}]
                                      [--e-tag]
                                      [--immutability-state {Disabled, Locked, Unlocked}]
                                      [--location]
                                      [--no-wait {0, 1, f, false, n, no, t, true, y, yes}]
                                      [--retention-duration-in-days]
                                      [--soft-delete-state {AlwaysOn, Off, On}]
                                      [--tags]
                                      [--type]
                                      [--uami]

Обновление свойств хранилища резервных копий для шифрования с помощью ключей, управляемых клиентом

Параметры шифрования хранилища резервных копий можно изменить в следующих сценариях:

• Включите управляемый клиентом ключ для уже существующего хранилища. Для хранилищ резервных копий можно включить CMK до или после защиты элементов в хранилище.
• Обновите сведения о параметрах шифрования, таких как управляемое удостоверение или ключ шифрования.

Давайте включите управляемый клиентом ключ для существующего хранилища.

Чтобы настроить хранилище, выполните следующие действия в последовательности:

1. Включите управляемое удостоверение для хранилища резервных копий.

2. Назначьте хранилищам резервных копий разрешения для доступа к ключу шифрования в Azure Key Vault.

3. Включите обратимое удаление и защиту от очистки в Azure Key Vault.

4. Назначьте ключ шифрования хранилищу резервных копий.

В следующих разделах подробно рассматриваются все эти действия.

Включение управляемого удостоверения для хранилища резервных копий

Azure Backup использует управляемые удостоверения, назначаемые системой, и управляемые удостоверения, назначаемые пользователем, для доступа к ключам шифрования, хранящимся в Azure Key Vault. Вы можете выбрать, какое управляемое удостоверение следует использовать.

Примечание.

После включения управляемого удостоверения его нельзя отключить (даже временно). Отключение управляемого удостоверения может привести к несогласованности поведения.

По соображениям безопасности невозможно обновить URI ключа Key Vault и управляемое удостоверение в одном запросе. Обновите один атрибут за раз.

Включение управляемого удостоверения, назначаемого системой для хранилища

Выберите клиент:

Портал Azure

Чтобы включить управляемое удостоверение, назначаемое системой для хранилища резервных копий, выполните следующие действия.

1. Перейдите к удостоверению хранилища>резервных копий.

2. Выберите вкладку Назначаемое системой.

3. Измените Состояние на Вкл.

4. Нажмите кнопку "Сохранить", чтобы включить удостоверение для хранилища.

На предыдущих шагах создается идентификатор объекта, который является управляемым удостоверением, назначаемым системой, хранилищем.

PowerShell

Чтобы включить управляемое удостоверение, назначаемое системой для хранилища резервных копий, используйте команду Update-AzDataProtectionBackupVault .

Update-AzDataProtectionBackupVault -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" -ResourceGroupName "resourceGroupName" -VaultName "vaultName" -IdentityType “SystemAssigned”

CLI

Чтобы включить управляемое удостоверение, назначаемое системой для хранилища резервных копий, используйте команду az dataprotection backup-vault update .

Назначение управляемого удостоверения, назначаемого пользователем, хранилищу

Чтобы назначить управляемое удостоверение, назначаемое пользователем для хранилища резервных копий, выполните следующие действия.

1. Перейдите к удостоверению хранилища>резервных копий.

2. Перейдите на вкладку "Назначено пользователем ( предварительная версия).

3. Нажмите кнопку +Добавить, чтобы добавить управляемое удостоверение, назначаемое пользователем.

4. На панели добавления назначенных пользователем управляемых удостоверений выберите подписку для удостоверения.

5. Выберите удостоверение из списка. Вы также можете отфильтровать по имени удостоверения или группы ресурсов.

6. Нажмите кнопку "Добавить ", чтобы завершить назначение удостоверения.

Примечание.

Хранилища ключей, ограничивающие доступ к определенным сетям, пока не поддерживаются для использования с управляемыми удостоверениями, назначенными пользователем для шифрования CMK.

Назначение разрешений управляемому удостоверению хранилища резервных копий (системе или пользователю) для доступа к ключу шифрования в Azure Key Vault

Выберите клиент:

Портал Azure

Необходимо разрешить управляемому удостоверению хранилища резервного копирования доступ к хранилищу ключей, который содержит ключ шифрования.

Сценарий. В Key Vault включена конфигурация управления доступом (IAM)

Выполните следующие действия:

1. Перейдите в хранилище> ключей контроль доступа и выберите "Добавить назначение ролей".
2. Выберите роль пользователя шифрования шифрования службы шифрования key Vault из ролей функции задания.
3. Нажмите кнопку "Далее>назначить доступ к управляемому>удостоверению>", чтобы выбрать участников.
4. Выберите управляемое удостоверение хранилища резервных копий.
5. Нажмите кнопку "Далее" и назначьте.

Сценарий. Хранилище ключей имеет конфигурацию политик доступа с поддержкой

Выполните следующие действия:

1. Перейдите к политикам доступа к хранилищу>ключей и нажмите кнопку +Создать.

   

2. Укажите действия, которые нужно разрешить для ключа. В разделе "Разрешения ключа" выберите операции Get, List, Unwrap Key и Wrap Key. Затем выберите Далее.

   

3. На вкладке "Субъект" найдите хранилище в поле поиска с помощью его имени или управляемого удостоверения. Когда откроется хранилище, выберите его и нажмите кнопку "Далее".

   

4. Выберите Добавить, чтобы добавить новую политику доступа.

5. Нажмите кнопку "Сохранить ", чтобы сохранить изменения, внесенные в политику доступа хранилища ключей.

Если вы используете удостоверение, назначаемое пользователем, необходимо назначить ему те же разрешения.

Вы также можете назначить роль RBAC в хранилище резервных копий, содержащее ранее упомянутые разрешения, например роль директора шифрования Key Vault. Эта роль может содержать дополнительные разрешения.

PowerShell

Чтобы назначить разрешения хранилищу резервных копий, выполните следующие команды:

1. Получите идентификатор субъекта хранилища резервных копий с помощью команды Get-AzADServicePrincipal .
2. Задайте политику доступа для хранилища ключей с помощью этого идентификатора в команде Set-AzKeyVaultAccessPolicy .

Пример:

$sp = Get-AzADServicePrincipal -DisplayName MyVault
$Set-AzKeyVaultAccessPolicy -VaultName myKeyVault -ObjectId $sp.Id -PermissionsToKeys get,list,unwrapkey,wrapkey

CLI

Чтобы назначить разрешения хранилищу резервных копий, выполните следующие команды:

1. Получите идентификатор субъекта хранилища резервных копий с помощью команды az ad sp list .
2. Задайте политику доступа для хранилища ключей с помощью этого идентификатора в команде az keyvault set-policy .

Пример:

az ad sp list --display-name MyVault
az keyvault set-policy --name myKeyVault --object-id <object-id> --key-permissions get,list,unwrapkey,wrapkey

Включение обратимого удаления и очистки в Azure Key Vault

Необходимо включить обратимое удаление и очистку в хранилище ключей, в которой хранится ключ шифрования.

Выберите клиент:

Портал Azure

Эти свойства можно задать из интерфейса Azure Key Vault, как показано на следующем снимке экрана. Кроме того, эти свойства можно задать при создании хранилища ключей. Дополнительные сведения об этих свойствах Key Vault.

PowerShell

Чтобы включить обратимое удаление в хранилище, выполните следующие команды:

1. Войдите в свою учетную запись Azure.

   Login-AzAccount
   

2. Выберите подписку, которая содержит ваше хранилище.

   Set-AzContext -SubscriptionId SubscriptionId
   

3. Включить обратимое удаление.

   ($resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "AzureKeyVaultName").ResourceId).Properties | Add-Member -MemberType "NoteProperty" -Name "enableSoftDelete" -Value "true"
   Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
   

4. Включите защиту очистки.

   ($resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "AzureKeyVaultName").ResourceId).Properties | Add-Member -MemberType "NoteProperty" -Name "enablePurgeProtection" -Value "true"
   Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
   

CLI

Чтобы включить обратимое удаление в хранилище, выполните следующие команды:

1. Войдите в свою учетную запись Azure.

   az login
   

2. Выберите подписку, которая содержит ваше хранилище.

   az account set --subscription "Subscription1"
   

3. Включить обратимое удаление.

   az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-soft-delete true
   

4. Включите защиту очистки.

   az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-purge-protection true
   

Назначение ключа шифрования хранилищу резервных копий

Прежде чем выбрать ключ шифрования для хранилища, убедитесь, что вы успешно:

• Включено управляемое удостоверение хранилища резервного копирования и назначали ему необходимые разрешения.
• Включено обратимое удаление и защита от очистки хранилища ключей.

Примечание.

Если в параметрах шифрования есть какие-либо обновления в текущих параметрах key Vault с новыми сведениями о хранилище ключей, управляемое удостоверение, используемое для параметров шифрования, должно хранить доступ к исходному хранилищу ключей, с разрешениями Get и Unwrap, а ключ должен находиться в состоянии "Включено". Этот доступ необходим для выполнения смены ключей с предыдущегоключа на новый ключ.

Чтобы назначить ключ, выполните следующие действия.

1. Перейдите к свойствам хранилища>резервных копий.

   

2. Для параметров шифрования нажмите кнопку "Обновить".

   

3. В колонке "Параметры шифрования" выберите "Использовать собственный ключ ", а затем укажите ключ с помощью одного из следующих параметров. Обязательно используйте ключ RSA, который находится в включенном и активном состоянии.

   • Выберите универсальный код ресурса (URI) клавиши ВВОД. В поле URI ключа введите универсальный код ресурса (URI) для ключа, который требуется использовать для шифрования данных в этом хранилище резервных копий. Вы также можете получить этот универсальный код ресурса (URI) ключа из соответствующего ключа в хранилище ключей.

     Не забудьте скопировать универсальный код ресурса (URI) ключа правильно. Мы рекомендуем использовать кнопку "Копировать в буфер обмена ", указанную с идентификатором ключа.

     

     При попытке обновить параметры шифрования, но операция обновления завершается ошибкой из-за внутренней ошибки, параметр шифрования обновляется до несогласованности и требует внимания. В таких случаях проверьте сведения о параметрах шифрования, убедитесь, что они верны. Например, операция "Параметры шифрования обновления" снова выполняется с существующим управляемым удостоверением, подключенным к хранилищу. Если параметры шифрования совпадают, операция обновления не затрагивается.

     Кроме того, если вы отключите или отсоедините управляемое удостоверение, используемое в параметрах шифрования, параметры шифрования будут изменены на состояние "Несогласованность", если не будете повторно включить удостоверение назначения системы (если оно использовалось), предоставьте необходимые разрешения Key Vault и снова выполните операцию обновления параметров шифрования. Для назначаемого пользователем удостоверения при повторном подключении удостоверения состояние параметров шифрования будет автоматически восстановлено, если есть разрешения Key Vault.

     

     При указании ключа шифрования с помощью полного URI ключа с компонентом версии ключ не будет автоматически добавлен. Необходимо вручную обновить ключи, указав новый ключ или версию при необходимости. Кроме того, удалите компонент версии URI ключа, чтобы получить автоматическую смену версии ключа.

     

   • Выберите из Key Vault. На панели выбора ключей перейдите и выберите ключ из хранилища ключей.

     

     При указании ключа шифрования с помощью панели выбора ключей версия ключа будет автоматически отображаться при включении новой версии ключа. Дополнительные сведения о включении автоматической активации ключей шифрования.

4. Выберите Обновить.

5. Отслеживайте ход выполнения и состояние назначения ключа шифрования в разделе "Уведомления".

   Обновление параметров шифрования

Параметры шифрования можно обновлять в любое время. Если вы хотите использовать новый URI ключа, убедитесь, что существующее хранилище ключей по-прежнему имеет доступ к управляемому удостоверению и ключ действителен. В противном случае операция обновления завершится ошибкой.

Управляемое удостоверение, которое требуется использовать для шифрования, должно иметь соответствующие разрешения.

Резервное копирование в хранилище, зашифрованное с помощью ключей, управляемых клиентом

Перед настройкой защиты резервных копий убедитесь, что вы успешно выполнили следующие действия.

• Создано хранилище резервных копий.
• Включено управляемое удостоверение, назначаемое системой, резервное хранилище или назначаемое пользователем управляемое удостоверение в хранилище.
• Назначены разрешения для хранилища резервных копий (или управляемого удостоверения, назначаемого пользователем) для доступа к ключам шифрования из хранилища ключей.
• Включена обратимая защита удаления и очистки хранилища ключей.
• Назначен действительный ключ шифрования для хранилища резервных копий.

Процесс настройки и выполнения резервных копий в хранилище резервных копий, зашифрованном с помощью CMKs, совпадает с процессом настройки и выполнения резервных копий в хранилище, использующее PMKs. Изменения в интерфейсе отсутствуют.

Поддержка частных конечных точек

Azure Key Vault можно использовать с частной конечной точкой (PE) с помощью управляемого удостоверения, назначаемого системой.

Если доступ к общедоступной сети Azure Key Vault отключен, ограничения доступа не позволят использовать портал Azure за пределами сетевого компьютера с поддержкой частной конечной точки, чтобы выбрать Key Vault и ключ в колонке "Параметры шифрования". Однако вы можете использовать универсальный код ресурса (URI ) ключа Key Vault для предоставления сведений о ключе Key Vault в параметрах шифрования.

Устранение ошибок операции для параметров шифрования

В этом разделе перечислены различные сценарии устранения неполадок, которые могут возникнуть для шифрования хранилища резервных копий.

Сбои резервных копий, восстановления и фоновых операций

Причины

• Причина 1. Если возникла проблема с параметрами шифрования хранилища резервных копий, например вы удалили разрешения Key Vault из управляемого удостоверения параметров шифрования, отключенного удостоверения, назначаемого системой, или отсоединили или удалили управляемое удостоверение из хранилища резервных копий, которое вы используете для параметров шифрования, а затем задания резервного копирования и восстановления завершаются сбоем.

• Причина 2. Многоуровневость точек восстановления и заданий окончания срока действия точек восстановления завершится сбоем без отображения ошибок в портал Azure или других интерфейсах (например, REST API или CLI). Эти операции по-прежнему завершаются сбоем и будут нести расходы.

Рекомендованные действия

• Рекомендация 1. Восстановление разрешений, обновление сведений об управляемом удостоверении, имеющих доступ к хранилищу ключей.

• Рекомендация 2. Восстановление необходимых параметров шифрования в хранилище резервных копий.

Отсутствующие разрешения для управляемого удостоверения

Код ошибки:UserErrorCMKMissingMangedIdentityPermissionOnKeyVault

Причина: эта ошибка возникает, когда:

• Управляемое удостоверение, используемое для параметров шифрования, не имеет разрешений на доступ к хранилищу ключей. Кроме того, задания резервного копирования или восстановления могут завершиться ошибкой с этим кодом ошибки, если доступ удаляется после обновления параметров шифрования или управляемого удостоверения отключен или отключен из хранилища резервных копий.
• Вы используете универсальный код ресурса (URI) ключей, отличных от RSA.

Рекомендуемое действие. Убедитесь, что управляемое удостоверение, используемое для параметров шифрования, имеет необходимые разрешения, а ключ — тип RSA. Затем повторите операцию.

Сбой проверки подлинности Хранилища

Код ошибки:UserErrorCMKKeyVaultAuthFailure

Причина. Управляемое удостоверение в параметрах шифрования не имеет необходимых разрешений для доступа к хранилищу ключей или ключу. Управляемое удостоверение хранилища резервных копий (назначаемое системой или назначаемое пользователем удостоверение, используемое для параметров шифрования), должно иметь следующие разрешения в хранилище ключей:

• Если хранилище ключей использует конфигурацию RBAC, основанную на IAM, вам потребуются разрешения на шифрование шифрования службы шифрования key Vault.

• Если вы используете политики доступа, вам нужны разрешения Get, Wrap and Unwrap .

• Хранилище ключей и ключ не существуют и недоступны для службы архивации Azure с помощью параметров сети.

Рекомендуемое действие. Проверьте политики доступа Key Vault и предоставьте соответствующие разрешения.

Сбой удаления хранилища

Код ошибки:CloudServiceRetryableError

Причина. Если возникла проблема с параметрами шифрования Хранилища резервных копий (например, удалены разрешения Key Vault/MHSM из управляемого удостоверения параметров шифрования, отключенное системное удостоверение, отсоединено или удалено управляемое удостоверение из хранилища резервных копий, используемого для параметров шифрования, или ключ хранилища ключей или ключа MHSM), удаление хранилища может завершиться ошибкой.

Рекомендуемое действие. Чтобы устранить эту проблему, выполните указанные ниже действия.

• Убедитесь, что управляемое удостоверение, используемое для параметров шифрования, по-прежнему имеет разрешения на доступ к хранилищу ключей или MHSM. Восстановите их перед удалением хранилища.
• Повторно включите управляемое удостоверение и назначьте необходимые разрешения Key Vault или MHSM.
• Если ключ хранилища ключей удален, удаление хранилища может завершиться ошибкой. Однако чтобы восстановить удаленный ключ из состояния обратимого удаления , убедитесь, что у вас есть необходимые разрешения на управляемое удостоверение в хранилище ключей или MHSM, а затем повторите операцию удаления хранилища резервных копий.

Проверка кодов ошибок

Azure Backup проверяет выбранный Azure Key Vault при применении CMK к хранилищу резервных копий. Если в Key Vault нет необходимых параметров конфигурации (включено обратимое удаление и включена защита от очистки), отображаются следующие коды ошибок:

UserErrorCMKPurgeProtectionNotEnabledOnKeyVault

Код ошибки:UserErrorCMKPurgeProtectionNotEnabledOnKeyVault

Причина. Обратимое удаление не включено в Key Vault.

Рекомендуемое действие. Включите обратимое удаление в Key Vault, а затем повторите операцию.

UserErrorCMKSoftDeleteNotEnabledOnKeyVault

Код ошибки:UserErrorCMKSoftDeleteNotEnabledOnKeyVault

Причина. Защита очистки не включена в Key Vault.

Рекомендуемое действие. Включите защиту очистки в Key Vault, а затем повторите операцию.

Следующий шаг

• Общие сведения о функциях безопасности в Azure Backup.
• Шифрование данных резервного копирования с помощью ключей, управляемых клиентом
• Шифрование данных неактивных данных
• Шифрование службы хранилища Azure для неактивных данных