Поделиться через

Устранение неполадок, связанных с ключом, управляемым клиентом

  • Статья

Эта статья является четвертой частью в серии учебников из четырех частей. Часть одна содержит обзор ключей, управляемых клиентом, их функций и рекомендаций, прежде чем включить его в реестре. В первой части вы узнаете, как включить управляемый клиентом ключ с помощью Azure CLI, портал Azure или шаблона Azure Resource Manager. В третьей части вы узнаете, как повернуть, обновить и отозвать управляемый клиентом ключ. Эта статья поможет устранить распространенные проблемы с ключами, управляемыми клиентом.

Ошибка при удалении управляемого удостоверения

Если вы пытаетесь удалить назначаемое пользователем или назначаемое системой управляемое удостоверение, используемое для настройки шифрования реестра, может появиться сообщение об ошибке:

Azure resource '/subscriptions/xxxx/resourcegroups/myGroup/providers/Microsoft.ContainerRegistry/registries/myRegistry' does not have access to identity 'xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx' Try forcibly adding the identity to the registry <registry name>. For more information on bring your own key, please visit 'https://aka.ms/acr/cmk'.

Невозможно изменить (повернуть) ключ шифрования. Шаги разрешения зависят от типа удостоверения, используемого для шифрования.

Удаление удостоверения, назначаемого пользователем

Если при попытке удалить удостоверение, назначаемое пользователем, возникает ошибка, выполните следующие действия.

  1. Переназначьте удостоверение, назначаемое пользователем, с помощью команды az acr identity assign .

  2. Передайте идентификатор ресурса, назначаемого пользователем, или используйте имя удостоверения, если оно находится в той же группе ресурсов, что и реестр.

    Например:

    az acr identity assign -n myRegistry \
    --identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"

  3. Измените ключ и назначьте другое удостоверение.

  4. Теперь можно удалить исходное удостоверение, назначаемое пользователем.

Удаление назначаемого системой удостоверения

Если при попытке удалить назначаемое системой удостоверение возникает ошибка, создайте запрос поддержка Azure на помощь по восстановлению удостоверения.

Ошибка после включения брандмауэра хранилища ключей

Если вы включите брандмауэр хранилища ключей или виртуальную сеть после создания зашифрованного реестра, вы можете увидеть HTTP 403 или другие ошибки при импорте образа или автоматической ротации ключей. Чтобы устранить эту проблему, перенастройьте управляемое удостоверение и ключ, которые изначально использовались для шифрования. См. действия, описанные в разделе "Смена ключа, управляемого клиентом".

Если проблема не исчезла, обратитесь в службу поддержки Azure.

Ошибка истечения срока действия удостоверения

Удостоверение, подключенное к реестру, устанавливается для автоматического восстановления, чтобы избежать истечения срока действия. Если вы отсоединяете удостоверение от реестра, сообщение об ошибке возникает, объясняющее, что не удается удалить удостоверение, используемое для CMK. Попытка удалить удостоверение ставит под угрозу автоматическое обновление удостоверения. Операции извлечения и отправки артефактов работают до истечения срока действия удостоверения (обычно три месяца). После истечения срока действия удостоверения вы увидите HTTP 403 с сообщением об ошибке "Удостоверение, связанное с реестром, неактивно. Это может быть вызвано попыткой удаления удостоверения. Переназначьте удостоверение вручную".

Необходимо переназначить удостоверение обратно в реестр явным образом.

  1. Запустите команду az acr identity assign, чтобы переназначить удостоверение вручную.

    • Например,
    az acr identity assign -n myRegistry \
--identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"

Случайное удаление хранилища ключей или ключа

Удаление хранилища ключей или ключа, используемого для шифрования реестра с помощью ключа, управляемого клиентом, делает содержимое реестра недоступным. Если обратимое удаление включено в хранилище ключей (параметр по умолчанию), можно восстановить объект удаленного хранилища или хранилища ключей и возобновить операции с реестром.

Следующие шаги

Сценарии об удалении и восстановлении хранилища ключей см. в статье Управление восстановлением Azure Key Vault с обратимым удалением и защитой от очистки.