Управление секретами Azure Stack Edge с помощью Azure Key Vault

ОБЛАСТЬ ПРИМЕНЕНИЯ: Azure Stack Edge Pro — GPUAzure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R

Azure Key Vault интегрирован с ресурсом Azure Stack Edge для управления секретами. В этой статье содержатся сведения о создании Azure Key Vault для ресурса Azure Stack Edge во время активации устройства, а затем используется для управления секретами.

Сведения о хранилище ключей и Azure Stack Edge

Облачная служба Azure Key Vault используется для безопасного хранения и управления доступом к маркерам, паролям, сертификатам, ключам API и другим секретам. Key Vault также упрощает создание и управление ключами шифрования, используемыми для шифрования данных.

Для службы Azure Stack Edge интеграция с хранилищем ключей обеспечивает следующие преимущества:

• Хранит секреты клиента. Одним из секретов, используемых для службы Azure Stack Edge, является ключ целостности канала (CIK). Этот ключ позволяет шифровать секреты и безопасно храниться в хранилище ключей. Секреты устройств, такие как ключ восстановления BitLocker и пароль пользователя контроллера управления базовой платой (BMC), также хранятся в хранилище ключей.

  Дополнительные сведения см. в разделе "Безопасное хранение секретов и ключей".

• Передает зашифрованные секреты клиента на устройство.

• Отображает секреты устройства для простого доступа, если устройство не работает.

Создание ключа активации и создание хранилища ключей

Хранилище ключей создается для ресурса Azure Stack Edge во время создания ключа активации. Хранилище ключей создается в той же группе ресурсов, где присутствует ресурс Azure Stack Edge. Разрешение участника требуется в хранилище ключей.

Предварительные требования для хранилища ключей

Перед созданием хранилища ключей во время активации необходимо выполнить следующие предварительные требования:

• Зарегистрируйте поставщика ресурсов Microsoft.KeyVault перед созданием ресурса Azure Stack Edge. Поставщик ресурсов автоматически регистрируется, если у вас есть доступ владельца или участника к подписке. Хранилище ключей создается в той же подписке и группе ресурсов, что и ресурс Azure Stack Edge.

• При создании ресурса Azure Stack Edge также создается управляемое удостоверение, назначаемое системой, которое сохраняется в течение всего времени существования ресурса и взаимодействует с поставщиком ресурсов в облаке.

  Если управляемое удостоверение включено, Azure создает доверенное удостоверение для ресурса Azure Stack Edge.

Создание хранилища ключей

После создания ресурса необходимо активировать ресурс с устройством. Для этого вы создадите ключ активации из портал Azure.

При создании ключа активации происходят следующие события:

• Вы запрашиваете ключ активации в портал Azure. Затем запрос отправляется поставщику ресурсов хранилища ключей.
• Хранилище ключей уровня "Стандартный" с политикой доступа создается и заблокировано по умолчанию.

  • В этом хранилище ключей используется имя по умолчанию или от 3 до 24 символов, указанное вами. Нельзя использовать хранилище ключей, которое уже используется.

  • Сведения о хранилище ключей хранятся в службе. Это хранилище ключей используется для управления секретами и сохраняется до тех пор, пока существует ресурс Azure Stack Edge.

    

• Блокировка ресурсов включена в хранилище ключей, чтобы предотвратить случайное удаление. Обратимое удаление также включено в хранилище ключей, которое позволяет восстановить хранилище ключей в течение 90 дней, если произошло случайное удаление. Дополнительные сведения см. в статье Общие сведения об обратимом удалении в Azure Key Vault.
• Теперь включено управляемое удостоверение, назначаемое системой, которое было создано при создании ресурса Azure Stack Edge.
• Ключ целостности канала (CIK) создается и помещается в хранилище ключей. Сведения О CIK отображаются в службе.
• Учетная запись хранения с избыточностью зоны (ZRS) также создается в той же области, что и ресурс Azure Stack Edge, а блокировка помещается в учетную запись.
  • Эта учетная запись используется для хранения журналов аудита.
  • Создание учетной записи хранения является длительным процессом и занимает несколько минут.
  • Учетная запись хранения помечена именем хранилища ключей.
• Параметр диагностика добавляется в хранилище ключей, а ведение журнала включено.
• Управляемое удостоверение добавляется в политику доступа к хранилищу ключей, чтобы разрешить доступ к хранилищу ключей, так как устройство использует хранилище ключей для хранения и извлечения секретов.
• Хранилище ключей проверяет подлинность запроса с помощью управляемого удостоверения для создания ключа активации. Ключ активации возвращается в портал Azure. Затем вы можете скопировать этот ключ и использовать его в локальном пользовательском интерфейсе для активации устройства.

Примечание.

• Если у вас был существующий ресурс Azure Stack Edge до интеграции Azure Key Vault с ресурсом Azure Stack Edge, вы не пострадали. Вы можете продолжать использовать существующий ресурс Azure Stack Edge.
• Создание хранилища ключей и учетной записи хранения добавляет к общей стоимости ресурсов. Дополнительные сведения о разрешенных транзакциях и соответствующих расходах см. в разделе "Цены" для Azure Key Vault и цены на учетную запись хранения.

Если возникнут проблемы, связанные с хранилищем ключей и активацией устройств, см. статью "Устранение неполадок с активацией устройства".

Просмотр свойств хранилища ключей

После создания ключа активации и создания хранилища ключей может потребоваться получить доступ к хранилищу ключей для просмотра секретов, политик доступа, диагностика и аналитических сведений. В следующей процедуре описывается каждая из этих операций.

Просмотр секретов

После создания ключа активации и создания хранилища ключей может потребоваться получить доступ к хранилищу ключей.

Чтобы получить доступ к хранилищу ключей и просмотреть секреты, выполните следующие действия.

1. В портал Azure для ресурса Azure Stack Edge перейдите в раздел "Безопасность".

2. В области справа в разделе "Безопасность" можно просмотреть секреты.

3. Вы также можете перейти к хранилищу ключей, связанному с ресурсом Azure Stack Edge. Выберите имя хранилища ключей.

   

4. Чтобы просмотреть секреты, хранящиеся в хранилище ключей, перейдите в раздел "Секреты". Ключ целостности каналов, ключ восстановления BitLocker и пароли пользователей контроллера управления базовыми дисками хранятся в хранилище ключей. Если устройство выходит из строя, портал предоставляет простой доступ к ключу восстановления BitLocker и паролю пользователя BMC.

   

Просмотр политик доступа к управляемым удостоверениям

Чтобы получить доступ к политикам доступа для хранилища ключей и управляемого удостоверения, выполните следующие действия.

1. В портал Azure для ресурса Azure Stack Edge перейдите в раздел "Безопасность".

2. Выберите ссылку, соответствующую имени хранилища ключей, чтобы перейти к хранилищу ключей, связанному с ресурсом Azure Stack Edge.

   

3. Чтобы просмотреть политики доступа, связанные с хранилищем ключей, перейдите к политикам Access. Вы увидите, что управляемое удостоверение было предоставлено доступу. Выберите Разрешения секрета. Вы увидите, что доступ к управляемому удостоверению ограничен только набором секретов.

   

Просмотр журналов аудита

Чтобы получить доступ к хранилищу ключей и просмотреть параметры диагностика и журналы аудита, выполните следующие действия.

1. В портал Azure для ресурса Azure Stack Edge перейдите в раздел "Безопасность".

2. Выберите ссылку, соответствующую имени хранилища ключей, чтобы перейти к хранилищу ключей, связанному с ресурсом Azure Stack Edge.

   

3. Чтобы просмотреть параметры диагностика, связанные с хранилищем ключей, перейдите к параметрам диагностики. Этот параметр позволяет отслеживать, как и когда доступ к хранилищам ключей осуществляется и кем. Вы можете увидеть, что был создан параметр диагностика. Журналы отправляются в созданную учетную запись хранения. События аудита также создаются в хранилище ключей.

   

Если вы настроили другой целевой объект хранения для журналов в хранилище ключей, можно просмотреть журналы непосредственно в этой учетной записи хранения.

Просмотр аналитики

Чтобы получить доступ к аналитическим сведениям хранилища ключей, включая операции, выполняемые в хранилище ключей, выполните следующие действия.

1. В портал Azure для ресурса Azure Stack Edge перейдите в раздел "Безопасность".

2. Выберите ссылку, соответствующую хранилищу ключей диагностика.

   

3. В колонке "Аналитика" представлен обзор операций, выполняемых в хранилище ключей.

   

Просмотр состояния управляемого удостоверения

Чтобы просмотреть состояние управляемого удостоверения, назначаемого системой, связанного с ресурсом Azure Stack Edge, выполните следующие действия.

1. В портал Azure для ресурса Azure Stack Edge перейдите в раздел "Безопасность".

2. В правой области перейдите к управляемому удостоверению , назначаемого системой, чтобы просмотреть, включена ли или отключена управляемое удостоверение, назначаемое системой.

   

Просмотр блокировок хранилища ключей

Чтобы получить доступ к хранилищу ключей и просмотреть блокировки, выполните следующие действия.

1. В портал Azure для ресурса Azure Stack Edge перейдите в раздел "Безопасность".

2. Выберите ссылку, соответствующую имени хранилища ключей, чтобы перейти к хранилищу ключей, связанному с ресурсом Azure Stack Edge.

   

3. Чтобы просмотреть блокировки в хранилище ключей, перейдите в раздел "Блокировки". Чтобы предотвратить случайное удаление, в хранилище ключей включена блокировка ресурсов.

   

Повторное создание ключа активации

В некоторых случаях может потребоваться повторно создать ключ активации. При повторном создании ключа активации происходят следующие события:

1. Запрос на повторное создание ключа активации в портал Azure.
2. Ключ активации возвращается в портал Azure. Затем вы можете скопировать этот ключ и использовать его.

Хранилище ключей не обращается при повторном создании ключа активации.

Восстановление секретов устройства

Если CIK случайно удален или секреты (например, пароль пользователя BMC) стали устаревшими в хранилище ключей, вам потребуется отправить секреты с устройства, чтобы обновить секреты хранилища ключей.

Выполните следующие действия, чтобы синхронизировать секреты устройства:

1. В портал Azure перейдите к ресурсу Azure Stack Edge и перейдите в раздел "Безопасность".

2. В правой области в верхней панели команд выберите "Синхронизация секретов устройства".

3. Секреты устройства отправляются в хранилище ключей для восстановления или обновления секретов в хранилище ключей. При завершении синхронизации появится уведомление.

   

Удаление хранилища ключей

Существует два способа удаления хранилища ключей, связанного с ресурсом Azure Stack Edge:

• Удалите ресурс Azure Stack Edge и удалите связанное хранилище ключей одновременно.
• Случайно удалил хранилище ключей напрямую.

При удалении ресурса Azure Stack Edge хранилище ключей также удаляется с ресурсом. Появляется сообщение с предложением подтвердить операцию. Если вы храните другие ключи в этом хранилище ключей и не собираетесь удалять это хранилище ключей, вы можете не предоставить согласие. Только ресурс Azure Stack Edge удаляется, оставляя хранилище ключей нетронутым.

Выполните следующие действия, чтобы удалить ресурс Azure Stack Edge и связанное хранилище ключей:

1. В портал Azure перейдите к ресурсу Azure Stack Edge и перейдите к обзору.

2. В правой области нажмите кнопку "Удалить". Это действие приведет к удалению ресурса Azure Stack Edge.

   

3. Появится колонка подтверждения. Введите имя ресурса Azure Stack Edge. Чтобы подтвердить удаление связанного хранилища ключей, введите "Да".

   

4. Выберите команду Удалить.

Ресурс Azure Stack Edge и хранилище ключей удаляются.

Хранилище ключей может быть случайно удалено при использовании ресурса Azure Stack Edge. В этом случае на странице "Безопасность" для ресурса Azure Stack Edge возникает критическое оповещение. Вы можете перейти на эту страницу, чтобы восстановить хранилище ключей.

Восстановление хранилища ключей

Хранилище ключей, связанное с ресурсом Azure Stack Edge, можно восстановить, если оно удалено случайно или удалено. Если это хранилище ключей использовалось для хранения других ключей, необходимо восстановить эти ключи путем восстановления хранилища ключей.

• В течение 90 дней после удаления можно восстановить хранилище ключей, которое было удалено.
• Если период защиты от очистки в течение 90 дней уже истек, невозможно восстановить хранилище ключей. Вместо этого необходимо создать новое хранилище ключей.

В течение 90 дней после удаления выполните следующие действия, чтобы восстановить хранилище ключей:

• В портал Azure перейдите на страницу "Безопасность" ресурса Azure Stack Edge. Вы увидите уведомление о том, что хранилище ключей, связанное с вашим ресурсом, было удалено. Чтобы восстановить хранилище ключей, вы можете выбрать уведомление или выбрать перенастройку в имени хранилища ключей в разделе "Параметры безопасности".

  

• В колонке "Восстановить хранилище ключей" выберите "Настроить". Следующие операции выполняются как часть восстановления:

  

  • Хранилище ключей восстанавливается с тем же именем, и блокировка помещается в ресурс хранилища ключей.

    Примечание.

    Если хранилище ключей удаляется, а период защиты от очистки в течение 90 дней не истек, то в этом периоде имя хранилища ключей нельзя использовать для создания нового хранилища ключей.

  • Учетная запись хранения создается для хранения журналов аудита.

  • Управляемое удостоверение, назначаемое системой, предоставляется доступ к хранилищу ключей.

  • Секреты устройств отправляются в хранилище ключей.

  Выберите Настроить.

  

  Хранилище ключей восстанавливается и по завершении восстановления отображается уведомление для этого эффекта.

Если хранилище ключей удаляется и срок защиты от очистки в течение 90 дней истек, вы сможете создать новое хранилище ключей с помощью процедуры восстановления ключа, описанной выше. В этом случае вы укажите новое имя хранилища ключей. Создается новая учетная запись хранения, управляемое удостоверение предоставляется доступ к этому хранилищу ключей, а секреты устройств отправляются в это хранилище ключей.

Восстановление доступа к управляемому удостоверению

Если политика доступа к управляемому удостоверению, назначаемая системой, удаляется, оповещение возникает, когда устройство не может повторно синхронизировать секреты хранилища ключей. Если у управляемого удостоверения нет доступа к хранилищу ключей, снова вызывается оповещение устройства. Выберите оповещение в каждом случае, чтобы открыть колонку "Восстановить хранилище ключей" и перенастроить его. Этот процесс должен восстановить доступ к управляемому удостоверению.

Следующие шаги

• Узнайте больше о том, как создать ключ активации.
• Устранение ошибок хранилища ключей на устройстве Azure Stack Edge.