Поделиться через

Использование ключей, управляемых клиентом, в Azure Key Vault для Azure Data Box.

  • Статья

Azure Data Box защищает ключ разблокировки устройства (также называемый паролем устройства), который используется для блокировки устройства с помощью ключа шифрования. По умолчанию этот ключ шифрования управляется корпорацией Майкрософт. Для дополнительного контроля можно использовать ключ, управляемый клиентом.

Использование ключа, управляемого клиентом, не влияет на шифрование данных на устройстве. Он влияет только на шифрование ключа разблокировки устройства.

Чтобы обеспечить этот уровень контроля в рамках процесса заказа, используйте ключ, управляемый клиентом, при создании заказа. Дополнительные сведения см. в статье Руководство по оформлению заказа на Azure Data Box.

В этой статье показано, как включить ключ, управляемый клиентом, для существующего заказа Data Box на портале Azure. Вы узнаете, как изменить хранилище ключей, ключ, версию или удостоверение для текущего управляемого клиентом ключа или вернуться к использованию ключа, управляемого Майкрософт.

Эта статья относится к устройствам как Azure Data Box, так и Azure Data Box Heavy.

Требования

Ключ, управляемый клиентом, для заказа Data Box, должен соответствовать следующим требованиям.

  • Ключ должен быть создан и сохранен в Azure Key Vault, в котором включено обратимое удаление и защита от очистки. Дополнительные сведения см. в статье Что такое хранилище ключей Azure? Хранилище ключей и ключ можно создать при формировании или обновлении заказа.
  • В качестве ключа нужно использовать ключ RSA размером 2048 или больше.
  • Необходимо включить Getключ UnwrapKeyи WrapKey разрешения для ключа в Azure Key Vault. Разрешения должны оставаться на месте в течение всего времени существования заказа. В противном случае ключ, управляемый клиентом, не может бытьдоступ в начале этапа копирования данных.

Включение ключа

Чтобы включить ключ, управляемый клиентом для существующего заказа Data Box на портале Azure, выполните следующие действия.

  1. Перейдите на экран обзора заказа Data Box.

    Экран обзора заказа Data Box ― 1

  2. Перейдите в раздел "Шифрование параметров>" и выберите управляемый клиентом ключ. Затем выберите Выбрать ключ и хранилище ключей.

    Выбор параметра ключа шифрования, управляемого клиентом

    На экране Выбор ключа из Azure Key Vault подписка указывается автоматически.

  3. В качестве Хранилища ключей можно выбрать существующее хранилище ключей из раскрывающегося списка или выбрать Создать и создать новое хранилище ключей.

    Параметры хранилища ключей при выборе ключа, управляемого клиентом

    Чтобы создать новое хранилище ключей, введите подписку, группу ресурсов, имя хранилища ключей и другие сведения на экране Создание хранилища ключей. В разделе Варианты восстановления должны быть включены настройки Обратимое удаление и Защита от очистки. Щелкните Просмотр и создание.

    Проверка и создание Azure Key Vault

    Проверьте сведения о хранилище ключей и выберите Создать. Подождите несколько минут, пока не завершится создание хранилища ключей.

    Создание Azure Key Vault с заданными параметрами

  4. На экране Выбор ключа из Azure Key Vault можно выбрать существующий ключ из хранилища ключей или создать новый.

    Выбор ключа в Azure Key Vault

    Если вы хотите создать новый ключ, выберите Создать новый. Необходимо использовать ключ RSA. Размер ключа может составлять 2048 бит или больше.

    Создание ключа в Azure Key Vault

    Введите имя для нового ключа, примите остальные значения по умолчанию и нажмите кнопку Создать. Вы получите уведомление о создании ключа в хранилище ключей.

    Задание имени нового ключа

  5. В поле Версия можно выбрать существующую версию ключа из раскрывающегося списка.

    Выберите версию для нового ключа

    Если вы хотите сформировать новую версию ключа, выберите Создать новую.

    Диалоговое окно для создания новой версии ключа

    Выберите параметры для новой версии ключа и выберите команду Создать.

    Создание версии ключа

  6. Указав хранилище ключей, ключ и версию ключа, нажмите кнопку Выбрать.

    Ключ в Azure Key Vault

    Параметры Тип шифрования показывают выбранное хранилище ключей и ключ.

    Ключ и хранилище ключей для управляемого клиентом ключа

  7. Выберите тип удостоверения, которое будет использоваться для управляемого клиентом ключа, предназначенного для этого ресурса. Можно использовать назначенное системой удостоверение, сформированное во время создания заказа, или выбрать удостоверение, назначенное пользователем.

    Назначенное пользователем удостоверение — это независимый ресурс, который можно использовать для управления доступом к ресурсам. Дополнительные сведения см. в статье Что такое управляемые удостоверения для ресурсов Azure?

    Выбор типа удостоверения

    Чтобы назначить удостоверение пользователя, выберите Назначенное пользователем. Затем нажмите Выбрать удостоверение пользователяи выберите управляемое удостоверение, которое вы хотите использовать.

    Выбор удостоверения

    Здесь нельзя создать новое удостоверение пользователя. Информацию о том, как создавать новое удостоверение см. в статье Создание, перечисление, удаление или назначение роли назначаемому и управляемому пользователем удостоверению с помощью портала Azure.

    Выбранное удостоверение пользователя отображается в параметрах Тип шифрования.

    Выбранное удостоверение пользователя отображается в параметрах

  8. Нажмите кнопку Сохранить, чтобы сохранить обновленные параметры типа шифрования.

    Сохранение управляемого клиентом ключа

    URL-адрес ключа отображается в разделе Тип шифрования.

    URL-адрес ключа, управляемого клиентом

Внимание

Необходимо включить GetUnwrapKeyWrapKey и разрешения ключа. Сведения о настройке разрешений в Azure CLI см. в статье az keyvault set-policy.

Изменить ключ

Чтобы изменить хранилище ключей, ключ или версию для ключа, управляемого клиентом, выполните следующие действия.

  1. На экране Обзор для заказа Data Box выберите Параметры > Шифрование и нажмите кнопку Изменить ключ.

    Обзорная страница заказа Data Box с ключом, управляемым клиентом — 1

  2. Нажмите Выбрать другое хранилище ключей и ключ.

    Экран обзора заказа Data Box, команда выбора другого ключа и хранилища ключей

  3. На экране Выбор ключа из хранилища ключей отображается подписка, но нет хранилища ключей, ключа или версии ключа. Внесите любые из следующих изменений:

    • Выберите другой ключ из того же хранилища ключей. Перед выбором ключа и версии необходимо выбрать хранилище ключей.

    • Выберите другое хранилище ключей и назначьте новый ключ.

    • Измените версию текущего ключа.

    Завершив изменения, нажмите кнопку Выбрать.

    Выбор параметра шифрования ― 2

  4. Выберите Сохранить.

    Сохранение обновленных параметров шифрования — 1

Внимание

Необходимо включить GetUnwrapKeyWrapKey и разрешения ключа. Сведения о настройке разрешений в Azure CLI см. в статье az keyvault set-policy.

Изменение удостоверения

Чтобы изменить удостоверение, используемое для управления доступом к ключу, управляемому клиентом для этого заказа, выполните следующие действия.

  1. На экране Обзор для готового заказа Data Box выберите Параметры>Шифрование.

  2. Внесите любые из следующих изменений:

    • Чтобы выбрать другое удостоверение пользователя, щелкните Выбрать другое удостоверение пользователя. Затем выберите другое удостоверение на панели в правой части экрана и нажмите кнопку Выбрать.

      Команда для изменения удостоверения, назначенного пользователем для ключа, управляемого клиентом

    • Чтобы переключиться на системное удостоверение, созданное во время формирования заказа, выберите Назначенное системой с помощью рядом с пунктом Тип удостоверения.

      Возможность перехода на назначенное системой удостоверение для ключа, управляемого клиентом

  3. Выберите Сохранить.

    Сохранение обновленных параметров шифрования — 2

Использование ключей, управляемых корпорацией Майкрософт

Чтобы перейти от использования ключа, управляемого клиентом, к ключу, управляемому корпорацией Майкрософт для своего заказа, выполните следующие действия.

  1. На экране Обзор для готового заказа Data Box выберите Параметры>Шифрование.

  2. Рядом с пунктом Выбор типа выберите Ключ, управляемый Майкрософт.

    Экран обзора заказа Data Box ― 5

  3. Выберите Сохранить.

    Сохранение обновленных параметров шифрования для ключа, управляемого Майкрософт

Устранение неполадок

Если вы получаете ошибки, связанные с управляемым клиентом ключом, воспользуйтесь следующей таблицей для устранения неполадок.

Код ошибки Сведения об ошибке Восстановимая
SsemUserErrorEncryptionKeyDisabled Не удалось получить ключ доступа, так как ключ, управляемый клиентом, отключен. Да, включив версию ключа.
SsemUserErrorEncryptionKeyExpired Не удалось получить ключ доступа по мере истечения срока действия ключа, управляемого клиентом. Да, включив версию ключа.
SsemUserErrorKeyDetailsNotFound Не удалось получить ключ доступа, так как ключ, управляемый клиентом, не удалось найти. Если вы удалили хранилище ключей, вы не сможете восстановить ключ, управляемый клиентом. Если вы перенесли хранилище ключей на другой клиент, см. статью Изменение идентификатора клиента хранилища ключей после перемещения подписки. Если вы удалили хранилище ключей:
  1. Да, если срок действия защиты от очистки не истек, выполните шаги, описанные в разделе Восстановление хранилища ключей.
  2. Нет, если истек срок действия защиты от очистки.

Кроме того, если хранилище ключей выполняет миграцию клиента, да, его можно восстановить с помощью одного из следующих шагов:
  1. Верните Key Vault обратно на старый клиент.
  2. Установите значение Identity = None, а затем верните обратно значение Identity = SystemAssigned. Это приведет к удалению и повторному созданию удостоверения сразу же после создания удостоверения. Включите для нового удостоверения разрешения Get, WrapKey и UnwrapKey в политике доступа Key Vault.
SsemUserErrorKeyVaultBadRequestException Применен ключ, управляемый клиентом, но доступ к ключу не предоставлен или отменен или не удается получить доступ к хранилищу ключей из-за включения брандмауэра. Добавьте удостоверение, выбранное в хранилище ключей, чтобы включить доступ к ключу, управляемому клиентом. Если в хранилище ключей включен брандмауэр, переключитесь на назначенное системой удостоверение, а затем добавьте управляемый клиентом ключ. Дополнительные сведения см. в статье Включение ключа.
SsemUserErrorKeyVaultDetailsNotFound Не удалось получить ключ доступа в качестве связанного хранилища ключей для ключа, управляемого клиентом, не удалось найти. Если вы удалили хранилище ключей, вы не сможете восстановить ключ, управляемый клиентом. Если вы перенесли хранилище ключей на другой клиент, см. статью Изменение идентификатора клиента хранилища ключей после перемещения подписки. Если вы удалили хранилище ключей:
  1. Да, если срок действия защиты от очистки не истек, выполните шаги, описанные в разделе Восстановление хранилища ключей.
  2. Нет, если истек срок действия защиты от очистки.

Кроме того, если хранилище ключей выполняет миграцию клиента, да, его можно восстановить с помощью одного из следующих шагов:
  1. Верните Key Vault обратно на старый клиент.
  2. Установите значение Identity = None, а затем верните обратно значение Identity = SystemAssigned. Это приведет к удалению и повторному созданию удостоверения сразу же после создания удостоверения. Включите для нового удостоверения разрешения Get, WrapKey и UnwrapKey в политике доступа Key Vault.
SsemUserErrorSystemAssignedIdentityAbsent Не удалось получить ключ доступа, так как ключ, управляемый клиентом, не удалось найти. Да, проверьте, есть ли:
  1. В Key Vault по-прежнему есть MSI в политике доступа.
  2. Удостоверение назначено системой.
  3. Включите Getи WrapKeyUnwrapKey разрешения для удостоверения в политике доступа к хранилищу ключей. Эти разрешения должны оставаться в течение всего времени существования заказа. Они используются во время создания заказа и в начале этапа копирования данных.
SsemUserErrorUserAssignedLimitReached Добавить новое назначенное пользователем удостоверение не удалось, так как достигнуто максимальное количество таких удостоверений, которое можно добавить. Повторите операцию с меньшим количеством удостоверений пользователей или удалите некоторые удостоверения, назначенные пользователем, из ресурса, прежде чем повторить попытку.
SsemUserErrorCrossTenantIdentityAccessForbidden Сбой операции доступа для управляемого удостоверения.
Примечание. Эта ошибка может возникать при перемещении подписки в другой клиент. Клиент должен вручную переместить удостоверение в новый клиент.		 Попробуйте добавить другое удостоверение, назначаемое пользователем, в хранилище ключей, чтобы включить доступ к ключу, управляемому клиентом. Или переместите удостоверение в новый клиент, в котором присутствует подписка. Дополнительные сведения см. в статье Включение ключа.
SsemUserErrorKekUserIdentityNotFound Применен ключ, управляемый клиентом, но назначаемый пользователем идентификатор, имеющий доступ к ключу, не найден в Active Directory.
Примечание. Эта ошибка может возникать при удалении удостоверения пользователя из Azure.		 Попробуйте добавить другое удостоверение, назначаемое пользователем, в хранилище ключей, чтобы включить доступ к ключу, управляемому клиентом. Дополнительные сведения см. в статье Включение ключа.
SsemUserErrorUserAssignedIdentityAbsent Не удалось получить ключ доступа, так как ключ, управляемый клиентом, не удалось найти. Не удалось получить доступ к ключу, управляемому клиентом. Назначенное пользователю удостоверение, связанное с ключом, удалено, или его тип изменился.
SsemUserErrorKeyVaultBadRequestException Применен ключ, управляемый клиентом, но доступ к ключу не был предоставлен или отменен, или хранилище ключей не удалось получить доступ, так как брандмауэр включен. Добавьте удостоверение, выбранное в хранилище ключей, чтобы включить доступ к ключу, управляемому клиентом. Если в хранилище ключей включен брандмауэр, переключитесь на назначаемое системой удостоверение, а затем добавьте управляемый клиентом ключ. Дополнительные сведения см. в статье Включение ключа.
SsemUserErrorEncryptionKeyTypeNotSupported Тип ключа шифрования не поддерживается для операции. Включите поддерживаемый тип шифрования ключа, например RSA или RSA-HSM. Дополнительные сведения см. в разделе "Типы ключей", "Алгоритмы" и "Операции".
SsemUserErrorSoftDeleteAndPurgeProtectionNotEnabled Хранилище ключей не включает обратимое удаление или защиту очистки. Убедитесь, что в хранилище ключей включена защита от обратимого удаления и очистки.
SsemUserErrorInvalidKeyVaultUrl
(только командная строка)		 Использовался недопустимый универсальный код ресурса (URI) хранилища ключей. Получение правильного универсального кода ресурса (URI) хранилища ключей. Чтобы получить URI хранилища ключей, используйте Get-AzKeyVault в PowerShell.
SsemUserErrorKeyVaultUrlWithInvalidScheme Только HTTPS поддерживается для передачи URI хранилища ключей. Передайте универсальный код ресурса (URI) хранилища ключей по протоколу HTTPS.
SsemUserErrorKeyVaultUrlInvalidHost Узел URI хранилища ключей не является допустимым узлом в географическом регионе. В общедоступном облаке универсальный код ресурса (URI) хранилища ключей должен заканчиваться vault.azure.net. В облаке Azure для государственных организаций универсальный код ресурса (URI) хранилища ключей должен заканчиватьсяvault.usgovcloudapi.net.
Общая ошибка Не удалось получить ключ доступа. Эта ошибка является универсальной ошибкой. Обратитесь в служба поддержки Майкрософт, чтобы устранить ошибку и определить дальнейшие действия.

Следующие шаги