Felsöka en kundhanterad nyckel
Den här artikeln är del fyra i en självstudieserie i fyra delar. Del ett innehåller en översikt över kundhanterade nycklar, deras funktioner och överväganden innan du aktiverar en i registret. I del två får du lära dig hur du aktiverar en kundhanterad nyckel med hjälp av Azure CLI, Azure Portal eller en Azure Resource Manager-mall. I del tre får du lära dig hur du roterar, uppdaterar och återkallar en kundhanterad nyckel. Den här artikeln hjälper dig att felsöka och lösa vanliga problem med kundhanterade nycklar.
Fel när du tar bort en hanterad identitet
Om du försöker ta bort en användartilldelad eller systemtilldelad hanterad identitet som du använde för att konfigurera kryptering för registret kan det uppstå ett fel:
Azure resource '/subscriptions/xxxx/resourcegroups/myGroup/providers/Microsoft.ContainerRegistry/registries/myRegistry' does not have access to identity 'xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx' Try forcibly adding the identity to the registry <registry name>. For more information on bring your own key, please visit 'https://aka.ms/acr/cmk'.
Du kan inte ändra (rotera) krypteringsnyckeln. Lösningsstegen beror på vilken typ av identitet du använde för kryptering.
Ta bort en användartilldelad identitet
Om du får felet när du försöker ta bort en användartilldelad identitet följer du dessa steg:
Tilldela om den användartilldelade identiteten med kommandot az acr identity assign .
Skicka den användartilldelade identitetens resurs-ID eller använd identitetens namn när den finns i samma resursgrupp som registret.
Till exempel:
az acr identity assign -n myRegistry \ --identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"Ändra nyckeln och tilldela en annan identitet.
Nu kan du ta bort den ursprungliga användartilldelade identiteten.
Ta bort en systemtilldelad identitet
Om du får felet när du försöker ta bort en systemtilldelad identitet skapar du en Azure Support-biljett för hjälp med att återställa identiteten.
Fel när du har aktiverat en key vault-brandvägg
Om du aktiverar en nyckelvalvsbrandvägg eller ett virtuellt nätverk när du har skapat ett krypterat register kan http 403 eller andra fel visas med avbildningsimport eller automatisk nyckelrotation. Du kan åtgärda det här problemet genom att konfigurera om den hanterade identiteten och nyckeln som du ursprungligen använde för kryptering. Se stegen i Rotera en kundhanterad nyckel.
Kontakta Azure Support om problemet kvarstår.
Förfallofel för identitet
Identiteten som är kopplad till ett register har angetts för autorenewal för att undvika förfallodatum. Om du kopplar bort en identitet från ett register visas ett felmeddelande som förklarar att du inte kan ta bort den identitet som används för CMK. Om du försöker ta bort identiteten äventyras identitetens autorenewal. Artefaktens pull-/push-åtgärder fungerar tills identiteten upphör att gälla (vanligtvis tre månader). När identiteten har upphört att gälla visas HTTP 403 med felmeddelandet "Identiteten som är associerad med registret är inaktiv. Detta kan bero på ett försök att ta bort identiteten. Omtilldela identiteten manuellt".
Du måste omtilldela identiteten till registret explicit.
Kör kommandot az acr identity assign för att tilldela om identiteten manuellt.
- Ett exempel:
az acr identity assign -n myRegistry \ --identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"
Oavsiktlig borttagning av ett nyckelvalv eller nyckel
Borttagning av nyckelvalvet, eller nyckeln, som används för att kryptera ett register med en kundhanterad nyckel gör registrets innehåll otillgängligt. Om mjuk borttagning är aktiverat i nyckelvalvet (standardalternativet) kan du återställa ett borttaget valv eller key vault-objekt och återuppta registeråtgärder.
Nästa steg
Information om scenarier för borttagning och återställning av nyckelvalv finns i Azure Key Vault-återställningshantering med skydd mot mjuk borttagning och rensning.