通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

在 Azure 密钥保管库中安全地保存和管理 MARS 代理通行短语

  • 项目

通过使用恢复服务代理 (MARS) 的 Azure 备份,可将文件/文件夹和系统状态数据备份到 Azure 恢复服务保管库。 此数据使用在 MARS 代理安装和注册期间提供的通行短语进行加密。 检索和还原备份数据需要此通行短语,并且需要将其保存在安全的外部位置。

重要

如果此通行短语丢失,Microsoft 将无法检索存储在恢复服务保管库中的备份数据。 建议将此通行短语存储在安全的外部位置,例如 Azure 密钥保管库。

现在,可以在安装新计算机期间,通过更改现有计算机的通行短语将加密通行短语作为机密从 MARS 控制台安全地保存在 Azure 密钥保管库中。 要允许将通行短语保存到 Azure 密钥保管库,必须授予恢复服务保管库在 Azure 密钥保管库中创建机密的权限。

开始之前

配置恢复服务保管库以将通行短语存储到 Azure 密钥保管库

在将通行短语保存到 Azure 密钥保管库之前,请配置恢复服务保管库和 Azure 密钥保管库,

要配置保管库,请按照给定顺序执行以下步骤,以实现预期结果。 以下部分详细讨论了每个操作:

  1. 已为恢复服务保管库启用系统分配的托管标识。
  2. 为恢复服务保管库分配权限,以便在 Azure 密钥保管库中将通行短语保存为机密。
  3. 在 Azure 密钥保管库中启用软删除和清除保护。

注意

  • 启用此功能后,不得禁用托管标识(即使是暂时禁用)。 禁用托管标识可能导致出现不一致的行为。
  • 目前不支持使用用户分配的托管标识在 Azure 密钥保管库中保存通行短语。

为恢复服务保管库启用系统分配的托管标识

选择客户端:

执行以下步骤:

  1. 转到“恢复服务保管库”>“标识”

    屏幕截图显示如何转到恢复服务保管库中的“标识”。

  2. 选择“系统分配”选项卡。

  3. 将“状态”更改为“开”。

  4. 选择“保存”,为保管库启用标识。

此时将生成一个对象 ID,即系统分配的保管库的托管标识。

分配权限以在 Azure 密钥保管库中保存通行短语

根据为密钥保管库配置的密钥保管库权限模型(基于角色的访问权限或基于访问策略的权限模型),请参阅以下部分。

使用基于角色的访问权限模型为密钥保管库启用权限

选择客户端:

要分配权限,请执行以下步骤:

  1. 转到 Azure 密钥保管库>“设置”>“访问配置”,以确保权限模型为 RBAC

    屏幕截图显示了如何在“设置”下打开“访问权限配置”。

  2. 选择“访问控制(IAM)”>“+添加”以添加角色分配。

  3. 恢复服务保管库标识“需要设置机密权限”才能创建通行短语并将其作为机密添加到密钥保管库。

    可以选择内置角色,例如具有权限(以及此功能不需要的其他权限)的“密钥保管库机密管理员”,也可以选择创建自定义角色(只有设置机密的权限)。

    在“详细信息”下,选择“查看”以查看该角色授予的权限,并确保“设置机密”权限可用。

    屏幕截图显示了如何查看权限详细信息。

    屏幕截图显示了如何检查“设置”权限的可用性。

  4. 选择“下一步”,继续选择“成员”进行分配。

  5. 选择“托管标识”,然后选择“+ 选择成员”。 选择目标恢复服务保管库的“订阅”,然后在“系统分配的托管标识”下选择“恢复服务保管库”。

    搜索并选择恢复服务保管库的名称

    屏幕截图显示了如何在托管标识中添加成员。

  6. 选择“下一步”,查看分配,然后选择“审阅 + 分配”

    屏幕截图显示了如何查看和分配权限。

  7. 转到密钥保管库中的“访问控制 (IAM)”,然后选择“角色分配”,并确保列出了恢复服务保管库。

    屏幕截图显示“恢复服务保管库”在“访问控制”中列出。

使用访问策略权限模型为密钥保管库启用权限

选择客户端:

执行以下步骤:

  1. 转到 Azure 密钥保管库>“访问策略”>“访问策略”,然后选择“+ 创建”

    屏幕截图显示了如何开始创建密钥保管库。

  2. 在“机密权限”下,选择“设置操作”

    这会指定允许对机密执行的操作。

    屏幕截图显示了如何开始设置权限。

  3. 转到“选择主体”,然后在搜索框中使用其名称或托管标识搜索保管库

    从搜索结果中选择保管库,然后选择“选择”

    屏幕截图显示了所选保管库的权限分配。

  4. 转到“查看 + 创建”,确保“设置权限”可用,并且“主体”是正确的恢复服务保管库,然后选择“创建”

    屏幕截图显示验证已分配的恢复服务保管库和创建密钥保管库。

    屏幕截图显示如何验证存在的访问权限。

在 Azure 密钥保管库中启用软删除和清除保护

需要在存储加密密钥的 Azure 密钥保管库中启用软删除和清除保护。

选择客户端*

可以从 Azure 密钥保管库启用软删除和清除保护。

或者,可以在创建 Key Vault 时设置这些属性。 详细了解这些密钥保管库属性。

屏幕截图显示如何启用软删除。

将通行短语保存到 Azure 密钥保管库,用于新的 MARS 安装

在继续安装 MARS 代理之前,请确保已将恢复服务保管库配置为将通行短语存储到 Azure 密钥保管库并且已成功:

  1. 创建恢复服务保管库。

  2. 启用恢复服务保管库的系统分配的托管标识。

  3. 为恢复服务保管库分配权限,以便在密钥保管库中创建机密。

  4. 为密钥保管库启用软删除和清除保护。

  5. 要在计算机上安装 MARS 代理,请从 Azure 门户下载 MARS 安装程序,然后使用安装向导

  6. 在注册过程中提供恢复服务保管库凭据后,在“加密设置”中选择将通行短语保存到 Azure 密钥保管库的选项。

    屏幕截图显示了要选择的将通行短语保存到 Azure 密钥保管库的选项。

  7. 输入通行短语,或选择“生成通行短语”

  8. Azure 门户中打开“密钥保管库”,复制密钥保管库URI

    屏幕截图显示了如何复制密钥保管库 URI。

  9. 密钥保管库 URI 粘贴到 MARS 控制台中,然后选择“注册”

    如果遇到错误,请检查故障排除部分了解详细信息。

  10. 注册成功后,将会创建将标识符复制到机密的选项,并且不会在本地将通行短语保存到文件。

    屏幕截图显示了生成“将标识符复制到机密”选项。

    如果将来更改此 MARS 代理的通行短语,则会使用最新的通行短语添加新版本的机密。

可以使用安装脚本Set-OBMachineSetting command 中的新 KeyVaultUri 选项自动执行此过程。

将现有 MARS 安装的通行短语保存到 Azure 密钥保管库

如果已有 MARS 代理安装并希望将通行短语保存到 Azure 密钥保管库,请将代理更新到版本 2.0.9262.0 或更高版本,并执行更改通行短语操作。

更新 MARS 代理后,请确保已将恢复服务保管库配置为将通行短语存储到 Azure 密钥保管库,并且已成功:

  1. 创建恢复服务保管库。
  2. 启用恢复服务保管库的系统分配的托管标识。
  3. 为恢复服务保管库分配权限,以便在密钥保管库中创建机密。
  4. 已对 Key Vault 启用软删除和清除保护

要将通行短语保存到密钥保管库。请执行以下操作:

  1. 打开“MARS 代理控制台”。

    应会看到一个横幅,要求你选择一个链接,以便将通行短语保存到 Azure 密钥保管库。

    或者,选择“更改属性”>“更改通行短语”以继续操作。

    屏幕截图显示如何开始更改现有 MARS 安装的通行短语。

  2. 在“更改属性”对话框中,将会显示“通过提供密钥保管库 URI 将通行短语保存到密钥保管库”的选项。

    注意

    如果计算机已配置为将通行短语保存到密钥保管库,则文本框中将自动填充密钥保管库 URI。

    屏幕截图显示生成“通过提供密钥保管库 URI 将通行短语保存到密钥保管库”选项。

  3. 打开 Azure 门户,打开你的密钥保管库,然后复制密钥保管库 URI

    屏幕截图显示了如何复制密钥保管库 URI。

  4. MARS 控制台粘贴密钥保管库 URI,然后选择“确定”

    如果遇到错误,请检查故障排除部分了解详细信息。

  5. 更改通行短语操作成功后,将会创建“将标识符复制到机密”选项,并且不会在本地将通行短语保存到文件。

    屏幕截图显示已生成“将标识符复制到机密”选项。

    如果将来更改此 MARS 代理的通行短语,则会使用最新的通行短语添加新版本的机密

可以使用 Set-OBMachineSetting cmdlet 中的 KeyVaultUri 新选项自动执行此步骤。

从 Azure 密钥保管库检索计算机的通行短语

如果计算机不可用,并且需要通过备用位置还原从恢复服务保管库还原备份数据,则需要计算机的通行短语才能继续操作。

密码将作为机密保存到 Azure 密钥保管库。 每台计算机创建一个机密,并在会在更改计算机的通行短语时向机密添加一个新版本。 该机密名为 AzBackup-machine fully qualified name-vault name

要查找计算机的通行短语,请执行以下操作:

  1. Azure 门户中,打开用于保存计算机通行短语的密钥保管库

    建议使用一个密钥保管库保存所有通行短语。

  2. 选择“机密”并搜索名为 AzBackup-<machine name>-<vaultname> 的机密。

    屏幕截图显示如何查看机密名称。

  3. 选择“机密”,打开最新版本并复制机密的值

    这是恢复时要使用的计算机通行短语。

    屏幕截图显示了机密的选择。

    如果密钥保管库中存在大量机密,可使用密钥保管库 CLI 列出并搜索机密。

az keyvault secret list --vault-name 'myvaultname’ | jq '.[] | select(.name|test("AzBackup-<myvmname>"))'

排查常见方案问题

本部分列出了在将通行短语保存到 Azure 密钥保管库时经常遇到的错误。

未配置系统标识 - 391224

原因:如果恢复服务保管库未配置系统分配的托管标识,则会发生此错误。

建议的操作:确保根据先决条件为恢复服务保管库正确配置系统分配的托管标识。

未配置权限 - 391225

原因:恢复服务保管库具有系统分配的托管标识,但它没有在目标密钥保管库中创建机密的设置权限

建议的操作:

  1. 确保使用的保管库凭据对应于预期的恢复服务保管库。
  2. 确保密钥保管库 URI 对应于预期的密钥保管库。
  3. 确保恢复服务保管库名称列在密钥保管库 ->“访问策略”->“应用程序”下,并且“机密权限”设置为“设置”。

屏幕截图显示了密钥保管库下列出的恢复服务保管库名称。

如果未列出,可再次配置权限

Azure 密钥保管库 URI 不正确 - 100272

原因:输入的密钥保管库 URI 格式不正确。

建议的操作:确保输入从 Azure 门户复制的密钥保管库 URI。 例如 https://myvault.vault.azure.net/

屏幕截图显示了如何复制密钥保管库 URL。

UserErrorSecretExistsSoftDeleted (391282)

原因:密钥保管库中已存在预期格式的机密,但它处于软删除状态。 除非还原机密,否则 MARS 无法将该计算机的通行短语保存到提供的密钥保管库。

建议的操作:检查保管库中是否存在名为 AzBackup-<machine name>-<vaultname> 的机密,以及它是否处于软删除状态。 恢复被软删除的机密,以将密码保存到其中。

UserErrorKeyVaultSoftDeleted (391283)

原因:提供给 MARS 的密钥保管库处于软删除状态。

建议的操作:恢复该密钥保管库或提供新的密钥保管库。

未完成注册

原因:未通过注册通行短语完成 MARS 注册。 因此在注册之前,将无法配置备份。

建议的操作:选择该警告消息并完成注册。

屏幕截图显示了如何完成注册。