共用方式為

在 Azure Key Vault 中針對匯入/匯出服務使用客戶自控金鑰

  • 發行項

Azure 匯入/匯出可保護用來透過加密金鑰鎖定磁碟機的 BitLocker 金鑰。 根據預設,系統會使用 Microsoft 受控金鑰加密 BitLocker 金鑰。 若要進一步控制加密金鑰,您也可以提供客戶自控金鑰。

客戶自控金鑰必須在 Azure Key Vault 中建立和儲存。 如需 Azure 金鑰保存庫的詳細資訊,請參閱 什麼是 Azure 金鑰保存庫?

本文說明如何在 Azure 入口網站中搭配匯入/匯出服務使用客戶自控金鑰。

必要條件

在您開始前,請確定:

  1. 您已依照下列指示建立匯入或匯出作業:

  2. 您有現有的 Azure Key Vault,其中包含可用來保護 BitLocker 金鑰的金鑰。 若要了解如何使用 Azure 入口網站建立金鑰保存庫,請參閱快速入門:使用 Azure 入口網站建立 Azure Key Vault

    • 您現有的金鑰保存庫會設定虛刪除不清除。 預設上不會啟用這些屬性。 若要啟用這些屬性,請參閱下列其中一篇文章中的啟用虛刪除啟用清除保護幾節:

    • 現有的金鑰保存庫應具有大小 2048 以上的 RSA 金鑰。 如需金鑰的相關詳細資訊,請參閱關於金鑰

    • 金鑰保存庫必須位於與您資料儲存體帳戶相同的區域。

    • 如果您沒有現有的 Azure Key Vault ,也可以依照下一節的說明內嵌建立。

啟用金鑰

為匯入/匯出服務設定客戶自控金鑰是選擇性操作。 根據預設,匯入/匯出服務會使用 Microsoft 受控金鑰來保護 BitLocker 金鑰。 若要在 Azure 入口網站中啟用客戶自控金鑰,請遵循下列步驟:

  1. 前往匯入作業的 [概觀] 刀鋒視窗。

  2. 在右窗格中,選取 [選擇 BitLocker 金鑰的加密方式]

    Azure 匯入/匯出作業 [概觀] 刀鋒視窗的螢幕快照。[概觀] 功能表項和開啟 BitLocker 機碼選項的連結會反白顯示。

  3. 在 [加密] 刀鋒視窗中,您可以檢視及複製裝置 BitLocker 金鑰。 在 [加密類型] 底下,您可以選擇保護 BitLocker 金鑰的方式。 預設上會使用 Microsoft 受控金鑰。

    Azure 匯入/匯出訂單的 [加密] 刀鋒視窗螢幕快照。加密功能表項會反白顯示。

  4. 您可以選擇指定客戶自控金鑰。 選取客戶自控金鑰之後,請選取金鑰保存庫和金鑰

    Azure 匯入/匯出作業的 [加密] 刀鋒視窗螢幕快照。已選取 [客戶管理的金鑰]。醒目提示 [選取金鑰和金鑰保存庫] 的連結。

  5. 在 [從 Azure Key Vault 選取金鑰] 刀鋒視窗中,會自動填入訂用帳戶。 針對 [金鑰保存庫],您可以從下拉式清單中選取現有的金鑰保存庫。

    [從 Azure 金鑰保存庫 選取金鑰] 畫面的螢幕快照。金鑰保存庫的 [新建] 連結會反白顯示。

  6. 您也可以選取 [建立新的],以建立新的金鑰保存庫。 在 [建立金鑰保存庫] 刀鋒視窗中,輸入資源群組和金鑰保存庫名稱。 接受所有其他預設值。 選取 [檢閱 + 建立] 。

    Azure 金鑰保存庫 的 [建立密鑰保存庫] 畫面的螢幕快照,其中包含範例設定。[檢閱加號建立] 按鈕會反白顯示。

  7. 檢閱金鑰保存庫的相關資訊,然後選取 [建立]。 等待幾分鐘的時間,讓金鑰保存庫完成建立。

    新 Azure 金鑰保存庫的 [檢閱加號建立] 畫面螢幕快照。[建立] 按鈕會反白顯示。

  8. 在 [從 Azure Key Vault 選取金鑰] 中,您可以選取現有金鑰保存庫中的金鑰。

  9. 如果您要建立新的金鑰保存庫,請選取 [新建] 以建立金鑰。 RSA 大小可以是 2048 以上。

    [從 Azure 金鑰保存庫 選取金鑰] 畫面的螢幕快照。[金鑰] 選項的 [新建] 按鈕會反白顯示。

    如果您在建立金鑰保存庫時沒有啟用虛刪除和清除保護功能,金鑰保存庫將會更新為啟用虛刪除和清除保護功能。

  10. 提供金鑰的名稱,接受其他預設值,然後選取 [建立]

    Azure 金鑰保存庫 [建立金鑰] 畫面的螢幕快照。[建立] 按鈕會反白顯示。

  11. 選取 [版本],然後選擇 [選取]。 系統會通知您已在金鑰保存庫中建立金鑰。

    螢幕快照:具有範例設定的 [從 Azure 金鑰保存庫 選取密鑰] 畫面。已醒目提示 [選取] 按鈕。

在 [加密] 刀鋒視窗中,您可以看到針對客戶自控金鑰選取的金鑰保存庫和金鑰。

重要

您只能在匯入/匯出作業的任何階段停用 Microsoft 受控金鑰,並改用客戶自控金鑰。 不過客戶自控金鑰一旦建立就無法停用。

針對客戶自控金鑰錯誤進行疑難排解

如果您收到與客戶自控金鑰相關的任何錯誤,請使用下表進行疑難排解:

錯誤碼 詳細資料 可復原?
CmkErrorAccessRevoked 撤銷對客戶自控金鑰的存取權。 是,檢查以下項目是否:
  1. 金鑰保存庫在存取原則中仍有 MSI。
  2. 存取原則已啟用 Get、Wrap 和 Unwrap 權限。
  3. 如果金鑰保存庫位於防火牆後方的 VNet 中,請檢查是否已啟用 [允許 Microsoft 信任的服務]
  4. 檢查作業資源的 MSI 是否已使用 API 重設為 None
    如果是,會將值設回 Identity = SystemAssigned。 這會重新建立作業資源的身分識別。
    建立新的身分識別之後,請在金鑰保存庫的存取原則中對新身分識別啟用 GetWrapUnwrap 權限
CmkErrorKeyDisabled 客戶自控金鑰已停用。 是,啟用金鑰版本
CmkErrorKeyNotFound 找不到客戶自控金鑰。 是,如果金鑰已刪除,但仍在清除期間內,請使用復原金鑰保存庫金鑰移除的操作。
其他情況下,
  1. 是,如果客戶已備份金鑰並還原。
  2. 若非如此則為否。
CmkErrorVaultNotFound 找不到客戶自控金鑰的金鑰保存庫。 如果金鑰保存庫已刪除:
  1. 是,如果是在清除保護期間,請使用復原金鑰保存庫的步驟。
  2. 否,如果已超出清除保護期間。

另外,如果金鑰保存庫已移轉至不同的租用戶,可以使用下列其中一個步驟進行復原:
  1. 將金鑰保存庫還原為舊租用戶。
  2. 設為 Identity = None,然後將值設回 Identity = SystemAssigned。 這會在建立新的身分識別之後刪除並重新建立身分識別。 在金鑰保存庫的存取原則中對新身分識別啟用 GetWrapUnwrap 權限。

下一步