Krok 2: Migrace klíče chráněného HSM na klíč chráněný HSM

Tyto pokyny jsou součástí cesty migrace z AD RMS na Azure Information Protection a platí jenom v případě, že je klíč AD RMS chráněný HSM a chcete migrovat na Azure Information Protection pomocí klíče tenanta chráněného HSM ve službě Azure Key Vault.

Pokud se nejedná o vámi zvolený scénář konfigurace, vraťte se ke kroku 4. Exportujte konfigurační data ze služby AD RMS a importujte je do Azure RMS a zvolte jinou konfiguraci.

Poznámka:

Tyto pokyny předpokládají, že klíč služby AD RMS je chráněný modulem. Toto je nejběžnější případ.

Jedná se o dvoudílný postup importu klíče HSM a konfigurace AD RMS do služby Azure Information Protection, aby se váš klíč tenanta Azure Information Protection spravovaný vámi (BYOK) vytvořil.

Vzhledem k tomu, že klíč tenanta Azure Information Protection bude uložený a spravovaný službou Azure Key Vault, tato část migrace vyžaduje kromě služby Azure Information Protection také správu ve službě Azure Key Vault. Pokud službu Azure Key Vault spravuje jiný správce než vy ve vaší organizaci, musíte tyto postupy koordinovat a spolupracovat s tímto správcem.

Než začnete, ujistěte se, že má vaše organizace trezor klíčů vytvořený ve službě Azure Key Vault a že podporuje klíče chráněné HSM. I když to není nutné, doporučujeme mít vyhrazený trezor klíčů pro Azure Information Protection. Tento trezor klíčů bude nakonfigurovaný tak, aby službě Azure Rights Management umožnil přístup, takže klíče, které by tato úložiště trezoru klíčů měla být omezená jenom na klíče Služby Azure Information Protection.

Tip

Pokud provádíte kroky konfigurace pro Azure Key Vault a nejste obeznámeni s touto službou Azure, může být užitečné nejprve zkontrolovat , jak začít se službou Azure Key Vault.

Část 1: Přenos klíče HSM do služby Azure Key Vault

Tyto postupy provádí správce služby Azure Key Vault.

1. Pro každý exportovaný klíč SLC, který chcete uložit ve službě Azure Key Vault, postupujte podle pokynů v dokumentaci ke službě Azure Key Vault pomocí implementace funkce Přineste si vlastní klíč (BYOK) pro Azure Key Vault s následující výjimkou:

   • Nepoužívejte kroky pro vygenerování klíče tenanta, protože už máte ekvivalent z nasazení služby AD RMS. Místo toho identifikujte klíče používané serverem AD RMS z instalace nCipher a připravte tyto klíče k přenosu a pak je přeneste do služby Azure Key Vault.

     Šifrované soubory klíčů pro nCipher se nazývají key_<keyAppName>_<keyIdentifier> místně na serveru. Například, C:\Users\All Users\nCipher\Key Management Data\local\key_mscapi_f829e3d888f6908521fe3d91de51c25d27116a54. Při spuštění příkazu KeyTransferRemote budete potřebovat hodnotu mscapi jako keyAppName a vlastní hodnotu identifikátoru klíče, abyste vytvořili kopii klíče s omezenými oprávněními.

     Když se klíč nahraje do služby Azure Key Vault, zobrazí se vlastnosti klíče, které zahrnují ID klíče. Bude vypadat podobně jako https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Poznamenejte si tuto adresu URL, protože ji správce služby Azure Information Protection potřebuje k tomu, aby službě Azure Rights Management řekl, aby tento klíč používal pro svůj klíč tenanta.

2. Na pracovní stanici připojené k internetu použijte v relaci PowerShellu rutinu Set-AzKeyVaultAccessPolicy k autorizaci instančního objektu azure Rights Management pro přístup k trezoru klíčů, který bude ukládat klíč tenanta Azure Information Protection. Požadovaná oprávnění jsou dešifrována, šifrována, unwrapkey, wrapkey, verify a sign.

   Pokud je například trezor klíčů, který jste vytvořili pro Azure Information Protection, pojmenovaný contoso-byok-ky a vaše skupina prostředků má název contoso-byok-rg, spusťte následující příkaz:

   Set-AzKeyVaultAccessPolicy -VaultName "contoso-byok-kv" -ResourceGroupName "contoso-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
   

Teď, když jste připravili klíč HSM ve službě Azure Key Vault pro službu Azure Rights Management ze služby Azure Information Protection, jste připraveni importovat konfigurační data AD RMS.

Část 2: Import konfiguračních dat do služby Azure Information Protection

Tyto postupy provádí správce služby Azure Information Protection.

1. Na pracovní stanici pro připojení k internetu a v relaci PowerShellu se připojte ke službě Azure Rights Management pomocí rutiny Připojení-AipService.

   Potom pomocí rutiny Import-AipServiceTpd nahrajte každý soubor důvěryhodné domény publikování (.xml). Pokud jste například upgradovali cluster AD RMS pro kryptografický režim 2, měli byste mít k importu alespoň jeden další soubor.

   Ke spuštění této rutiny potřebujete heslo, které jste zadali dříve pro každý soubor konfiguračních dat, a adresu URL klíče, který byl identifikován v předchozím kroku.

   Například pomocí konfiguračního datového souboru C:\contoso-tpd1.xml a hodnoty adresy URL klíče z předchozího kroku nejprve spusťte následující příkaz pro uložení hesla:

    $TPD_Password = Read-Host -AsSecureString
   

   Zadejte heslo, které jste zadali pro export konfiguračního datového souboru. Potom spusťte následující příkaz a potvrďte, že chcete provést tuto akci:

   Import-AipServiceTpd -TpdFile "C:\contoso-tpd1.xml" -ProtectionPassword $TPD_Password –KeyVaultKeyUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
   

   V rámci tohoto importu se klíč SLC naimportuje a automaticky nastaví jako archivovaný.

2. Po nahrání každého souboru spusťte Set-AipServiceKeyProperties , abyste určili, který importovaný klíč odpovídá aktuálně aktivnímu klíči SLC v clusteru AD RMS. Tento klíč se stane aktivním klíčem tenanta pro vaši službu Azure Rights Management.

3. K odpojení od služby Azure Rights Management použijte rutinu Disconnect-AipServiceService :

   Disconnect-AipServiceService
   

Pokud později potřebujete ověřit, který klíč tenanta Azure Information Protection používáte ve službě Azure Key Vault, použijte rutinu Get-AipServiceKeys Azure RMS.

Teď jste připraveni přejít ke kroku 5. Aktivujte službu Azure Rights Management.