Megosztás a következőn keresztül:

Ügyfél által felügyelt kulcs hibaelhárítása

  • Cikk

Ez a cikk egy négyrészes oktatóanyag-sorozat negyedik része. Az első rész áttekintést nyújt az ügyfél által felügyelt kulcsokról, azok funkcióiról és szempontjairól, mielőtt engedélyezené az egyiket a beállításjegyzékben. A második részben megtudhatja, hogyan engedélyezheti az ügyfél által felügyelt kulcsokat az Azure CLI, a Azure Portal vagy egy Azure Resource Manager-sablon használatával. A harmadik részben megtudhatja, hogyan forgathat, frissíthet és vonhat vissza egy ügyfél által felügyelt kulcsot. Ez a cikk segítséget nyújt az ügyfél által felügyelt kulcsokkal kapcsolatos gyakori problémák elhárításában és megoldásában.

Hiba felügyelt identitás eltávolításakor

Ha megpróbál eltávolítani egy felhasználó által hozzárendelt vagy rendszer által hozzárendelt felügyelt identitást, amelyet a beállításjegyzék titkosításának konfigurálásához használt, hibaüzenet jelenhet meg:

Azure resource '/subscriptions/xxxx/resourcegroups/myGroup/providers/Microsoft.ContainerRegistry/registries/myRegistry' does not have access to identity 'xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx' Try forcibly adding the identity to the registry <registry name>. For more information on bring your own key, please visit 'https://aka.ms/acr/cmk'.

Nem lehet módosítani (elforgatni) a titkosítási kulcsot. A feloldási lépések a titkosításhoz használt identitás típusától függenek.

Felhasználó által hozzárendelt identitás eltávolítása

Ha a felhasználó által hozzárendelt identitás eltávolításakor hibaüzenet jelenik meg, kövesse az alábbi lépéseket:

  1. Rendelje hozzá újra a felhasználó által hozzárendelt identitást az az acr identity assign paranccsal.

  2. Adja meg a felhasználó által hozzárendelt identitás erőforrás-azonosítóját, vagy használja az identitás nevét, ha ugyanabban az erőforráscsoportban van, mint a beállításjegyzék.

    Például:

    az acr identity assign -n myRegistry \
    --identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"

  3. Módosítsa a kulcsot, és rendeljen hozzá egy másik identitást.

  4. Most eltávolíthatja az eredeti felhasználó által hozzárendelt identitást.

Rendszer által hozzárendelt identitás eltávolítása

Ha a rendszer által hozzárendelt identitás eltávolításakor hibaüzenet jelenik meg, hozzon létre egy Azure-támogatás jegyet, amely segítséget nyújt az identitás visszaállításához.

Hiba a Key Vault tűzfalának engedélyezése után

Ha egy titkosított beállításjegyzék létrehozása után engedélyezi a kulcstartó tűzfalát vagy virtuális hálózatát, előfordulhat, hogy HTTP 403-at vagy más hibákat tapasztal a rendszerképek importálása vagy az automatikus kulcsrotálás során. A probléma megoldásához konfigurálja újra a titkosításhoz eredetileg használt felügyelt identitást és kulcsot. Tekintse meg az ügyfél által felügyelt kulcs elforgatásával kapcsolatos lépéseket.

Ha a probléma továbbra is fennáll, forduljon az Azure ügyfélszolgálatához.

Identitás lejáratával kapcsolatos hiba

Az autorenewal beállításjegyzékhez csatolt identitása a lejárat elkerülése érdekében van beállítva. Ha leválaszt egy identitást egy beállításjegyzékből, hibaüzenet jelenik meg, amely elmagyarázza, hogy nem távolítható el a CMK-hoz használt identitás. Az identitás eltávolításának megkísérlése veszélyezteti az identitás automatikus megújítását. Az összetevő lekérési/leküldéses műveletei az identitás lejáratáig (általában három hónapig) működnek. Az identitás lejárata után a HTTP 403 a következő hibaüzenettel jelenik meg: "A beállításjegyzékhez társított identitás inaktív. Ennek oka az identitás eltávolításának kísérlete lehet. Az identitás manuális hozzárendelése".

Az identitást explicit módon vissza kell rendelnie a beállításjegyzékhez.

  1. Futtassa az az acr identity assign parancsot az identitás manuális hozzárendeléséhez.

    • Példa:
    az acr identity assign -n myRegistry \
--identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"

Kulcstartó vagy kulcs véletlen törlése

A beállításjegyzék ügyfél által felügyelt kulccsal történő titkosításához használt kulcstartó vagy kulcs törlése elérhetetlenné teszi a beállításjegyzék tartalmát. Ha a helyreállítható törlés engedélyezve van a kulcstartóban (ez az alapértelmezett beállítás), helyreállíthatja a törölt tárolót vagy kulcstartó-objektumot, és folytathatja a beállításjegyzék-műveleteket.

Következő lépések

A kulcstartó törlésével és helyreállításával kapcsolatos forgatókönyvekért lásd: Azure Key Vault helyreállítható törlési és törlési védelemmel rendelkező helyreállítási felügyelet.