2. lépés: HSM által védett kulcs A HSM által védett kulcs migrálása

  • Cikk

Ezek az utasítások az AD RMS-ből az Azure Information Protectionbe való migrálási útvonal részét képezik, és csak akkor alkalmazhatók, ha az AD RMS-kulcs HSM-védelemmel van ellátva, és HSM által védett bérlői kulccsal szeretne az Azure Information Protectionbe migrálni az Azure Key Vaultban.

Ha nem ez a választott konfigurációs forgatókönyv, térjen vissza a 4. lépéshez . Exportálja a konfigurációs adatokat az AD RMS-ből, majd importálja azOkat az Azure RMS-be , és válasszon másik konfigurációt.

Megjegyzés:

Ezek az utasítások feltételezik, hogy az AD RMS-kulcs modulvédelem alatt áll. Ez a legjellemzőbb eset.

A HSM-kulcs és az AD RMS-konfiguráció importálása az Azure Information Protectionbe kétrészes eljárás, amelynek eredményeként az Ön által felügyelt Azure Information Protection-bérlőkulcs (BYOK) létrejön.

Mivel az Azure Information Protection-bérlőkulcsot az Azure Key Vault fogja tárolni és felügyelni, a migrálás ezen része az Azure Information Protection mellett az Azure Key Vaultban is igényel felügyeletet. Ha az Azure Key Vaultot más rendszergazda felügyeli, mint Ön a szervezetében, az eljárások elvégzéséhez koordinálnia kell és együtt kell működnie a rendszergazdával.

Mielőtt hozzákezdene, győződjön meg arról, hogy a szervezet rendelkezik az Azure Key Vaultban létrehozott kulcstartóval, és hogy támogatja a HSM által védett kulcsokat. Bár ez nem kötelező, javasoljuk, hogy rendelkezzen dedikált kulcstartóval az Azure Information Protectionhez. Ez a kulcstartó úgy lesz konfigurálva, hogy lehetővé tegye a Azure Tartalomvédelmi szolgáltatások szolgáltatás számára, hogy a kulcstartó által tárolt kulcsokat csak az Azure Information Protection-kulcsok számára lehessen korlátozni.

Tipp.

Ha az Azure Key Vault konfigurációs lépéseit hajtja végre, és nem ismeri ezt az Azure-szolgáltatást, hasznos lehet először áttekinteni az Azure Key Vault használatának első lépéseit.

1. rész: HSM-kulcs átvitele az Azure Key Vaultba

Ezeket az eljárásokat az Azure Key Vault rendszergazdája végzi el.

  1. Az Azure Key Vaultban tárolni kívánt összes exportált SLC-kulcshoz kövesse az Azure Key Vault dokumentációjának utasításait, és a implementálással hozza létre saját kulcsát (BYOK) az Azure Key Vaulthoz a következő kivétellel:

    • Ne végezze el a bérlőkulcs létrehozásának lépéseit, mert már rendelkezik az AD RMS-telepítés megfelelőjével. Ehelyett azonosítsa az AD RMS-kiszolgáló által használt kulcsokat az nCipher telepítésből, és készítse elő ezeket a kulcsokat az átvitelhez, majd vigye át őket az Azure Key Vaultba.

      Az nCipher titkosított kulcsfájljainak neve key_<keyAppName>_<keyIdentifier> helyileg a kiszolgálón. For example, C:\Users\All Users\nCipher\Key Management Data\local\key_mscapi_f829e3d888f6908521fe3d91de51c25d27116a54. A keyTransferRemote parancs futtatásakor a kulcsazonosító mscapi értékére és a kulcsazonosító saját értékére lesz szüksége a kulcs csökkentett engedélyekkel rendelkező másolatának létrehozásához.

      Amikor a kulcs feltölti az Azure Key Vaultba, megjelenik a kulcs tulajdonságai, amelyek tartalmazzák a kulcsazonosítót. A következőhöz hasonlóan fog kinézni: https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Jegyezze fel ezt az URL-címet, mert az Azure Information Protection rendszergazdájának meg kell mondania a Azure Tartalomvédelmi szolgáltatások szolgáltatásnak, hogy használja ezt a kulcsot a bérlőkulcsához.

  2. Az internethez csatlakoztatott munkaállomáson egy PowerShell-munkamenetben a Set-AzKeyVaultAccessPolicy parancsmaggal engedélyezze a Azure Tartalomvédelmi szolgáltatások szolgáltatásnév számára az Azure Information Protection-bérlőkulcsot tároló kulcstartó elérését. A szükséges engedélyek: visszafejtés, titkosítás, unwrapkey, wrapkey, verify és sign.

    Ha például az Azure Information Protectionhez létrehozott kulcstartó neve contoso-byok-ky, és az erőforráscsoport neve contoso-byok-rg, futtassa a következő parancsot:

    Set-AzKeyVaultAccessPolicy -VaultName "contoso-byok-kv" -ResourceGroupName "contoso-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get

Most, hogy előkészítette a HSM-kulcsot az Azure Key Vaultban a Azure Tartalomvédelmi szolgáltatások szolgáltatáshoz az Azure Information Protectionből, készen áll az AD RMS konfigurációs adatainak importálására.

2. rész: Konfigurációs adatok importálása az Azure Information Protectionbe

Ezeket az eljárásokat az Azure Information Protection rendszergazdája végzi el.

  1. Az internethez csatlakozó munkaállomáson és a PowerShell-munkamenetben csatlakozzon a Azure Tartalomvédelmi szolgáltatások szolgáltatáshoz az Csatlakozás-AipService parancsmag használatával.

    Ezután töltse fel az egyes megbízható közzétételi tartományokat (.xml) az Import-AipServiceTpd parancsmag használatával. Ha például a 2. titkosítási módhoz frissítette az AD RMS-fürtöt, legalább egy további fájlt importálnia kell.

    A parancsmag futtatásához szüksége van az egyes konfigurációs adatfájlokhoz korábban megadott jelszóra és az előző lépésben azonosított kulcs URL-címére.

    Ha például a C:\contoso-tpd1.xml konfigurációs adatfájlját és az előző lépésben szereplő kulcs URL-címét használja, először futtassa a következőt a jelszó tárolásához:

     $TPD_Password = Read-Host -AsSecureString

    Adja meg a konfigurációs adatfájl exportálásához megadott jelszót. Ezután futtassa a következő parancsot, és győződjön meg arról, hogy végre kívánja hajtani ezt a műveletet:

    Import-AipServiceTpd -TpdFile "C:\contoso-tpd1.xml" -ProtectionPassword $TPD_Password –KeyVaultKeyUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose

    Az importálás részeként az SLC-kulcs importálása és automatikus beállítása archiváltként történik.

  2. Amikor feltöltötte az egyes fájlokat, futtassa a Set-AipServiceKeyProperties parancsot annak megadásához, hogy melyik importált kulcs felel meg az AD RMS-fürtben jelenleg aktív SLC-kulcsnak. Ez a kulcs lesz a Azure Tartalomvédelmi szolgáltatások szolgáltatás aktív bérlőkulcsa.

  3. A Disconnect-AipServiceService parancsmaggal válassza le a Azure Tartalomvédelmi szolgáltatások szolgáltatást:

    Disconnect-AipServiceService

Ha később ellenőriznie kell, hogy az Azure Information Protection-bérlőkulcs melyik kulcsot használja az Azure Key Vaultban, használja a Get-AipServiceKeys Azure RMS parancsmagot.

Most már készen áll az 5. lépésre. Aktiválja a Azure Tartalomvédelmi szolgáltatások szolgáltatást.