Gunakan kunci yang dikelola pelanggan di Azure Key Vault untuk layanan Import/Export

  • Artikel

Azure Impor/Ekspor melindungi tombol BitLocker yang digunakan untuk mengunci drive melalui kunci enkripsi. Secara default, tombol BitLocker dienkripsi dengan kunci yang dikelola Microsoft. Untuk kontrol tambahan atas kunci enkripsi, Anda juga dapat menyediakan kunci yang dikelola pelanggan.

Kunci yang dikelola pelanggan harus dibuat dan disimpan di Azure Key Vault. Untuk informasi selengkapnya tentang Azure Key Vault, lihat Apa itu Azure Key Vault?

Artikel ini memperlihatkan cara menggunakan kunci yang dikelola pelanggan dengan layanan Impor/Ekspor di portal Azure.

Prasyarat

Sebelum Anda mulai, pastikan:

  1. Anda sudah membuat pekerjaan impor atau ekspor sesuai instruksi di:

  2. Anda memiliki Azure Key Vault yang sudah ada kunci di dalamnya yang dapat Anda gunakan untuk melindungi kunci BitLocker Anda. Untuk mempelajari cara membuat brankas kunci menggunakan portal Azure, lihat Mulai Cepat: Membuat Azure Key Vault menggunakan portal Azure.

    • Penghapusan sementara dan Jangan hapus menyeluruh ditetapkan pada Key Vault Anda. Properti ini tidak diaktifkan secara default. Untuk mengaktifkan properti ini, lihat bagian dengan judul Mengaktifkan penghapusan sementara dan Mengaktifkan Perlindungan Pembersihan Menyeluruh di salah satu artikel berikut ini:

    • Brankas kunci yang ada harus memiliki kunci RSA berukuran 2048 atau lebih. Untuk informasi selengkapnya tentang kunci, lihat Tentang kunci.

    • Brankas kunci harus berada di wilayah yang sama dengan akun penyimpanan untuk data Anda.

    • Jika Anda tidak memiliki Azure Key Vault yang sudah ada, Anda juga bisa membuatnya sebaris seperti yang dijelaskan di bagian berikut ini.

Aktifkan kunci

Mengonfigurasi kunci yang dikelola pelanggan untuk layanan Impor/Ekspor Anda bersifat opsional. Secara default, layanan Impor/Ekspor menggunakan kunci terkelola Microsoft guna melindungi kunci BitLocker Anda. Untuk mengaktifkan kunci yang dikelola pelanggan di portal Azure, ikuti langkah-langkah berikut:

  1. Buka bilah Gambaran Umum untuk pekerjaan Impor Anda.

  2. Di panel kanan, klik Pilih cara kunci BitLocker Anda dienkripsi.

    Screenshot of Overview blade for Azure Import/Export job. Overview menu item and link that opens BitLocker key options are highlighted.

  3. Di bilah Enkripsi, Anda dapat melihat dan menyalin kunci BitLocker perangkat. Di Jenis enkripsi, Anda dapat memilih cara melindungi kunci BitLocker Anda. Secara default, kunci terkelola Microsoft digunakan.

    Screenshot of Encryption blade for an Azure Import/Export order. Encryption menu item is highlighted.

  4. Anda memiliki opsi untuk menentukan kunci yang dikelola pelanggan. Setelah Anda memilih kunci yang dikelola pelanggan, Pilih brankas kunci dan kunci.

    Screenshot of Encryption blade for Azure Import/Export job.

  5. Di bilah Pilih kunci dari Azure Key Vault, langganan akan diisi secara otomatis. Untuk Brankas kunci, Anda dapat memilih brankas kunci yang ada dari daftar menurun.

    Screenshot of the

  6. Anda juga dapat memilih Buat baru untuk membuat brankas kunci baru. Pada layar Buat brankas kunci, masukkan grup sumber daya dan nama brankas kunci. Terima semua default lainnya. Pilih Tinjau + Buat.

    Screenshot of

  7. Tinjau informasi terkait brankas kunci Anda dan pilih Buat. Tunggu beberapa menit agar pembuatan brankas kunci selesai.

    Screenshot of the Review Plus Create screen for a new Azure key vault. The Create button is highlighted.

  8. Pada Pilih kunci dari Azure Key Vault, Anda dapat memilih kunci yang ada di brankas kunci.

  9. Jika Anda membuat brankas kunci baru, pilih Buat baru untuk membuat kunci. Ukuran kunci RSA bisa 2048 atau lebih besar.

    Screenshot of the

    Jika perlindungan penghapusan sementara dan penghapusan menyeluruh tidak diaktifkan ketika Anda membuat brankas kunci, brankas kunci akan diperbarui agar perlindungan penghapusan sementara dan penghapusan menyeluruh diaktifkan.

  10. Masukkan nama untuk kunci Anda, terima default lainnya, dan pilih Buat.

    Screenshot of the

  11. Pilih Versi lalu klik Pilih. Anda diberitahu bahwa kunci dibuat di dalam brankas kunci Anda.

    Screenshot of the

Di bilah Enkripsi, Anda dapat melihat brankas kunci dan kunci yang dipilih untuk kunci yang dikelola pelanggan Anda.

Penting

Anda hanya dapat menonaktifkan kunci terkelola Microsoft dan beralih ke kunci yang dikelola pelanggan pada setiap tahap pekerjaan impor/ekspor. Namun, Anda tidak dapat menonaktifkan kunci yang dikelola pelanggan setelah Anda membuatnya.

Memecahkan masalah kesalahan kunci yang dikelola pelanggan

Jika Anda menerima kesalahan terkait kunci yang dikelola pelanggan Anda, gunakan tabel berikut untuk memecahkan masalah:

Kode kesalahan Detail Dapat dipulihkan?
CmkErrorAccessRevoked Akses ke kunci yang dikelola pelanggan dicabut. Ya, periksa apakah:
  1. Brankas kunci masih memiliki MSI dalam kebijakan akses.
  2. Kebijakan akses mengaktifkan izin Dapatkan, Bungkus, dan Lepas Bungkus.
  3. Jika berkas kunci berada di VNet di belakang firewall, periksa apakah Perbolehkan Layanan Tepercaya Microsoft diaktifkan.
  4. Periksa apakah MSI sumber daya pekerjaan direset untuk None menggunakan API.
    Jika ya, Atur nilai kembali ke Identity = SystemAssigned. Ini menciptakan kembali identitas untuk sumber daya pekerjaan.
    Setelah identitas baru dibuat, aktifkan izin Get, Wrap, dan Unwrap ke identitas baru dalam kebijakan akses berkas utama
CmkErrorKeyDisabled Kunci yang dikelola pelanggan dinonaktifkan. Ya, dengan mengaktifkan versi kunci
CmkErrorKeyNotFound Tak dapat menemukan kunci yang dikelola pelanggan. Ya, jika kunci telah dihapus tetapi masih dalam durasi penghapusan menyeluruh, menggunakan penghapusan kunci berkas Batalkan Kunci.
Lain
  1. Ya, jika pelanggan mencadangkan kuncinya dan memulihkannya.
  2. Tidak, lainnya.
CmkErrorVaultNotFound Tidak dapat menemukan berkas kunci dari kunci yang dikelola pelanggan. Jika berkas kunci telah dihapus:
  1. Ya, jika dalam durasi perlindungan penghapusan menyeluruh, menggunakan langkah-langkah di Pulihkan brankas kunci.
  2. Tidak, jika kunci melebihi durasi perlindungan penghapusan menyeluruh.

Lainnya jika berkas kunci dimigrasikan ke penyewa yang berbeda, ya, kunci dapat dipulihkan menggunakan salah satu langkah berikut:
  1. Mengembalikan brankas kunci kembali ke penyewa lama.
  2. AturIdentity = None lalu atur nilai kembali ke Identity = SystemAssigned. Ini menghapus dan membuat ulang identitas setelah identitas baru dibuat. Aktifkan izin Get, Wrap, dan Unwrap ke identitas baru dalam kebijakan Akses brankas kunci.

Langkah berikutnya