Usare chiavi gestite dal cliente in Azure Key Vault per Azure Data Box

  • Articolo

Azure Data Box protegge la chiave di sblocco del dispositivo (nota anche come password per il dispositivo), usata per bloccare un dispositivo, tramite una chiave di crittografia. Per impostazione predefinita, questa chiave di crittografia è una chiave gestita da Microsoft. Per un maggiore controllo, è possibile usare una chiave gestita dal cliente.

L'uso di una chiave gestita dal cliente non influisce sul modo in cui il dispositivo viene crittografato. Influisce solo sulla modalità di crittografia della chiave di sblocco del dispositivo.

Per mantenere questo livello di controllo durante il processo di ordine, usare una chiave gestita dal cliente quando si crea l'ordine. Per altre informazioni, vedere Esercitazione: Ordinare Azure Data Box.

Questo articolo illustra come abilitare una chiave gestita dal cliente per l'ordine di Data Box esistente nel portale di Azure. Si apprenderà come modificare l'insieme di credenziali delle chiavi, la chiave, la versione o l'identità per la chiave gestita dal cliente corrente oppure tornare all'uso di una chiave gestita da Microsoft.

Questo articolo si applica ai dispositivi Azure Data Box e Azure Data Box Heavy.

Requisiti

La chiave gestita dal cliente per un ordine di Data Box deve soddisfare i requisiti seguenti:

  • La chiave deve essere creata e archiviata in un insieme di credenziali delle chiavi di Azure con eliminazione temporanea e Non eliminare abilitata. Per altre informazioni, vedere Informazioni sull’insieme di credenziali chiave di Azure È possibile creare un insieme di credenziali delle chiavi e una chiave durante la creazione o l'aggiornamento dell'ordine.
  • La chiave deve essere una chiave RSA di dimensioni 2048 o superiori.
  • È necessario abilitare le Getautorizzazioni , UnwrapKeye WrapKey per la chiave in Azure Key Vault. Le autorizzazioni devono rimanere applicate per la durata dell'ordine. In caso contrario, non è possibile accedere alla chiave gestita dal cliente all'inizio della fase di copia dei dati.

Abilitare la chiave

Per abilitare una chiave gestita dal cliente per l'ordine di Data Box esistente nel portale di Azure, seguire questa procedura:

  1. Passare alla schermata Panoramica per l'ordine di Data Box.

    Overview screen of a Data Box order - 1

  2. Passare a Impostazioni > Crittografia e selezionare Chiave gestita dal cliente. Selezionare quindi Selezionare una chiave e un insieme di credenziali delle chiavi.

    Select the customer-managed key encryption option

    Nella schermata Seleziona chiave da Azure Key Vault la sottoscrizione viene popolata automaticamente.

  3. Per Key Vault è possibile selezionare un insieme di credenziali delle chiavi esistente nell'elenco a discesa oppure selezionare Crea nuovo e creare un nuovo insieme di credenziali delle chiavi.

    Key vault options when selecting a customer-managed key

    Per creare un nuovo insieme di credenziali delle chiavi, immettere la sottoscrizione, il gruppo di risorse, il nome dell'insieme di credenziali delle chiavi e altre informazioni nella schermata Crea nuovo insieme di credenziali delle chiavi. In Opzioni di ripristino assicurarsi che l'eliminazione temporanea e la protezione ripulisci siano abilitate. Selezionare quindi Rivedi e crea.

    Review and create Azure Key Vault

    Esaminare le informazioni per l'insieme di credenziali delle chiavi e selezionare Crea. Attendere un paio di minuti mentre viene completata la creazione dell'insieme di credenziali delle chiavi.

    Create Azure Key Vault with your settings

  4. Nella schermata Seleziona chiave da Azure Key Vault è possibile selezionare una chiave esistente dall'insieme di credenziali delle chiavi o crearne una nuova.

    Select key from Azure Key Vault

    Se si vuole creare una nuova chiave, selezionare Crea nuovo. È necessario usare una chiave RSA. Le dimensioni possono essere maggiori o uguali a 2048.

    Create new key in Azure Key Vault

    Immettere un nome per la nuova chiave, accettare le altre impostazioni predefinite e selezionare Crea. Si riceverà una notifica che indica che una chiave è stata creata nell'insieme di credenziali delle chiavi.

    Name new key

  5. Per Versione è possibile selezionare una versione chiave esistente dall'elenco a discesa.

    Select version for new key

    Per generare una nuova versione della chiave, selezionare Crea nuovo.

    Open a dialog box for creating a new key version

    Scegliere le impostazioni per la nuova versione della chiave, quindi selezionare Crea.

    Create a new key version

  6. Dopo aver selezionato un insieme di credenziali delle chiavi, una chiave e una versione della chiave, scegliere Seleziona.

    A key in an Azure Key Vault

    Le impostazioni tipo di crittografia mostrano l'insieme di credenziali delle chiavi e la chiave scelti.

    Key and key vault for a customer-managed key

  7. Selezionare il tipo di identità da usare per gestire la chiave gestita dal cliente per questa risorsa. È possibile usare l'identità assegnata dal sistema generata durante la creazione dell'ordine o scegliere un'identità assegnata dall'utente.

    Un'identità assegnata dall'utente è una risorsa indipendente che è possibile usare per gestire l'accesso alle risorse. Per altre informazioni, vedere Tipi di identità gestita.

    Select the identity type

    Per assegnare un'identità utente, selezionare Utente assegnato. Selezionare quindi Selezionare un'identità utente e selezionare l'identità gestita da usare.

    Select an identity to use

    Non è possibile creare una nuova identità utente qui. Per informazioni su come crearne uno, vedere Creare, elencare, eliminare o assegnare un ruolo a un'identità gestita assegnata dall'utente usando il portale di Azure.

    L'identità utente selezionata viene visualizzata nelle impostazioni tipo di crittografia.

    A selected user identity shown in Encryption type settings

  8. Selezionare Salva per salvare le impostazioni aggiornate del tipo di crittografia.

    Save your customer-managed key

    L'URL della chiave viene visualizzato in Tipo di crittografia.

    Customer-managed key URL

Importante

È necessario abilitare le Getautorizzazioni , UnwrapKeye WrapKey per la chiave. Per impostare le autorizzazioni nell'interfaccia della riga di comando di Azure, vedere az keyvault set-policy.

Cambia chiave

Per modificare l'insieme di credenziali delle chiavi, la chiave e/o la versione della chiave per la chiave gestita dal cliente in uso, seguire questa procedura:

  1. Nella schermata Panoramica dell'ordine di Data Box passare a Impostazioni> Encryption e fare clic su Cambia chiave.

    Overview screen of a Data Box order with customer-managed key - 1

  2. Scegliere Selezionare un insieme di credenziali delle chiavi e una chiave diversi.

    Overview screen of a Data Box order, Select a different key and key vault option

  3. La schermata Seleziona chiave dall'insieme di credenziali delle chiavi mostra la sottoscrizione, ma nessun insieme di credenziali delle chiavi, chiave o versione della chiave. È possibile apportare una delle modifiche seguenti:

    • Selezionare una chiave diversa dallo stesso insieme di credenziali delle chiavi. È necessario selezionare l'insieme di credenziali delle chiavi prima di selezionare la chiave e la versione.

    • Selezionare un insieme di credenziali delle chiavi diverso e assegnare una nuova chiave.

    • Modificare la versione per la chiave corrente.

    Al termine delle modifiche, scegliere Seleziona.

    Choose encryption option - 2

  4. Seleziona Salva.

    Save updated encryption settings - 1

Importante

È necessario abilitare le Getautorizzazioni , UnwrapKeye WrapKey per la chiave. Per impostare le autorizzazioni nell'interfaccia della riga di comando di Azure, vedere az keyvault set-policy.

Modificare l'identità

Per modificare l'identità usata per gestire l'accesso alla chiave gestita dal cliente per questo ordine, seguire questa procedura:

  1. Nella schermata Panoramica dell'ordine di Data Box completato passare a Impostazioni> Encryption.

  2. Apportare una delle modifiche seguenti:

    • Per passare a un'identità utente diversa, fare clic su Seleziona un'identità utente diversa. Selezionare quindi un'identità diversa nel pannello a destra della schermata e scegliere Seleziona.

      Option for changing the user-assigned identity for a customer-managed key

    • Per passare all'identità assegnata dal sistema generata durante la creazione dell'ordine, selezionare Sistema assegnato da Seleziona tipo di identità.

      Option for changing to a system-assigned for a customer-managed key

  3. Seleziona Salva.

    Save updated encryption settings - 2

Usare la chiave gestita da Microsoft

Per passare dall'uso di una chiave gestita dal cliente alla chiave gestita da Microsoft per l'ordine, seguire questa procedura:

  1. Nella schermata Panoramica dell'ordine di Data Box completato passare a Impostazioni> Encryption.

  2. In Seleziona tipo selezionare Chiave gestita da Microsoft.

    Overview screen of a Data Box order - 5

  3. Seleziona Salva.

    Save updated encryption settings for a Microsoft managed key

Risolvere gli errori

Se si ricevono errori correlati alla chiave gestita dal cliente, usare la tabella seguente per risolvere i problemi.

Codice di errore Dettagli errore Recuperabile?
SsemUserErrorEncryptionKeyDisabled Impossibile recuperare la passkey perché la chiave gestita dal cliente è disabilitata. Sì, abilitando la versione della chiave.
SsemUserErrorEncryptionKeyExpired Impossibile recuperare la passkey perché la chiave gestita dal cliente è scaduta. Sì, abilitando la versione della chiave.
SsemUserErrorKeyDetailsNotFound Impossibile recuperare la passkey perché non è stato possibile trovare la chiave gestita dal cliente. Se l'insieme di credenziali delle chiavi è stato eliminato, non è possibile recuperare la chiave gestita dal cliente. Se è stata eseguita la migrazione dell'insieme di credenziali delle chiavi a un tenant diverso, vedere Modificare un ID tenant dell'insieme di credenziali delle chiavi dopo lo spostamento di una sottoscrizione. Se è stato eliminato l'insieme di credenziali delle chiavi:
  1. Sì, se si trova nella durata della protezione dall'eliminazione, seguire la procedura descritta in Ripristinare un insieme di credenziali delle chiavi.
  2. No, se supera la durata della protezione dall'eliminazione.

In caso contrario, se l'insieme di credenziali delle chiavi ha subito una migrazione del tenant, sì, può essere ripristinato usando uno dei passaggi seguenti:
  1. Ripristinare l'insieme di credenziali delle chiavi nel tenant precedente.
  2. Impostare Identity = None e quindi impostare di nuovo il valore su Identity = SystemAssigned. Questa operazione elimina e ricrea l'identità dopo la creazione della nuova identità. Abilitare Getle autorizzazioni , WrapKeye UnwrapKey per la nuova identità nei criteri di accesso dell'insieme di credenziali delle chiavi.
SsemUserErrorKeyVaultBadRequestException È stata applicata una chiave gestita dal cliente, ma l'accesso alla chiave non è stato concesso o è stato revocato o non è stato possibile accedere all'insieme di credenziali delle chiavi a causa dell'abilitazione del firewall. Aggiungere l'identità selezionata all'insieme di credenziali delle chiavi per abilitare l'accesso alla chiave gestita dal cliente. Se l'insieme di credenziali delle chiavi è abilitato, passare a un'identità assegnata dal sistema e quindi aggiungere una chiave gestita dal cliente. Per altre informazioni, vedere Come abilitare la chiave.
SsemUserErrorKeyVaultDetailsNotFound Impossibile recuperare la passkey come insieme di credenziali delle chiavi associato per la chiave gestita dal cliente. Se l'insieme di credenziali delle chiavi è stato eliminato, non è possibile recuperare la chiave gestita dal cliente. Se è stata eseguita la migrazione dell'insieme di credenziali delle chiavi a un tenant diverso, vedere Modificare un ID tenant dell'insieme di credenziali delle chiavi dopo lo spostamento di una sottoscrizione. Se è stato eliminato l'insieme di credenziali delle chiavi:
  1. Sì, se si trova nella durata della protezione dall'eliminazione, seguire la procedura descritta in Ripristinare un insieme di credenziali delle chiavi.
  2. No, se supera la durata della protezione dall'eliminazione.

In caso contrario, se l'insieme di credenziali delle chiavi ha subito una migrazione del tenant, sì, può essere ripristinato usando uno dei passaggi seguenti:
  1. Ripristinare l'insieme di credenziali delle chiavi nel tenant precedente.
  2. Impostare Identity = None e quindi impostare di nuovo il valore su Identity = SystemAssigned. Questa operazione elimina e ricrea l'identità dopo la creazione della nuova identità. Abilitare Getle autorizzazioni , WrapKeye UnwrapKey per la nuova identità nei criteri di accesso dell'insieme di credenziali delle chiavi.
SsemUserErrorSystemAssignedIdentityAbsent Impossibile recuperare la passkey perché non è stato possibile trovare la chiave gestita dal cliente. Sì, verificare se:
  1. L'insieme di credenziali delle chiavi ha ancora l'identità del servizio gestito nei criteri di accesso.
  2. Identity è di tipo System assegnato.
  3. Abilitare Getle autorizzazioni , WrapKeye UnwrapKey per l'identità nei criteri di accesso dell'insieme di credenziali delle chiavi. Queste autorizzazioni devono rimanere per tutta la durata dell'ordine. Vengono usati durante la creazione dell'ordine e all'inizio della fase copia dati.
SsemUserErrorUserAssignedLimitReached L'aggiunta di una nuova identità assegnata dall'utente non è riuscita perché è stato raggiunto il limite per il numero totale di identità assegnate dall'utente che è possibile aggiungere. Ripetere l'operazione con un minor numero di identità utente o rimuovere alcune identità assegnate dall'utente dalla risorsa prima di riprovare.
SsemUserErrorCrossTenantIdentityAccessForbidden Operazione di accesso all'identità gestita non riuscita.
Nota: questo errore può verificarsi quando una sottoscrizione viene spostata in un tenant diverso. Il cliente deve spostare manualmente l'identità nel nuovo tenant.		 Provare ad aggiungere un'identità assegnata dall'utente diversa all'insieme di credenziali delle chiavi per abilitare l'accesso alla chiave gestita dal cliente. In alternativa, spostare l'identità nel nuovo tenant in cui è presente la sottoscrizione. Per altre informazioni, vedere Come abilitare la chiave.
SsemUserErrorKekUserIdentityNotFound È stata applicata una chiave gestita dal cliente, ma l'identità assegnata dall'utente che ha accesso alla chiave non è stata trovata in Active Directory.
Nota: questo errore può verificarsi quando un'identità utente viene eliminata da Azure.		 Provare ad aggiungere un'identità assegnata dall'utente diversa all'insieme di credenziali delle chiavi per abilitare l'accesso alla chiave gestita dal cliente. Per altre informazioni, vedere Come abilitare la chiave.
SsemUserErrorUserAssignedIdentityAbsent Impossibile recuperare la passkey perché non è stato possibile trovare la chiave gestita dal cliente. Impossibile accedere alla chiave gestita dal cliente. L'identità assegnata dall'utente associata alla chiave viene eliminata o il tipo UAI è stato modificato.
SsemUserErrorKeyVaultBadRequestException È stata applicata una chiave gestita dal cliente, ma l'accesso alla chiave non è stato concesso o è stato revocato oppure non è stato possibile accedere all'insieme di credenziali delle chiavi perché è abilitato un firewall. Aggiungere l'identità selezionata all'insieme di credenziali delle chiavi per abilitare l'accesso alla chiave gestita dal cliente. Se l'insieme di credenziali delle chiavi ha un firewall abilitato, passare a un'identità assegnata dal sistema e quindi aggiungere una chiave gestita dal cliente. Per altre informazioni, vedere Come abilitare la chiave.
SsemUserErrorEncryptionKeyTypeNotSupported Il tipo di chiave di crittografia non è supportato per l'operazione. Abilitare un tipo di crittografia supportato nella chiave, ad esempio RSA o RSA-HSM. Per altre informazioni, vedere Tipi di chiavi, algoritmi e operazioni.
SsemUserErrorSoftDeleteAndPurgeProtectionNotEnabled L'insieme di credenziali delle chiavi non dispone dell'eliminazione temporanea o della protezione dall'eliminazione abilitata. Assicurarsi che sia l'eliminazione temporanea che la protezione dall'eliminazione siano abilitate nell'insieme di credenziali delle chiavi.
SsemUserErrorInvalidKeyVaultUrl
(solo riga di comando)		 È stato usato un URI dell'insieme di credenziali delle chiavi non valido. Ottenere l'URI dell'insieme di credenziali delle chiavi corretto. Per ottenere l'URI dell'insieme di credenziali delle chiavi, usare Get-AzKeyVault in PowerShell.
SsemUserErrorKeyVaultUrlWithInvalidScheme Solo HTTPS è supportato per il passaggio dell'URI dell'insieme di credenziali delle chiavi. Passare l'URI dell'insieme di credenziali delle chiavi su HTTPS.
SsemUserErrorKeyVaultUrlInvalidHost L'host URI dell'insieme di credenziali delle chiavi non è un host consentito nell'area geografica. Nel cloud pubblico, l'URI dell'insieme di credenziali delle chiavi deve terminare con vault.azure.net. Nel cloud Azure per enti pubblici, l'URI dell'insieme di credenziali delle chiavi deve terminare con vault.usgovcloudapi.net.
Errore generico Impossibile recuperare la passkey. Questo errore è un errore generico. Contattare supporto tecnico Microsoft per risolvere l'errore e determinare i passaggi successivi.

Passaggi successivi