Krok 2. Migracja klucza chronionego przez moduł HSM do klucza chronionego przez moduł HSM

  • Artykuł

Te instrukcje są częścią ścieżki migracji z usług AD RMS do usługi Azure Information Protection i mają zastosowanie tylko wtedy, gdy klucz usługi AD RMS jest chroniony przez moduł HSM i chcesz przeprowadzić migrację do usługi Azure Information Protection przy użyciu klucza dzierżawy chronionego przez moduł HSM w usłudze Azure Key Vault.

Jeśli nie jest to wybrany scenariusz konfiguracji, wróć do kroku 4. Wyeksportuj dane konfiguracji z usług AD RMS i zaimportuj je do usługi Azure RMS i wybierz inną konfigurację.

Uwaga

W tych instrukcjach założono, że klucz usług AD RMS jest chroniony przez moduł. Jest to najbardziej typowy przypadek.

Jest to dwuczęściowa procedura importowania klucza HSM i konfiguracji usług AD RMS do usługi Azure Information Protection w celu wywołania klucza dzierżawy usługi Azure Information Protection zarządzanego przez Użytkownika (BYOK).

Ponieważ klucz dzierżawy usługi Azure Information Protection będzie przechowywany i zarządzany przez usługę Azure Key Vault, ta część migracji wymaga administracji w usłudze Azure Key Vault oprócz usługi Azure Information Protection. Jeśli usługa Azure Key Vault jest zarządzana przez innego administratora niż Ty w twojej organizacji, musisz koordynować i współpracować z tym administratorem, aby wykonać te procedury.

Przed rozpoczęciem upewnij się, że organizacja ma magazyn kluczy utworzony w usłudze Azure Key Vault i że obsługuje klucze chronione przez moduł HSM. Mimo że nie jest to wymagane, zalecamy posiadanie dedykowanego magazynu kluczy dla usługi Azure Information Protection. Ten magazyn kluczy zostanie skonfigurowany tak, aby zezwolił usłudze Azure Rights Management na dostęp do niego, aby klucze, które te magazyny kluczy powinny być ograniczone tylko do kluczy usługi Azure Information Protection.

Napiwek

Jeśli wykonujesz kroki konfiguracji usługi Azure Key Vault i nie znasz tej usługi platformy Azure, warto zapoznać się z artykułem Rozpoczynanie pracy z usługą Azure Key Vault.

Część 1. Przenoszenie klucza HSM do usługi Azure Key Vault

Te procedury są wykonywane przez administratora usługi Azure Key Vault.

  1. Dla każdego wyeksportowanego klucza SLC, który chcesz przechowywać w usłudze Azure Key Vault, postępuj zgodnie z instrukcjami z dokumentacji usługi Azure Key Vault, korzystając z tematu Implementowanie własnego klucza (BYOK) dla usługi Azure Key Vault z następującym wyjątkiem:

    • Nie należy wykonywać kroków generowania klucza dzierżawy, ponieważ masz już odpowiednik wdrożenia usług AD RMS. Zamiast tego zidentyfikuj klucze używane przez serwer usług AD RMS z instalacji nCipher i przygotuj te klucze do transferu, a następnie przenieś je do usługi Azure Key Vault.

      Zaszyfrowane pliki kluczy dla nCipher mają nazwę key_<keyAppName>_<keyIdentifier> lokalnie na serwerze. Na przykład C:\Users\All Users\nCipher\Key Management Data\local\key_mscapi_f829e3d888f6908521fe3d91de51c25d27116a54. Będzie potrzebna wartość mscapi jako keyAppName i własna wartość identyfikatora klucza podczas uruchamiania polecenia KeyTransferRemote, aby utworzyć kopię klucza z ograniczonymi uprawnieniami.

      Po przekazaniu klucza do usługi Azure Key Vault zostaną wyświetlone właściwości klucza, które zawierają identyfikator klucza. Będzie wyglądać podobnie do https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Zanotuj ten adres URL, ponieważ administrator usługi Azure Information Protection musi poinformować usługę Azure Rights Management o użyciu tego klucza dla klucza dzierżawy.

  2. Na stacji roboczej podłączonej do Internetu w sesji programu PowerShell użyj polecenia cmdlet Set-AzKeyVaultAccessPolicy , aby autoryzować jednostkę usługi Azure Rights Management w celu uzyskania dostępu do magazynu kluczy, który będzie przechowywać klucz dzierżawy usługi Azure Information Protection. Wymagane uprawnienia to odszyfrowywanie, szyfrowanie, odpakowywanie klucza, zawijanie, weryfikowanie i podpisywanie.

    Jeśli na przykład magazyn kluczy utworzony dla usługi Azure Information Protection nosi nazwę contoso-byok-ky, a grupa zasobów ma nazwę contoso-byok-rg, uruchom następujące polecenie:

    Set-AzKeyVaultAccessPolicy -VaultName "contoso-byok-kv" -ResourceGroupName "contoso-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get

Teraz, po przygotowaniu klucza HSM w usłudze Azure Key Vault dla usługi Azure Rights Management z usługi Azure Information Protection, możesz zaimportować dane konfiguracji usług AD RMS.

Część 2. Importowanie danych konfiguracji do usługi Azure Information Protection

Te procedury są wykonywane przez administratora usługi Azure Information Protection.

  1. Na stacji roboczej łączącej się z Internetem i w sesji programu PowerShell nawiąż połączenie z usługą Azure Rights Management przy użyciu polecenia cmdlet Połączenie-AipService.

    Następnie przekaż każdy zaufany plik domeny publikowania (xml) przy użyciu polecenia cmdlet Import-AipServiceTpd . Na przykład należy mieć co najmniej jeden dodatkowy plik do zaimportowania w przypadku uaktualnienia klastra usług AD RMS dla trybu kryptograficznego 2.

    Aby uruchomić to polecenie cmdlet, potrzebne jest hasło określone wcześniej dla każdego pliku danych konfiguracji oraz adres URL klucza, który został zidentyfikowany w poprzednim kroku.

    Na przykład przy użyciu pliku danych konfiguracji C:\contoso-tpd1.xml i wartości adresu URL klucza z poprzedniego kroku najpierw uruchom następujące polecenie, aby zapisać hasło:

     $TPD_Password = Read-Host -AsSecureString

    Wprowadź hasło określone do wyeksportowania pliku danych konfiguracji. Następnie uruchom następujące polecenie i potwierdź, że chcesz wykonać tę akcję:

    Import-AipServiceTpd -TpdFile "C:\contoso-tpd1.xml" -ProtectionPassword $TPD_Password –KeyVaultKeyUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose

    W ramach tego importu klucz SLC jest importowany i automatycznie ustawiany jako zarchiwizowany.

  2. Po przekazaniu każdego pliku uruchom polecenie Set-AipServiceKeyProperties , aby określić, który zaimportowany klucz jest zgodny z aktualnie aktywnym kluczem SLC w klastrze usług AD RMS. Ten klucz staje się aktywnym kluczem dzierżawy dla usługi Azure Rights Management.

  3. Użyj polecenia cmdlet Disconnect-AipServiceService, aby odłączyć się od usługi Azure Rights Management:

    Disconnect-AipServiceService

Jeśli później musisz potwierdzić, który klucz dzierżawy usługi Azure Information Protection jest używany w usłudze Azure Key Vault, użyj polecenia cmdlet Get-AipServiceKeys usługi Azure RMS.

Teraz możesz przejść do kroku 5. Aktywuj usługę Azure Rights Management.