Erros comuns no Key Vault no Gateway de Aplicativo

Este guia de solução de problemas explicará os detalhes dos códigos de erro do Key Vault, respectivas causas e o recurso Key Vault associado que causa o problema. Ele também inclui o guia passo a passo para a resolução desses problemas de configuração.

Observação

Os logs para diagnósticos do Key Vault no Gateway de Aplicativo são gerados a cada intervalo de quatro horas. Portanto, em alguns casos, talvez seja necessário aguardar a atualização dos logs se o diagnóstico continuar a mostrar o erro depois de corrigir a configuração.

Dica

Recomendamos usar um identificador de segredo sem versão. Dessa forma, o Gateway de Aplicativo girará automaticamente o certificado se houver uma versão mais recente disponível no Key Vault. Um exemplo de URI secreto sem a versão https://myvault.vault.azure.net/secrets/mysecret/.

Lista de códigos de erro e detalhes

1) Código de erro: UserAssignedIdentityDoesNotHaveGetPermissionOnKeyVault

Descrição: a identidade gerenciada atribuída pelo usuário não tem permissão GET.

Resolução: configure as política de acesso do Key Vault para conceder as permissões GET da identidade gerenciada atribuída pelo usuário nos segredos.

  1. Navegue até o Key Vault vinculado no portal do Azure
  2. Abra a folha de políticas de acesso
  3. Escolha "Política de acesso ao cofre" para o modelo de permissão
  4. Escolha a permissão "Obter" do Segredo para a identidade gerenciada atribuída pelo usuário
  5. Salvar a configuração

 A identidade atribuída ao usuário não tem permissão Get no Key Vault.

Para ver o guia completo da política de acesso do Key Vault, consulte este artigo

2) Código de erro: SecretDisabled

Descrição: o certificado associado foi desabilitado no Key Vault.

Resolução: reabilitar a versão do certificado que está atualmente em uso para o Gateway de Aplicativo.

  1. Navegue até o Key Vault vinculado no portal do Azure
  2. Abrir a folha de Certificados
  3. Clique no nome do certificado exigido e depois na versão desabilitada
  4. Use a alternância na página de gerenciamento para habilitar essa versão do certificado

Reabilitar um segredo.

3) Código de erro: SecretDeletedFromKeyVault

Descrição: o certificado associado foi excluído no Key Vault.

Resolução: o objeto de certificado excluído em um Key Vault pode ser restaurado usando o recurso de restauração de exclusão temporária. Para recuperar um certificado excluído,

  1. Navegue até o Key Vault vinculado no portal do Azure
  2. Abrir a folha de Certificados
  3. Use a guia "Certificados excluídos gerenciados" para recuperar um certificado excluído.

Por outro lado, se um objeto de certificado for excluído permanentemente, você precisará criar um certificado e atualizar o Gateway de Aplicativo com os novos detalhes do certificado. Ao configurar pela CLI do Azure ou pelo Azure PowerShell, é recomendável usar um URI de identificador de segredo sem versão para permitir que as instâncias recuperem uma versão renovada do certificado, se ela existir.

Recuperar um certificado excluído no Key Vault.

4) Código de erro: UserAssignedManagedIdentityNotFound

Descrição: a identidade gerenciada atribuída pelo usuário não foi excluída.

Resolução: siga a resolução abaixo para resolver esse problema.

  1. Crie uma identidade gerenciada com o mesmo nome usado anteriormente e no mesmo grupo de recursos. Você pode consultar os logs de atividades do recurso para obter detalhes.
  2. Depois de criado, atribua essa nova identidade gerenciada à função Leitor, no mínimo, em Gateway de Aplicativo – Controle de Acesso (IAM).
  3. Por fim, navegue até o recurso de Key Vault desejado e defina as Políticas de Acesso para conceder permissões de segredo GET para essa nova identidade gerenciada.

Mais informações

5) Código de erro: KeyVaultHasRestrictedAccess

Descrição: configuração de rede restrita para o Key Vault.

Resolução: você encontrará esse problema ao habilitar o Firewall do Key Vault para acesso restrito. Você ainda pode configurar o Gateway de Aplicativo em uma rede restrita do Key Vault da seguinte maneira.

  1. Na folha de rede do Key Vault
  2. Escolha o ponto de extremidade privado e redes selecionadas na guia "Firewall e redes virtuais"
  3. Por fim, escolha "Sim" para permitir que os serviços confiáveis ignorem o firewall do Key Vault.

O Key Vault tem acesso restrito.

6) Código de erro: KeyVaultSoftDeleted

Descrição: o Key Vault associado está no estado de exclusão temporária.

Resolução: a recuperação de um Key Vault em exclusão temporária é muito fácil. No portal do Azure, acesse a página de serviço do Key Vault.

Procure o serviço Key Vault.

Clique na guia Cofres excluídos gerenciados. A partir dela, você pode encontrar o recurso Key Vault excluído e recuperá-lo. Recuperar Key Vault excluído usando a exclusão temporária.

7) Código de erro: CustomerKeyVaultSubscriptionDisabled

Descrição: a Assinatura para Key Vault está desabilitada.

Resolução: sua assinatura do Azure pode ser desabilitada por vários motivos. Consulte o guia para Reativar uma assinatura desabilitada do Azure e tomar a ação necessária.