Använda kundhanterade nycklar i Azure Key Vault för Azure Data Box
Azure Data Box skyddar enhetens upplåsningsnyckel (kallas även enhetslösenord), som används för att låsa en enhet via en krypteringsnyckel. Som standard är den här krypteringsnyckeln en Microsoft-hanterad nyckel. Om du vill ha mer kontroll kan du använda en kundhanterad nyckel.
Hur data på enheten krypteras påverkas inte av att du använder en kundhanterad nyckel. Det påverkar bara hur enhetens upplåsningsnyckel krypteras.
Om du vill behålla den här nivån av kontroll under hela beställningsprocessen använder du en kundhanterad nyckel när du skapar din beställning. Mer information finns i Självstudie: Beställa Azure Data Box.
Den här artikeln visar hur du aktiverar en kundhanterad nyckel för din befintliga Data Box-beställning i Azure-portalen. Du får lära dig hur du ändrar nyckelvalvet, nyckeln, versionen eller identiteten för din aktuella kundhanterade nyckel eller växlar tillbaka till att använda en Microsoft-hanterad nyckel.
Den här artikeln gäller för Azure Data Box- och Azure Data Box Heavy-enheter.
Behov
Den kundhanterade nyckeln för en Data Box-beställning måste uppfylla följande krav:
- Nyckeln måste skapas och lagras i ett Azure Key Vault som har Mjuk borttagning och Rensa inte aktiverat. Mer information finns i Vad är Azure Key Vault?. Du kan skapa ett nyckelvalv och en nyckel när du skapar eller uppdaterar din beställning.
- Nyckeln måste vara en RSA-nyckel med storleken 2048 eller större.
- Du måste aktivera behörigheterna
Get,UnwrapKeyochWrapKeyför nyckeln i Azure Key Vault. Behörigheterna måste finnas kvar under beställningens livslängd. Annars går det inte att komma åt den kundhanterade nyckeln i början av datakopieringsfasen.
Aktivera nyckel
Följ dessa steg för att aktivera en kundhanterad nyckel för din befintliga Data Box-beställning i Azure-portalen:
Gå till översiktsskärmen för din Data Box-beställning.
Gå till Inställningar > Kryptering och välj Kundhanterad nyckel. Välj sedan Välj en nyckel och ett nyckelvalv.
På skärmen Välj nyckel från Azure Key Vault fylls din prenumeration i automatiskt.
För Nyckelvalv kan du välja ett befintligt nyckelvalv i listrutan eller välja Skapa nytt och skapa ett nytt nyckelvalv.
Om du vill skapa ett nytt nyckelvalv anger du prenumerationen, resursgruppen, nyckelvalvets namn och annan information på skärmen Skapa nytt nyckelvalv . I Återställningsalternativ kontrollerar du att skydd mot mjuk borttagning och rensning är aktiverade. Välj sedan Granska + Skapa.
Granska informationen för ditt nyckelvalv och välj Skapa. Vänta några minuter tills skapandet av nyckelvalvet har slutförts.
På skärmen Välj nyckel från Azure Key Vault kan du välja en befintlig nyckel från nyckelvalvet eller skapa en ny.
Om du vill skapa en ny nyckel väljer du Skapa ny. Du måste använda en RSA-nyckel. Storleken kan vara 2048 eller större.
Ange ett namn på den nya nyckeln, acceptera de andra standardvärdena och välj Skapa. Du får ett meddelande om att en nyckel har skapats i ditt nyckelvalv.
För Version kan du välja en befintlig nyckelversion i listrutan.
Om du vill generera en ny nyckelversion väljer du Skapa ny.
Välj inställningar för den nya nyckelversionen och välj Skapa.
När du har valt ett nyckelvalv, en nyckel och en nyckelversion väljer du Välj.
Inställningarna för krypteringstyp visar det nyckelvalv och den nyckel som du har valt.
Välj den typ av identitet som ska användas för att hantera den kundhanterade nyckeln för den här resursen. Du kan använda den systemtilldelade identiteten som genererades när beställningen skapades eller välja en användartilldelad identitet.
En användartilldelad identitet är en oberoende resurs som du kan använda för att hantera åtkomst till resurser. Mer information finns i Hanterade identitetstyper.
Om du vill tilldela en användaridentitet väljer du Användartilldelad. Välj sedan Välj en användaridentitet och välj den hanterade identitet som du vill använda.
Du kan inte skapa en ny användaridentitet här. Information om hur du skapar en finns i Skapa, lista, ta bort eller tilldela en roll till en användartilldelad hanterad identitet med hjälp av Azure-portalen.
Den valda användaridentiteten visas i inställningarna för krypteringstyp.
Välj Spara för att spara de uppdaterade inställningarna för krypteringstyp .
Nyckel-URL:en visas under Krypteringstyp.
Viktigt!
Du måste aktivera behörigheterna Get, UnwrapKeyoch WrapKey för nyckeln. Information om hur du anger behörigheter i Azure CLI finns i az keyvault set-policy.
Ändra nyckel
Följ dessa steg om du vill ändra nyckelvalvet, nyckeln och/eller nyckelversionen för den kundhanterade nyckel som du använder för närvarande:
På skärmen Översikt för din Data Box-beställning går du till Inställningar> Kryptering och klickar på Ändra nyckel.
Välj Välj ett annat nyckelvalv och en annan nyckel.
Skärmen Välj nyckel från key vault visar prenumerationen men ingen nyckelvalv, nyckel eller nyckelversion. Du kan göra någon av följande ändringar:
Välj en annan nyckel från samma nyckelvalv. Du måste välja nyckelvalvet innan du väljer nyckeln och versionen.
Välj ett annat nyckelvalv och tilldela en ny nyckel.
Ändra versionen för den aktuella nyckeln.
När du är klar med ändringarna väljer du Välj.
Välj Spara.
Viktigt!
Du måste aktivera behörigheterna Get, UnwrapKeyoch WrapKey för nyckeln. Information om hur du anger behörigheter i Azure CLI finns i az keyvault set-policy.
Ändra identitet
Följ dessa steg för att ändra den identitet som används för att hantera åtkomst till den kundhanterade nyckeln för den här ordern:
På skärmen Översikt för din slutförda Data Box-beställning går du till Inställningar> Kryptering.
Gör någon av följande ändringar:
Om du vill ändra till en annan användaridentitet klickar du på Välj en annan användaridentitet. Välj sedan en annan identitet i panelen till höger på skärmen och välj Välj.
Om du vill växla till den systemtilldelade identiteten som genererades när beställningen skapades väljer du System som tilldelats av Välj identitetstyp.
Välj Spara.
Använda Microsoft-hanterad nyckel
Följ dessa steg om du vill ändra från att använda en kundhanterad nyckel till Microsofts hanterade nyckel för din beställning:
På skärmen Översikt för din slutförda Data Box-beställning går du till Inställningar> Kryptering.
Välj Microsofts hanterade nyckel efter Välj typ.
Välj Spara.
Felsöka fel
Om du får fel som rör din kundhanterade nyckel använder du följande tabell för att felsöka.
| Felkod | Felinformation | Ersättningsgilla? |
|---|---|---|
| SsemUserErrorEncryptionKeyDisabled | Det gick inte att hämta nyckeln eftersom den kundhanterade nyckeln är inaktiverad. | Ja, genom att aktivera nyckelversionen. |
| SsemUserErrorEncryptionKeyExpired | Det gick inte att hämta nyckeln eftersom den kundhanterade nyckeln har upphört att gälla. | Ja, genom att aktivera nyckelversionen. |
| SsemUserErrorKeyDetailsNotFound | Det gick inte att hämta nyckeln eftersom det inte gick att hitta den kundhanterade nyckeln. | Om du har tagit bort nyckelvalvet kan du inte återställa den kundhanterade nyckeln. Om du migrerade nyckelvalvet till en annan klientorganisation läser du Ändra ett klient-ID för nyckelvalvet efter en prenumerationsflytt. Om du har tagit bort nyckelvalvet:
Annars om nyckelvalvet genomgick en klientmigrering, ja, kan det återställas med något av stegen nedan:
|
| SsemUserErrorKeyVaultBadRequestException | Tillämpat en kundhanterad nyckel men nyckelåtkomsten har inte beviljats eller har återkallats eller kan inte komma åt nyckelvalvet på grund av att brandväggen har aktiverats. | Lägg till den identitet som valts i nyckelvalvet för att aktivera åtkomst till den kundhanterade nyckeln. Om nyckelvalvet har brandvägg aktiverat växlar du till en systemtilldelad identitet och lägger sedan till en kundhanterad nyckel. Mer information finns i Aktivera nyckeln. |
| SsemUserErrorKeyVaultDetailsNotFound | Det gick inte att hämta nyckeln eftersom det inte gick att hitta det associerade nyckelvalvet för den kundhanterade nyckeln. | Om du har tagit bort nyckelvalvet kan du inte återställa den kundhanterade nyckeln. Om du migrerade nyckelvalvet till en annan klientorganisation läser du Ändra ett klient-ID för nyckelvalvet efter en prenumerationsflytt. Om du har tagit bort nyckelvalvet:
Annars om nyckelvalvet genomgick en klientmigrering, ja, kan det återställas med något av stegen nedan:
|
| SsemUserErrorSystemAssignedIdentityAbsent | Det gick inte att hämta nyckeln eftersom det inte gick att hitta den kundhanterade nyckeln. | Ja, kontrollera om:
|
| SsemUserErrorUserAssignedLimitReached | Det gick inte att lägga till en ny användartilldelad identitet eftersom du har nått gränsen för det totala antalet användartilldelade identiteter som kan läggas till. | Försök igen med färre användaridentiteter eller ta bort vissa användartilldelade identiteter från resursen innan du försöker igen. |
| SsemUserErrorCrossTenantIdentityAccessForbidden | Åtgärden för hanterad identitetsåtkomst misslyckades. Obs! Det här felet kan inträffa när en prenumeration flyttas till en annan klientorganisation. Kunden måste flytta identiteten manuellt till den nya klientorganisationen. |
Prova att lägga till en annan användartilldelad identitet i nyckelvalvet för att aktivera åtkomst till den kundhanterade nyckeln. Eller flytta identiteten till den nya klientorganisationen där prenumerationen finns. Mer information finns i Aktivera nyckeln. |
| SsemUserErrorKekUserIdentityNotFound | Tillämpade en kundhanterad nyckel, men den användartilldelade identiteten som har åtkomst till nyckeln hittades inte i active directory. Obs! Det här felet kan inträffa när en användaridentitet tas bort från Azure. |
Prova att lägga till en annan användartilldelad identitet i nyckelvalvet för att aktivera åtkomst till den kundhanterade nyckeln. Mer information finns i Aktivera nyckeln. |
| SsemUserErrorUserAssignedIdentityAbsent | Det gick inte att hämta nyckeln eftersom det inte gick att hitta den kundhanterade nyckeln. | Det gick inte att komma åt den kundhanterade nyckeln. Antingen tas den användartilldelade identiteten (UAI) som är associerad med nyckeln bort eller så har UAI-typen ändrats. |
| SsemUserErrorKeyVaultBadRequestException | Tillämpat en kundhanterad nyckel, men nyckelåtkomsten har inte beviljats eller återkallats, eller så gick det inte att komma åt nyckelvalvet eftersom en brandvägg är aktiverad. | Lägg till den identitet som valts i nyckelvalvet för att aktivera åtkomst till den kundhanterade nyckeln. Om nyckelvalvet har en brandvägg aktiverad växlar du till en systemtilldelad identitet och lägger sedan till en kundhanterad nyckel. Mer information finns i Aktivera nyckeln. |
| SsemUserErrorEncryptionKeyTypeNotSupported | Krypteringsnyckeltypen stöds inte för åtgärden. | Aktivera en krypteringstyp som stöds på nyckeln, till exempel RSA eller RSA-HSM. Mer information finns i Nyckeltyper, algoritmer och åtgärder. |
| SsemUserErrorSoftDeleteAndPurgeProtectionNotEnabled | Nyckelvalvet har inte aktiverat skydd mot mjuk borttagning eller rensning. | Se till att både skydd mot mjuk borttagning och rensning är aktiverade i nyckelvalvet. |
| SsemUserErrorInvalidKeyVaultUrl (Endast kommandorad) |
En ogiltig nyckelvalvs-URI användes. | Hämta rätt nyckelvalvs-URI. Om du vill hämta nyckelvalvs-URI:n använder du Get-AzKeyVault i PowerShell. |
| SsemUserErrorKeyVaultUrlWithInvalidScheme | Endast HTTPS stöds för att skicka nyckelvalvets URI. | Skicka nyckelvalvets URI via HTTPS. |
| SsemUserErrorKeyVaultUrlInvalidHost | Nyckelvalvets URI-värd är inte en tillåten värd i den geografiska regionen. | I det offentliga molnet ska nyckelvalvs-URI:n sluta med vault.azure.net. I Azure Government-molnet bör nyckelvalvs-URI:n sluta med vault.usgovcloudapi.net. |
| Allmänt fel | Det gick inte att hämta nyckeln. | Det här felet är ett allmänt fel. Kontakta Microsoft Support för att felsöka felet och fastställa nästa steg. |