Azure Key Vault kullanarak Azure Stack Edge gizli dizilerini yönetme

ŞUNLAR IÇIN GEÇERLIDIR:Azure Stack Edge Pro - GPUAzure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R

Azure Key Vault, gizli dizi yönetimi için Azure Stack Edge kaynağıyla tümleşiktir. Bu makalede, cihaz etkinleştirme sırasında Azure Stack Edge kaynağı için bir Azure Key Vault'un nasıl oluşturulduğuna ve ardından gizli dizi yönetimi için nasıl kullanıldığına ilişkin ayrıntılar sağlanır.

Anahtar kasası ve Azure Stack Edge hakkında

Azure Key Vault bulut hizmeti belirteçlere, parolalara, sertifikalara, API anahtarlarına ve diğer gizli dizilere erişimi güvenli bir şekilde depolamak ve denetlemek için kullanılır. Key Vault, verilerinizi şifrelemek için kullanılan şifreleme anahtarlarını oluşturmayı ve denetlemeyi de kolaylaştırır.

Azure Stack Edge hizmeti için anahtar kasasıyla tümleştirme aşağıdaki avantajları sağlar:

• Müşteri gizli dizilerini depolar. Azure Stack Edge hizmeti için kullanılan gizli dizilerden biri kanal bütünlüğü anahtarıdır (CIK). Bu anahtar gizli dizilerinizi şifrelemenize olanak tanır ve güvenli bir şekilde anahtar kasasında depolanır. BitLocker kurtarma anahtarı ve Temel Kart Yönetim Denetleyicisi (BMC) kullanıcı parolası gibi cihaz gizli dizileri de anahtar kasasında depolanır.

  Daha fazla bilgi için bkz . Gizli dizileri ve anahtarları güvenli bir şekilde depolama.

• Şifrelenmiş müşteri gizli dizilerini cihaza geçirir.

• Cihaz çalışmıyorsa kolay erişim için cihaz gizli dizilerini görüntüler.

Etkinleştirme anahtarı oluşturma ve anahtar kasası oluşturma

Etkinleştirme anahtarı oluşturma işlemi sırasında Azure Stack Edge kaynağı için bir anahtar kasası oluşturulur. Anahtar kasası, Azure Stack Edge kaynağının bulunduğu kaynak grubunda oluşturulur. Anahtar kasasında katkıda bulunan izni gereklidir.

Anahtar kasası için önkoşullar

Etkinleştirme sırasında anahtar kasası oluşturmadan önce aşağıdaki önkoşulların karşılanması gerekir:

• Azure Stack Edge kaynağını oluşturmadan önce Microsoft.KeyVault kaynak sağlayıcısını kaydedin. Aboneliğe sahip veya katkıda bulunan erişiminiz varsa kaynak sağlayıcısı otomatik olarak kaydedilir. Anahtar kasası, Azure Stack Edge kaynağıyla aynı abonelikte ve kaynak grubunda oluşturulur.

• Azure Stack Edge kaynağı oluşturduğunuzda, kaynağın ömrü boyunca kalıcı olan ve bulut üzerindeki kaynak sağlayıcısıyla iletişim kuran sistem tarafından atanan yönetilen kimlik de oluşturulur.

  Yönetilen kimlik etkinleştirildiğinde Azure, Azure Stack Edge kaynağı için güvenilir bir kimlik oluşturur.

Anahtar kasası oluşturma

Kaynağı oluşturduktan sonra, kaynağı cihazla etkinleştirmeniz gerekir. Bunu yapmak için Azure portalından bir etkinleştirme anahtarı oluşturacaksınız.

Etkinleştirme anahtarı oluşturduğunuzda aşağıdaki olaylar gerçekleşir:

• Azure portalında bir etkinleştirme anahtarı istiyorsunuz. İstek daha sonra anahtar kasası kaynak sağlayıcısına gönderilir.
• Erişim ilkesine sahip standart katman anahtar kasası oluşturulur ve varsayılan olarak kilitlenir.

  • Bu anahtar kasası, belirttiğiniz varsayılan adı veya 3 ile 24 karakter uzunluğunda bir özel adı kullanır. Zaten kullanımda olan bir anahtar kasası kullanamazsınız.

  • Anahtar kasası ayrıntıları hizmette depolanır. Bu anahtar kasası gizli dizi yönetimi için kullanılır ve Azure Stack Edge kaynağı mevcut olduğu sürece devam eder.

    

• Kaynak kilidi, yanlışlıkla silinmesini önlemek için anahtar kasasında etkinleştirilir. Geçici silme de anahtar kasasında etkinleştirildiğinden, yanlışlıkla silme işlemi yapılırsa anahtar kasası 90 gün içinde geri yüklenebilir. Daha fazla bilgi için bkz . Azure Key Vault geçici silmeye genel bakış.
• Azure Stack Edge kaynağını oluştururken oluşturulan sistem tarafından atanan yönetilen kimlik etkinleştirildi.
• Kanal bütünlüğü anahtarı (CIK) oluşturulur ve anahtar kasasına yerleştirilir. CIK ayrıntıları hizmette görüntülenir.
• Azure Stack Edge kaynağıyla aynı kapsamda bir Alanlar arası yedekli depolama hesabı (ZRS) oluşturulur ve hesaba bir kilit yerleştirilir.
  • Bu hesap denetim günlüklerini depolamak için kullanılır.
  • Depolama hesabı oluşturma işlemi uzun süre çalışan bir işlemdir ve birkaç dakika sürer.
  • Depolama hesabı anahtar kasası adıyla etiketlenmiş.
• Anahtar kasasına bir tanılama ayarı eklenir ve günlük etkinleştirilir.
• Cihaz gizli dizileri depolamak ve almak için anahtar kasasını kullandığından, anahtar kasasına erişime izin vermek için yönetilen kimlik anahtar kasası erişim ilkesine eklenir.
• Anahtar kasası, etkinleştirme anahtarı oluşturmak için isteğin kimliğini yönetilen kimlikle doğrular. Etkinleştirme anahtarı Azure portalına döndürülür. Ardından bu anahtarı kopyalayıp yerel kullanıcı arabiriminde kullanarak cihazınızı etkinleştirebilirsiniz.

Dekont

• Azure Key Vault, Azure Stack Edge kaynağıyla tümleştirilmeden önce mevcut bir Azure Stack Edge kaynağınız varsa bu durumdan etkilenmezsiniz. Mevcut Azure Stack Edge kaynağınızı kullanmaya devam edebilirsiniz.
• Anahtar kasası ve depolama hesabı oluşturma işlemi, genel kaynak maliyetine eklenir. İzin verilen işlemler ve buna karşılık gelen ücretler hakkında daha fazla bilgi için bkz. Azure Key Vault Fiyatlandırması ve Depolama hesabı için fiyatlandırma.

Anahtar kasası ve cihaz etkinleştirme ile ilgili herhangi bir sorunla karşılaşırsanız bkz . Cihaz etkinleştirme sorunlarını giderme.

Anahtar kasası özelliklerini görüntüleme

Etkinleştirme anahtarı oluşturulduktan ve anahtar kasası oluşturulduktan sonra gizli dizileri, erişim ilkelerini, tanılamaları ve içgörüleri görüntülemek için anahtar kasasına erişmek isteyebilirsiniz. Aşağıdaki yordamda bu işlemlerin her biri açıklanmaktadır.

Gizli dizileri görüntüleme

Etkinleştirme anahtarı oluşturulduktan ve anahtar kasası oluşturulduktan sonra anahtar kasasına erişmek isteyebilirsiniz.

Anahtar kasasına erişmek ve gizli dizileri görüntülemek için şu adımları izleyin:

1. Azure Stack Edge kaynağınızın Azure portalında Güvenlik'e gidin.

2. Sağ bölmedeki Güvenlik'in altında Gizli Dizileri görüntüleyebilirsiniz.

3. Azure Stack Edge kaynağınızla ilişkili anahtar kasasına da gidebilirsiniz. Anahtar kasası adı'na tıklayın.

   

4. Anahtar kasanızda depolanan gizli dizileri görüntülemek için Gizli Diziler'e gidin. Kanal bütünlüğü anahtarı, BitLocker kurtarma anahtarı ve Temel Kart yönetim denetleyicisi (BMC) kullanıcı parolaları anahtar kasasında depolanır. Cihaz kapanırsa portal BitLocker kurtarma anahtarına ve BMC kullanıcı parolasına kolay erişim sağlar.

   

Yönetilen kimlik erişim ilkelerini görüntüleme

Anahtar kasanızın ve yönetilen kimliğinizin erişim ilkelerine erişmek için şu adımları izleyin:

1. Azure Stack Edge kaynağınızın Azure portalında Güvenlik'e gidin.

2. Azure Stack Edge kaynağınızla ilişkili anahtar kasasına gitmek için Anahtar kasası adına karşılık gelen bağlantıyı seçin.

   

3. Anahtar kasanızla ilişkili erişim ilkelerini görüntülemek için Erişim ilkeleri'ne gidin. Yönetilen kimliğe erişim verildiğini görebilirsiniz. Gizli dizi izinleri'ne tıklayın. Yönetilen kimlik erişiminin yalnızca gizli dizinin Get ve Set değeriyle kısıtlandığını görebilirsiniz.

   

Denetim günlüklerini görüntüleme

Anahtar kasasına erişmek ve tanılama ayarlarını ve denetim günlüklerini görüntülemek için şu adımları izleyin:

1. Azure Stack Edge kaynağınızın Azure portalında Güvenlik'e gidin.

2. Azure Stack Edge kaynağınızla ilişkili anahtar kasasına gitmek için Anahtar kasası adına karşılık gelen bağlantıyı seçin.

   

3. Anahtar kasanızla ilişkili tanılama ayarlarını görüntülemek için Tanılama ayarları'na gidin. Bu ayar, anahtar kasalarınıza nasıl ve ne zaman ve kim tarafından erişilir izlemenizi sağlar. Bir tanılama ayarının oluşturulduğunu görebilirsiniz. Günlükler, aynı zamanda oluşturulan depolama hesabına akıyor. Denetim olayları da anahtar kasasında oluşturulur.

   

Anahtar kasasındaki günlükler için farklı bir depolama hedefi yapılandırdıysanız, günlükleri doğrudan bu depolama hesabında görüntüleyebilirsiniz.

İçgörüleri görüntüle

Anahtar kasasında gerçekleştirilen işlemler de dahil olmak üzere anahtar kasası içgörülerine erişmek için şu adımları izleyin:

1. Azure Stack Edge kaynağınızın Azure portalında Güvenlik'e gidin.

2. Anahtar kasası tanılamalarına karşılık gelen bağlantıyı seçin.

   

3. Analizler dikey penceresi, anahtar kasasında gerçekleştirilen işlemlere genel bir bakış sağlar.

   

Yönetilen kimlik durumunu görüntüleme

Azure Stack Edge kaynağınızla ilişkili sistem tarafından atanan yönetilen kimliğin durumunu görüntülemek için şu adımları izleyin:

1. Azure Stack Edge kaynağınızın Azure portalında Güvenlik'e gidin.

2. Sistem tarafından atanan yönetilen kimliğin etkinleştirilip etkinleştirilmediğini veya devre dışı bırakılıp bırakılmadığı görmek için sağ bölmede sistem tarafından atanan yönetilen kimliğe gidin.

   

Anahtar kasası kilitlerini görüntüleme

Anahtar kasasına erişmek ve kilitleri görüntülemek için şu adımları izleyin:

1. Azure Stack Edge kaynağınızın Azure portalında Güvenlik'e gidin.

2. Azure Stack Edge kaynağınızla ilişkili anahtar kasasına gitmek için Anahtar kasası adına karşılık gelen bağlantıyı seçin.

   

3. Anahtar kasanızdaki kilitleri görüntülemek için Kilitler'e gidin. Yanlışlıkla silinmesini önlemek için anahtar kasasında bir kaynak kilidi etkinleştirilir.

   

Etkinleştirme anahtarını yeniden oluşturma

Bazı durumlarda etkinleştirme anahtarını yeniden oluşturmanız gerekebilir. Bir etkinleştirme anahtarını yeniden oluştururken aşağıdaki olaylar gerçekleşir:

1. Azure portalında bir etkinleştirme anahtarını yeniden oluşturmak istiyorsunuz.
2. Etkinleştirme anahtarı Azure portalına döndürülür. Ardından bu anahtarı kopyalayıp kullanabilirsiniz.

Etkinleştirme anahtarını yeniden oluştururken anahtar kasasına erişilmiyor.

Cihaz gizli dizilerini kurtarma

CIK yanlışlıkla silinirse veya gizli diziler (örneğin, BMC kullanıcı parolası) anahtar kasasında eski hale geldiyse, anahtar kasası gizli dizilerini güncelleştirmek için cihazdan gizli dizi göndermeniz gerekir.

Cihaz gizli dizilerini eşitlemek için şu adımları izleyin:

1. Azure portalında Azure Stack Edge kaynağınıza ve ardından Güvenlik'e gidin.

2. Sağ bölmedeki üst komut çubuğundan Cihaz gizli dizilerini eşitle'yi seçin.

3. Cihaz gizli dizileri, anahtar kasasındaki gizli dizileri geri yüklemek veya güncelleştirmek için anahtar kasasına gönderiliyor. Eşitleme tamamlandığında bir bildirim görürsünüz.

   

Anahtar kasayı silme

Azure Stack Edge kaynağıyla ilişkili anahtar kasasını silmenin iki yolu vardır:

• Azure Stack Edge kaynağını silin ve ilişkili anahtar kasasını aynı anda silmeyi seçin.
• Anahtar kasasını yanlışlıkla doğrudan sildi.

Azure Stack Edge kaynağınız silindiğinde anahtar kasası da kaynakla birlikte silinir. Sizden onay istenir. Bu anahtar kasasında başka anahtarlar depoluyorsanız ve bu anahtar kasasını silmeyi düşünmüyorsanız, onay vermemeyi seçebilirsiniz. Anahtar kasasını olduğu gibi bırakarak yalnızca Azure Stack Edge kaynağı silinir.

Azure Stack Edge kaynağını ve ilişkili anahtar kasasını silmek için şu adımları izleyin:

1. Azure portalında Azure Stack Edge kaynağınıza ve ardından Genel Bakış'a gidin.

2. Sağ bölmede Sil'i seçin. Bu eylem Azure Stack Edge kaynağını siler.

   

3. Bir onay dikey penceresi görürsünüz. Azure Stack Edge kaynak adınızı yazın. İlişkili anahtar kasasının silinmesini onaylamak için Evet yazın.

   

4. Sil'i seçin.

Azure Stack Edge kaynağı ve anahtar kasası silinir.

Azure Stack Edge kaynağı kullanımda olduğunda anahtar kasası yanlışlıkla silinebilir. Bu durumda, Azure Stack Edge kaynağınızın Güvenlik sayfasında kritik bir uyarı oluşturulur. Anahtar kasanızı kurtarmak için bu sayfaya gidebilirsiniz.

Anahtar kasayı kurtarma

Azure Stack Edge kaynağınızla ilişkili anahtar kasasını yanlışlıkla silinirse veya temizlenirse kurtarabilirsiniz. Bu anahtar kasası diğer anahtarları depolamak için kullanıldıysa, anahtar kasasını geri yükleyerek bu anahtarları kurtarmanız gerekir.

• Silme işlemini izleyen 90 gün içinde, silinen anahtar kasasını geri yükleyebilirsiniz.
• 90 günlük temizleme koruma süresi zaten geçtiyse anahtar kasasını geri yükleyemezsiniz. Bunun yerine yeni bir anahtar kasası oluşturmanız gerekir.

Silme işlemini izleyen 90 gün içinde anahtar kasanızı kurtarmak için şu adımları izleyin:

• Azure portalında Azure Stack Edge kaynağınızın Güvenlik sayfasına gidin. Kaynağınızla ilişkili anahtar kasasının silindiğini belirten bir bildirim görürsünüz. Anahtar kasanızı kurtarmak için bildirimi seçebilir veya Güvenlik tercihleri'nin altında Anahtar kasası adına göre yeniden yapılandır'ı seçebilirsiniz.

  

• Anahtar kasasını kurtar dikey penceresinde Yapılandır'ı seçin. Aşağıdaki işlemler kurtarmanın bir parçası olarak gerçekleştirilir:

  

  • Anahtar kasası aynı adla kurtarılır ve anahtar kasası kaynağına bir kilit yerleştirilir.

    Dekont

    Anahtar kasanız silinirse ve 90 günlük temizleme koruma süresi dolmazsa, bu süre içinde anahtar kasası adı yeni bir anahtar kasası oluşturmak için kullanılamaz.

  • Denetim günlüklerini depolamak için bir depolama hesabı oluşturulur.

  • Sistem tarafından atanan yönetilen kimliğe anahtar kasasına erişim verilir.

  • Cihaz gizli dizileri anahtar kasasına gönderiliyor.

  Yapılandır'ı seçin.

  

  Anahtar kasası kurtarılır ve kurtarma tamamlandığında bu etkiye yönelik bir bildirim gösterilir.

Anahtar kasası silinirse ve 90 günlük temizleme koruma süresi dolduysa, yukarıda açıklanan Anahtarı kurtarma yordamı aracılığıyla yeni bir anahtar kasası oluşturma seçeneğiniz olur. Bu durumda, anahtar kasanız için yeni bir ad sağlayacaksınız. Yeni bir depolama hesabı oluşturulur, yönetilen kimliğe bu anahtar kasasına erişim verilir ve cihaz gizli dizileri bu anahtar kasasına gönderilir.

Yönetilen kimlik erişimini kurtarma

Sistem tarafından atanan yönetilen kimlik erişim ilkesi silinirse, cihaz anahtar kasası gizli dizilerini yeniden eşitleyemediğinde bir uyarı oluşturulur. Yönetilen kimliğin anahtar kasasına erişimi yoksa yeniden bir cihaz uyarısı oluşturulur. Her durumda uyarıyı seçerek Anahtar kasasını kurtar dikey penceresini açın ve yeniden yapılandırın. Bu işlem yönetilen kimlik erişimini geri yüklemelidir.

Sonraki adımlar

• Etkinleştirme anahtarı oluşturma hakkında daha fazla bilgi edinin.
• Azure Stack Edge cihazınızdaki anahtar kasası hatalarını giderme.