Azure Data Box için Azure Key Vault'ta müşteri tarafından yönetilen anahtarları kullanma

  • Makale

Azure Data Box bir şifreleme anahtarı aracılığıyla cihazı kilitlemek için kullanılan cihaz kilidini açma anahtarını (cihaz parolası olarak da bilinir) korur. Varsayılan olarak bu şifreleme anahtarı Microsoft tarafından yönetilen bir anahtardır. Daha fazla denetim sahibi olmak için müşteri tarafından yönetilen bir anahtar kullanabilirsiniz.

Müşteri tarafından yönetilen bir anahtarın kullanılması, cihazdaki verilerin şifrelenme biçimini etkilemez. Yalnızca cihaz kilidini açma anahtarının şifrelenme biçimini etkiler.

Sipariş süreci boyunca bu denetim düzeyini korumak için, siparişinizi oluştururken müşteri tarafından yönetilen bir anahtar kullanın. Daha fazla bilgi için bkz . Öğretici: Azure Data Box'ı sıralama.

Bu makalede, Azure portalında mevcut Data Box siparişiniz için müşteri tarafından yönetilen anahtarın nasıl etkinleştirileceği gösterilmektedir. Müşteri tarafından yönetilen geçerli anahtarınız için anahtar kasasını, anahtarı, sürümü veya kimliği değiştirmeyi ya da Microsoft tarafından yönetilen anahtarı kullanmaya geri dönmeyi öğreneceksiniz.

Bu makale, Azure Data Box ve Azure Data Box Heavy cihazları için geçerlidir.

Gereksinimler

Data Box siparişinin müşteri tarafından yönetilen anahtarı aşağıdaki gereksinimleri karşılamalıdır:

  • Anahtar, Geçici silmeve Temizleme özelliğinin etkin olduğu bir Azure Key Vault'ta oluşturulup depolanmalıdır. Daha fazla bilgi için bkz . Azure Key Vault nedir?. Siparişinizi oluştururken veya güncelleştirirken bir anahtar kasası ve anahtar oluşturabilirsiniz.
  • Anahtar, 2048 veya daha büyük bir RSA anahtarı olmalıdır.
  • Azure Key Vault'ta Getanahtar için , UnwrapKeyve WrapKey izinlerini etkinleştirmeniz gerekir. İzinlerin, siparişin ömrü boyunca yerinde kalması gerekir. Aksi takdirde, müşteri tarafından yönetilen anahtara Veri Kopyalama aşamasının başlangıcında erişemezsiniz.

Anahtarı etkinleştir

Azure portalında mevcut Data Box siparişiniz için müşteri tarafından yönetilen bir anahtarı etkinleştirmek için şu adımları izleyin:

  1. Data Box siparişiniz için Genel Bakış ekranına gidin.

    Overview screen of a Data Box order - 1

  2. Ayarlar Şifreleme'ye gidin ve Müşteri tarafından yönetilen anahtar'ı seçin. > Ardından Anahtar ve anahtar kasası seçin'i seçin.

    Select the customer-managed key encryption option

    Azure Key Vault'tan anahtar seçin ekranında aboneliğiniz otomatik olarak doldurulur.

  3. Anahtar kasası için açılan listeden mevcut bir anahtar kasasını seçebilir veya Yeni oluştur'u seçerek yeni bir anahtar kasası oluşturabilirsiniz.

    Key vault options when selecting a customer-managed key

    Yeni bir anahtar kasası oluşturmak için Yeni anahtar kasası oluştur ekranına aboneliği, kaynak grubunu, anahtar kasası adını ve diğer bilgileri girin. Kurtarma seçenekleri'nde Geçici silme ve Temizleme korumasının etkinleştirildiğinden emin olun. Ardından Gözden Geçir + Oluştur'u seçin.

    Review and create Azure Key Vault

    Anahtar kasanızın bilgilerini gözden geçirin ve Oluştur'u seçin. Anahtar kasası oluşturma işleminin tamamlanması için birkaç dakika bekleyin.

    Create Azure Key Vault with your settings

  4. Azure Key Vault'tan anahtar seçin ekranında, anahtar kasasından mevcut bir anahtarı seçebilir veya yeni bir anahtar oluşturabilirsiniz.

    Select key from Azure Key Vault

    Yeni bir anahtar oluşturmak istiyorsanız Yeni oluştur'u seçin. Bir RSA anahtarı kullanmanız gerekir. Boyut 2048 veya daha büyük olabilir.

    Create new key in Azure Key Vault

    Yeni anahtarınız için bir ad girin, diğer varsayılan değerleri kabul edin ve Oluştur'u seçin. Anahtar kasanızda bir anahtar oluşturulduğu bildirilir.

    Name new key

  5. Sürüm için, açılan listeden mevcut bir anahtar sürümünü seçebilirsiniz.

    Select version for new key

    Yeni bir anahtar sürümü oluşturmak istiyorsanız Yeni oluştur'u seçin.

    Open a dialog box for creating a new key version

    Yeni anahtar sürümü için ayarları seçin ve Oluştur'u seçin.

    Create a new key version

  6. Bir anahtar kasası, anahtar ve anahtar sürümü seçtiğinizde Seç'i seçin.

    A key in an Azure Key Vault

    Şifreleme türü ayarları, seçtiğiniz anahtar kasasını ve anahtarı gösterir.

    Key and key vault for a customer-managed key

  7. Bu kaynağın müşteri tarafından yönetilen anahtarını yönetmek için kullanılacak kimlik türünü seçin. Sipariş oluşturma sırasında oluşturulan sistem tarafından atanan kimliği kullanabilir veya kullanıcı tarafından atanan bir kimlik seçebilirsiniz.

    Kullanıcı tarafından atanan kimlik, kaynaklara erişimi yönetmek için kullanabileceğiniz bağımsız bir kaynaktır. Daha fazla bilgi için bkz . Yönetilen kimlik türleri.

    Select the identity type

    Kullanıcı kimliği atamak için Kullanıcı tarafından atanan'ı seçin. Ardından Kullanıcı kimliği seçin'i seçin ve kullanmak istediğiniz yönetilen kimliği seçin.

    Select an identity to use

    Burada yeni bir kullanıcı kimliği oluşturamazsınız. Nasıl oluşturulacağını öğrenmek için bkz . Azure portalını kullanarak kullanıcı tarafından atanan yönetilen kimliğe rol oluşturma, listeleme, silme veya atama.

    Seçilen kullanıcı kimliği Şifreleme türü ayarlarında gösterilir.

    A selected user identity shown in Encryption type settings

  8. Güncelleştirilmiş Şifreleme türü ayarlarını kaydetmek için Kaydet'i seçin.

    Save your customer-managed key

    Anahtar URL'si Şifreleme türü altında görüntülenir.

    Customer-managed key URL

Önemli

Anahtar üzerinde Get, UnwrapKeyve WrapKey izinlerini etkinleştirmeniz gerekir. Azure CLI'da izinleri ayarlamak için bkz . az keyvault set-policy.

Anahtarı değiştir

Kullanmakta olduğunuz müşteri tarafından yönetilen anahtarın anahtar kasası, anahtar ve/veya anahtar sürümünü değiştirmek için şu adımları izleyin:

  1. Data Box siparişinizin Genel Bakış ekranında Ayarlar> Şifreleme'ye gidin ve Anahtarı değiştir'e tıklayın.

    Overview screen of a Data Box order with customer-managed key - 1

  2. Farklı bir anahtar kasası ve anahtar seçin'i seçin.

    Overview screen of a Data Box order, Select a different key and key vault option

  3. Anahtar kasasından anahtar seçin ekranında abonelik gösterilir ancak anahtar kasası, anahtar veya anahtar sürümü yoktur. Aşağıdaki değişikliklerden herhangi birini yapabilirsiniz:

    • Aynı anahtar kasasından farklı bir anahtar seçin. Anahtarı ve sürümü seçmeden önce anahtar kasasını seçmeniz gerekir.

    • Farklı bir anahtar kasası seçin ve yeni bir anahtar atayın.

    • Geçerli anahtarın sürümünü değiştirin.

    Değişikliklerinizi bitirdiğinizde Seç'i seçin.

    Choose encryption option - 2

  4. Kaydet'i seçin.

    Save updated encryption settings - 1

Önemli

Anahtar üzerinde Get, UnwrapKeyve WrapKey izinlerini etkinleştirmeniz gerekir. Azure CLI'da izinleri ayarlamak için bkz . az keyvault set-policy.

Kimliği değiştirme

Bu siparişin müşteri tarafından yönetilen anahtarına erişimi yönetmek için kullanılan kimliği değiştirmek için şu adımları izleyin:

  1. Tamamlanmış Data Box siparişiniz için Genel Bakış ekranında Ayarlar> Şifreleme'ye gidin.

  2. Aşağıdaki değişikliklerden birini yapın:

    • Farklı bir kullanıcı kimliğine geçmek için Farklı bir kullanıcı kimliği seçin'e tıklayın. Ardından ekranın sağ tarafındaki panelde farklı bir kimlik seçin ve Seç'i seçin.

      Option for changing the user-assigned identity for a customer-managed key

    • Sipariş oluşturma sırasında oluşturulan sistem tarafından atanan kimliğe geçmek için Kimlik türünü seçin tarafından atanan sistem'i seçin.

      Option for changing to a system-assigned for a customer-managed key

  3. Kaydet'i seçin.

    Save updated encryption settings - 2

Microsoft yönetilen anahtarını kullanma

Müşteri tarafından yönetilen anahtar kullanmaktan siparişiniz için Microsoft tarafından yönetilen anahtara geçmek için şu adımları izleyin:

  1. Tamamlanmış Data Box siparişiniz için Genel Bakış ekranında Ayarlar> Şifreleme'ye gidin.

  2. Tür seç'e göre Microsoft yönetilen anahtarı'yı seçin.

    Overview screen of a Data Box order - 5

  3. Kaydet'i seçin.

    Save updated encryption settings for a Microsoft managed key

Hataları giderme

Müşteri tarafından yönetilen anahtarınız ile ilgili herhangi bir hata alırsanız, sorun gidermek için aşağıdaki tabloyu kullanın.

Hata kodu Hata ayrıntıları Kurtarılabilir?
SsemUserErrorEncryptionKeyDisabled Müşteri tarafından yönetilen anahtar devre dışı olduğundan geçiş anahtarı getirilemedi. Evet, anahtar sürümünü etkinleştirerek.
SsemUserErrorEncryptionKeyExpired Müşteri tarafından yönetilen anahtarın süresi dolduğundan geçiş anahtarı getirilemedi. Evet, anahtar sürümünü etkinleştirerek.
SsemUserErrorKeyDetailsNotFound Müşteri tarafından yönetilen anahtar bulunamadığından geçiş anahtarı getirilemedi. Anahtar kasasını sildiyseniz, müşteri tarafından yönetilen anahtarı kurtaramazsınız. Anahtar kasasını farklı bir kiracıya geçirdiyseniz bkz . Abonelik taşındıktan sonra anahtar kasası kiracı kimliğini değiştirme. Anahtar kasasını sildiyseniz:
  1. Evet, temizleme koruması süresi içindeyse, Anahtar kasasını kurtarma adımlarını kullanın.
  2. Hayır, temizleme koruması süresinin ötesindeyse.

Aksi takdirde anahtar kasası bir kiracı geçişi altındaysa evet, aşağıdaki adımlardan biri kullanılarak kurtarılabilir:
  1. Anahtar kasasını eski kiracıya geri döndür.
  2. Değerini ayarlayın Identity = None ve sonra değerine geri Identity = SystemAssignedayarlayın. Bu, yeni kimlik oluşturulduktan sonra kimliği siler ve yeniden oluşturur. Anahtar kasasının Erişim ilkesinde yeni kimlik için , WrapKeyve UnwrapKey izinlerini etkinleştirinGet.
SsemUserErrorKeyVaultBadRequestException Müşteri tarafından yönetilen bir anahtar uygulandı, ancak anahtar erişimi verilmedi veya iptal edildi ya da güvenlik duvarının etkinleştirilmesi nedeniyle anahtar kasasına erişilemiyor. Müşteri tarafından yönetilen anahtara erişimi etkinleştirmek için seçilen kimliği anahtar kasanıza ekleyin. Anahtar kasasında güvenlik duvarı etkinleştirildiyse sistem tarafından atanan kimliğe geçin ve müşteri tarafından yönetilen bir anahtar ekleyin. Daha fazla bilgi için bkz. Anahtarı etkinleştirme.
SsemUserErrorKeyVaultDetailsNotFound Müşteri tarafından yönetilen anahtar için ilişkili anahtar kasası bulunamadığından geçiş anahtarı getirilemedi. Anahtar kasasını sildiyseniz, müşteri tarafından yönetilen anahtarı kurtaramazsınız. Anahtar kasasını farklı bir kiracıya geçirdiyseniz bkz . Abonelik taşındıktan sonra anahtar kasası kiracı kimliğini değiştirme. Anahtar kasasını sildiyseniz:
  1. Evet, temizleme koruması süresi içindeyse, Anahtar kasasını kurtarma adımlarını kullanın.
  2. Hayır, temizleme koruması süresinin ötesindeyse.

Aksi takdirde anahtar kasası bir kiracı geçişi altındaysa evet, aşağıdaki adımlardan biri kullanılarak kurtarılabilir:
  1. Anahtar kasasını eski kiracıya geri döndür.
  2. Değerini ayarlayın Identity = None ve sonra değerine geri Identity = SystemAssignedayarlayın. Bu, yeni kimlik oluşturulduktan sonra kimliği siler ve yeniden oluşturur. Anahtar kasasının Erişim ilkesinde yeni kimlik için , WrapKeyve UnwrapKey izinlerini etkinleştirinGet.
SsemUserErrorSystemAssignedIdentityAbsent Müşteri tarafından yönetilen anahtar bulunamadığından geçiş anahtarı getirilemedi. Evet, şu olup olmadığını denetleyin:
  1. Anahtar kasası erişim ilkesinde MSI'yi kullanmaya devam ediyor.
  2. Kimlik, Sistem tarafından atanan türündedir.
  3. Anahtar kasasının erişim ilkesinde kimlik için , WrapKeyve UnwrapKey izinlerini etkinleştirinGet. Bu izinler siparişin ömrü boyunca kalmalıdır. Bunlar, sipariş oluşturma sırasında ve Veri Kopyalama aşamasının başında kullanılır.
SsemUserErrorUserAssignedLimitReached Eklenebilen kullanıcı tarafından atanan toplam kimlik sayısı sınırına ulaştığınız için yeni Kullanıcı Tarafından Atanan Kimlik eklenemedi. İşlemi daha az kullanıcı kimliğiyle yeniden deneyin veya yeniden denemeden önce kaynaktan kullanıcı tarafından atanan bazı kimlikleri kaldırın.
SsemUserErrorCrossTenantIdentityAccessForbidden Yönetilen kimlik erişimi işlemi başarısız oldu.
Not: Abonelik farklı bir kiracıya taşındığında bu hata oluşabilir. Müşterinin kimliği yeni kiracıya el ile taşıması gerekir.		 Müşteri tarafından yönetilen anahtara erişimi etkinleştirmek için anahtar kasanıza kullanıcı tarafından atanan farklı bir kimlik eklemeyi deneyin. Veya kimliği aboneliğin bulunduğu yeni kiracıya taşıyın. Daha fazla bilgi için bkz. Anahtarı etkinleştirme.
SsemUserErrorKekUserIdentityNotFound Müşteri tarafından yönetilen bir anahtar uygulandı, ancak anahtara erişimi olan kullanıcı tarafından atanan kimlik Active Directory'de bulunamadı.
Not: Bir kullanıcı kimliği Azure'dan silindiğinde bu hata oluşabilir.		 Müşteri tarafından yönetilen anahtara erişimi etkinleştirmek için anahtar kasanıza kullanıcı tarafından atanan farklı bir kimlik eklemeyi deneyin. Daha fazla bilgi için bkz. Anahtarı etkinleştirme.
SsemUserErrorUserAssignedIdentityAbsent Müşteri tarafından yönetilen anahtar bulunamadığından geçiş anahtarı getirilemedi. Müşteri tarafından yönetilen anahtara erişilemedi. Anahtarla ilişkilendirilmiş Kullanıcı Tarafından Atanan Kimlik (UAI) silinir veya UAI türü değişir.
SsemUserErrorKeyVaultBadRequestException Müşteri tarafından yönetilen bir anahtar uygulandı, ancak anahtar erişimi verilmedi veya iptal edildi ya da güvenlik duvarı etkinleştirildiğinden anahtar kasasına erişilemedi. Müşteri tarafından yönetilen anahtara erişimi etkinleştirmek için seçilen kimliği anahtar kasanıza ekleyin. Anahtar kasasında güvenlik duvarı etkinleştirildiyse sistem tarafından atanan kimliğe geçin ve müşteri tarafından yönetilen bir anahtar ekleyin. Daha fazla bilgi için bkz. Anahtarı etkinleştirme.
SsemUserErrorEncryptionKeyTypeNotSupported Şifreleme anahtarı türü işlem için desteklenmez. Anahtarda desteklenen bir şifreleme türünü etkinleştirin; örneğin, RSA veya RSA-HSM. Daha fazla bilgi için bkz . Anahtar türleri, algoritmalar ve işlemler.
SsemUserErrorSoftDeleteAndPurgeProtectionNotEnabled Anahtar kasasında geçici silme veya temizleme koruması etkinleştirilmemiş. Anahtar kasasında hem geçici silme hem de temizleme korumasının etkinleştirildiğinden emin olun.
SsemUserErrorInvalidKeyVaultUrl
(Yalnızca komut satırı)		 Geçersiz bir anahtar kasası URI'si kullanıldı. Doğru anahtar kasası URI'sini alın. Anahtar kasası URI'sini almak için PowerShell'de Get-AzKeyVault kullanın.
SsemUserErrorKeyVaultUrlWithInvalidScheme Anahtar kasası URI'sini geçirmek için yalnızca HTTPS desteklenir. Anahtar kasası URI'sini HTTPS üzerinden geçirin.
SsemUserErrorKeyVaultUrlInvalidHost Anahtar kasası URI konağı, coğrafi bölgede izin verilen bir konak değildir. Genel bulutta anahtar kasası URI'sinin ile vault.azure.netbitmesi gerekir. Azure Kamu bulutunda anahtar kasası URI'sinin ile vault.usgovcloudapi.netbitmesi gerekir.
Genel hata Geçiş anahtarı getirilemedi. Bu hata genel bir hatadır. Hatayı gidermek ve sonraki adımları belirlemek için Microsoft Desteği başvurun.

Sonraki adımlar