İçeri/Dışarı Aktarma hizmeti için Azure Key Vault'ta müşteri tarafından yönetilen anahtarları kullanma

  • Makale

Azure İçeri/Dışarı Aktarma, sürücüleri şifreleme anahtarı aracılığıyla kilitlemek için kullanılan BitLocker anahtarlarını korur. Varsayılan olarak, BitLocker anahtarları Microsoft tarafından yönetilen anahtarlarla şifrelenir. Şifreleme anahtarları üzerinde ek denetim için müşteri tarafından yönetilen anahtarlar da sağlayabilirsiniz.

Müşteri tarafından yönetilen anahtarların bir Azure Key Vault'ta oluşturulması ve depolanması gerekir. Azure Key Vault hakkında daha fazla bilgi için bkz. Azure Key Vault nedir?

Bu makalede, Azure portalında müşteri tarafından yönetilen anahtarların İçeri/Dışarı Aktarma hizmetiyle nasıl kullanılacağı gösterilmektedir.

Ön koşullar

Başlamadan önce şunlardan emin olun:

  1. Aşağıdaki yönergelere göre bir içeri veya dışarı aktarma işi oluşturdunuz:

  2. BitLocker anahtarınızı korumak için kullanabileceğiniz, içinde anahtar bulunan mevcut bir Azure Key Vault'unuz var. Azure portalını kullanarak anahtar kasası oluşturmayı öğrenmek için bkz . Hızlı Başlangıç: Azure portalını kullanarak Azure Key Vault oluşturma.

    • Geçici silme ve Temizleme , mevcut Key Vault'unuzda ayarlanır. Bu özellikler varsayılan olarak etkinleştirilmez. Bu özellikleri etkinleştirmek için, aşağıdaki makalelerden birinde Geçici silmeyi etkinleştirme ve Temizleme Korumasını Etkinleştirme başlıklı bölümlere bakın:

      • PowerShell ile geçici silmeyi kullanma.
      • CLI ile geçici silmeyi kullanma.

    • Mevcut anahtar kasasında 2048 veya daha büyük bir RSA anahtarı olmalıdır. Anahtarlar hakkında daha fazla bilgi için bkz . Anahtarlar hakkında.

    • Anahtar kasası, verilerinizin depolama hesabıyla aynı bölgede olmalıdır.

    • Mevcut bir Azure Key Vault'nuz yoksa, bu kasayı aşağıdaki bölümde açıklandığı gibi satır içinde de oluşturabilirsiniz.

Anahtarları etkinleştir

İçeri/Dışarı Aktarma hizmetiniz için müşteri tarafından yönetilen anahtarı yapılandırmak isteğe bağlıdır. varsayılan olarak, İçeri/Dışarı Aktarma hizmeti BitLocker anahtarınızı korumak için Microsoft tarafından yönetilen bir anahtar kullanır. Azure portalında müşteri tarafından yönetilen anahtarları etkinleştirmek için şu adımları izleyin:

  1. İçeri Aktarma işinizin Genel Bakış dikey penceresine gidin.

  2. Sağ bölmede BitLocker anahtarlarınızın nasıl şifrelenmesini seçin'i seçin.

    Screenshot of Overview blade for Azure Import/Export job. Overview menu item and link that opens BitLocker key options are highlighted.

  3. Şifreleme dikey penceresinde, cihaz BitLocker anahtarını görüntüleyebilir ve kopyalayabilirsiniz. Şifreleme türü altında, BitLocker anahtarınızı nasıl korumak istediğinizi seçebilirsiniz. Varsayılan olarak, Microsoft tarafından yönetilen anahtar kullanılır.

    Screenshot of Encryption blade for an Azure Import/Export order. Encryption menu item is highlighted.

  4. Müşteri tarafından yönetilen bir anahtar belirtme seçeneğiniz vardır. Müşteri tarafından yönetilen anahtarı seçtikten sonra Anahtar kasasını ve bir anahtarı seçin.

    Screenshot of Encryption blade for Azure Import/Export job.

  5. Azure Key Vault'tan anahtar seçin dikey penceresinde abonelik otomatik olarak doldurulur. Anahtar kasası için açılan listeden mevcut bir anahtar kasasını seçebilirsiniz.

    Screenshot of the

  6. Yeni bir anahtar kasası oluşturmak için Yeni oluştur'u da seçebilirsiniz. Anahtar kasası oluştur dikey penceresinde kaynak grubunu ve anahtar kasası adını girin. Diğer tüm varsayılan değerleri kabul edin. Gözden geçir + Oluştur’u seçin.

    Screenshot of

  7. Anahtar kasanızla ilişkili bilgileri gözden geçirin ve Oluştur'u seçin. Anahtar kasası oluşturma işleminin tamamlanması için birkaç dakika bekleyin.

    Screenshot of the Review Plus Create screen for a new Azure key vault. The Create button is highlighted.

  8. Azure Key Vault'tan anahtar seçin bölümünde, mevcut anahtar kasasında bir anahtar seçebilirsiniz.

  9. Yeni bir anahtar kasası oluşturduysanız, anahtar oluşturmak için Yeni oluştur'u seçin. RSA anahtar boyutu 2048 veya daha büyük olabilir.

    Screenshot of the

    Anahtar kasasını oluştururken geçici silme ve temizleme koruması etkinleştirilmezse, anahtar kasası geçici silme ve temizleme koruması etkinleştirilecek şekilde güncelleştirilir.

  10. Anahtarınızın adını belirtin, diğer varsayılan değerleri kabul edin ve Oluştur'u seçin.

    Screenshot of the

  11. Sürüm'e ve ardından Seç'e tıklayın. Anahtar kasanızda bir anahtar oluşturulduğu bildirilir.

    Screenshot of the

Şifreleme dikey penceresinde anahtar kasasını ve müşteri tarafından yönetilen anahtarınız için seçilen anahtarı görebilirsiniz.

Önemli

Microsoft tarafından yönetilen anahtarları devre dışı bırakabilir ve içeri/dışarı aktarma işinin herhangi bir aşamasında müşteri tarafından yönetilen anahtarlara geçebilirsiniz. Ancak, müşteri tarafından yönetilen anahtarı oluşturduktan sonra devre dışı bırakamazsınız.

Müşteri tarafından yönetilen anahtar hatalarını giderme

Müşteri tarafından yönetilen anahtarınız ile ilgili herhangi bir hata alırsanız, sorun gidermek için aşağıdaki tabloyu kullanın:

Hata kodu Ayrıntılar Kurtarılabilir?
CmkErrorAccessRevoked Müşteri tarafından yönetilen anahtara erişim iptal edilir. Evet, şu olup olmadığını denetleyin:
  1. Anahtar kasası erişim ilkesinde MSI'yi kullanmaya devam ediyor.
  2. Erişim ilkesinde Get, Wrap ve Unwrap izinleri etkindir.
  3. Anahtar kasası güvenlik duvarının arkasındaki bir sanal ağdaysa Microsoft Güvenilen Hizmetlere İzin Ver'in etkinleştirilip etkinleştirilmediğini denetleyin.
  4. İş kaynağının MSI'sinin API'leri kullanmaya sıfırlandığını None denetleyin.
    Evet ise değerini olarak ayarlayın Identity = SystemAssigned. Bu, iş kaynağının kimliğini yeniden oluşturur.
    Yeni kimlik oluşturulduktan sonra, anahtar kasasının erişim ilkesinde yeni kimlik için , Wrapve Unwrap izinlerini etkinleştirin Get
CmkErrorKeyDisabled Müşteri tarafından yönetilen anahtar devre dışı bırakıldı. Evet, anahtar sürümünü etkinleştirerek
CmkErrorKeyNotFound Müşteri tarafından yönetilen anahtar bulunamıyor. Evet, anahtar silinmişse ancak hala temizleme süresi içindeyse, Anahtar Kasasını Geri Al anahtarını kaldırmayı kullanın.
Başka
  1. Evet, müşteri anahtarı yedekleyip geri yüklediyse.
  2. Hayır, aksi takdirde.
CmkErrorVaultNotFound Müşteri tarafından yönetilen anahtarın anahtar kasası bulunamıyor. Anahtar kasası silinmişse:
  1. Evet, temizleme koruması süresi içindeyse, Anahtar kasasını kurtarma adımlarını kullanın.
  2. Hayır, temizleme koruması süresinin ötesindeyse.

Aksi takdirde anahtar kasası farklı bir kiracıya geçirildiyse evet, aşağıdaki adımlardan biri kullanılarak kurtarılabilir:
  1. Anahtar kasasını eski kiracıya geri döndür.
  2. Değerini ayarlayın Identity = None ve sonra değerine geri Identity = SystemAssignedayarlayın. Bu, yeni kimlik oluşturulduktan sonra kimliği siler ve yeniden oluşturur. Anahtar kasasının Erişim ilkesinde yeni kimlik için , Wrapve Unwrap izinlerini etkinleştirinGet.

Sonraki adımlar