2. adım: HSM korumalı anahtardan HSM korumalı anahtara geçişStep 2: HSM-protected key to HSM-protected key migration

Uygulama hedefi: Active Directory Rights Management Services Azure Information ProtectionApplies to: Active Directory Rights Management Services, Azure Information Protection

Bu yönergeler AD RMS’den Azure Information Protection’a geçiş yolunun parçasıdır ve yalnızca AD RMS anahtarınızın HSM korumalı olması ve Azure Anahtar Kasası’nda HSM korumalı bir kiracı anahtarıyla Azure Information Protection’a geçiş yapmak istemeniz durumunda geçerlidir.These instructions are part of the migration path from AD RMS to Azure Information Protection, and are applicable only if your AD RMS key is HSM-protected and you want to migrate to Azure Information Protection with a HSM-protected tenant key in Azure Key Vault.

Seçtiğiniz yapılandırma senaryosu bu değilse 4. Adıma dönün. AD RMS'den yapılandırma verilerini dışa aktarın ve Azure RMS’ye alın ve farklı bir yapılandırma seçin.If this is not your chosen configuration scenario, go back to Step 4. Export configuration data from AD RMS and import it to Azure RMS and choose a different configuration.

Not

Bu yönergeler AD RMS anahtarınızın modül tarafından korunduğunu varsayar.These instructions assume your AD RMS key is module-protected. En sık karşılaşılan durum budur.This is the most typical case.

HSM anahtarınızı ve AD RMS yapılandırmanızı Azure Information Protection’a aktararak Azure Information Protection kiracı anahtarının sizin tarafınızdan yönetilmesini (BYOK) sağlamak, iki kısımdan oluşan bir yordamdır.It’s a two-part procedure to import your HSM key and AD RMS configuration to Azure Information Protection, to result in your Azure Information Protection tenant key that is managed by you (BYOK).

Azure Information Protection kiracı anahtarınız Azure Anahtar Kasası tarafından depolanıp yönetileceğinden, geçişin bu aşaması Azure Anahtarı Information Protection’a ek olarak Azure Anahtar Kasası’nda yönetim gerektirir.Because your Azure Information Protection tenant key will be stored and managed by Azure Key Vault, this part of the migration requires administration in Azure Key Vault, in addition to Azure Information Protection. Azure Key Vault, kuruluşunuzdaki yöneticiden farklı bir yönetici tarafından yönetiliyorsa bu yordamları tamamlamak için ilgili yöneticiyle birlikte çalışmanız gerekir.If Azure Key Vault is managed by a different administrator than you for your organization, you must co-ordinate and work with that administrator to complete these procedures.

Başlamadan önce kurumunuzun Azure Anahtar Kasası’nda oluşturulmuş bir anahtar kasası olduğundan ve kasanın HSM korumalı anahtarları desteklediğinden emin olun.Before you begin, make sure that your organization has a key vault that has been created in Azure Key Vault, and that it supports HSM-protected keys. Zorunlu olmamakla birlikte, Azure Information Protection için ayrılmış bir anahtar kasanızın olmasını öneririz.Although it's not required, we recommend that you have a dedicated key vault for Azure Information Protection. Bu anahtar kasası, Azure Rights Management hizmetine kendisine erişmesi için izin verecek şekilde yapılandırılır. Dolayısıyla buradaki anahtarlar yalnızca Azure Information Protection anahtarları ile sınırlandırılmalıdır.This key vault will be configured to allow the Azure Rights Management service to access it, so the keys that this key vault stores should be limited to Azure Information Protection keys only.

İpucu

Azure Key Vault’u yapılandırma adımlarını kendiniz gerçekleştiriyorsanız ve bu Azure hizmetiyle ilgili bilginiz yoksa önce Azure Key Vault’u kullanmaya başlama konusunu incelemeniz yararlı olabilir.If you are doing the configuration steps for Azure Key Vault and you are not familiar with this Azure service, you might find it useful to first review Get started with Azure Key Vault.

1. Bölüm: HSM anahtarınızı Azure anahtar Kasası'na aktarmaPart 1: Transfer your HSM key to Azure Key Vault

Bu yordamlar Azure Anahtar Kasası’nın yöneticisi tarafından gerçekleştirilir.These procedures are done by the administrator for Azure Key Vault.

  1. Azure Key Vault'ta depolamak istediğiniz her dışa aktarılmış SLC anahtarı için Azure Key Vault belgelerindeki yönergeleri izleyin ve aşağıdaki özel durum haricinde Azure Key Vault için kendi anahtarını getir (KAG) yöntemini uygulama konusunu kullanın:For each exported SLC key that you want to store in Azure Key Vault, follow the instructions from the Azure Key Vault documentation, using Implementing bring your own key (BYOK) for Azure Key Vault with the following exception:

    • AD RMS dağıtımınızdan eşdeğer seçeneğe zaten sahip olduğunuz için Kiracı anahtarı oluşturma adımlarını uygulamayın.Do not do the steps for Generate your tenant key, because you already have the equivalent from your AD RMS deployment. Bunun yerine, nCipher yüklemesinde AD RMS sunucunuz tarafından kullanılan anahtarı belirtin ve geçiş sırasında bu anahtarı kullanın.Instead, identify the key used by your AD RMS server from the nCipher installation and use this key during the migration. nCipher şifrelenmiş anahtar dosyaları genellikle adlı anahtarı<keyAppName><KeyIdentifier> sunucu üzerinde yerel olarak.nCipher encrypted key files are usually named key<keyAppName><keyIdentifier> locally on the server.

      Anahtar Azure Anahtar Kasası’na yüklendikten sonra, anahtar kimliği de dahil olmak üzere anahtar özelliklerinin görüntülendiğini görürsünüz.When the key uploads to Azure Key Vault, you see the properties of the key displayed, which includes the key ID. Benzer şekilde görünmelidir https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333.It will look similar to https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Bu URL’yi not edin çünkü Azure Information Protection yöneticisinin, Azure Rights Management hizmetine kiracı anahtarı olarak bu anahtarı kullanacağını bildirmesi için gerekir.Make a note of this URL because the Azure Information Protection administrator needs it to tell the Azure Rights Management service to use this key for its tenant key.

  2. İnternet'e bağlı iş istasyonundaki bir PowerShell oturumunda kullanmak kümesi AzKeyVaultAccessPolicy Azure Rights Management hizmet sorumlusuna Azure Information depolandığı anahtar kasasına erişim yetkisi vermek için cmdlet Kiracı anahtarınızı koruma.On the Internet-connected workstation, in a PowerShell session, use the Set-AzKeyVaultAccessPolicy cmdlet to authorize the Azure Rights Management service principal to access the key vault that will store the Azure Information Protection tenant key. Gereken izinler decrypt, encrypt, unwrapkey, wrapkey, verify ve sign izinleridir.The permissions required are decrypt, encrypt, unwrapkey, wrapkey, verify, and sign.

    Örneğin, Azure Information Protection için oluşturduğunuz anahtar kasasının adı contoso-byok-ky ve kaynak grubunuzun adı contoso-byok-rg ise aşağıdaki komutu çalıştırın:For example, if the key vault that you have created for Azure Information Protection is named contoso-byok-ky, and your resource group is named contoso-byok-rg, run the following command:

     Set-AzKeyVaultAccessPolicy -VaultName "contoso-byok-kv" -ResourceGroupName "contoso-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get
    

Azure Anahtar Kasası’nda Azure Information Protection tarafından sağlanan Azure Rights Management hizmeti için HSM anahtarınızı hazırladığınıza göre, AD RMS yapılandırma verilerinizi içeri aktarmaya hazırsınız demektir.Now that you’ve prepared your HSM key in Azure Key Vault for the Azure Rights Management service from Azure Information Protection, you’re ready to import your AD RMS configuration data.

2. Bölüm: Yapılandırma verilerini Azure Information Protection’a aktarmaPart 2: Import the configuration data to Azure Information Protection

Bu yordamlar Azure Information Protection yöneticisi tarafından gerçekleştirilir.These procedures are done by the administrator for Azure Information Protection.

  1. İnternet’e bağlı iş istasyonunda ve PowerShell oturumunda Connnect-AadrmService cmdlet’ini kullanarak Azure Rights Management hizmetine bağlanın.On the Internet-connect workstation and in the PowerShell session, connect to the Azure Rights Management service by using the Connnect-AadrmService cmdlet.

    Daha sonra, Import-AadrmTpd cmdlet'ini kullanarak her bir güvenilen yayımlama etki alanı (.xml) dosyasını yükleyin.Then upload each trusted publishing domain (.xml) file, by using the Import-AadrmTpd cmdlet. Örneğin, AD RMS kümenizi Şifreleme Modu 2 için yükselttiyseniz, içeri aktarılacak en az bir dosyanız kalmış olmalıdır.For example, you should have at least one additional file to import if you upgraded your AD RMS cluster for Cryptographic Mode 2.

    Bu cmdlet’i çalıştırmak için her bir yapılandırma veri dosyası için önceden belirttiğiniz parolaya ve önceki adımda tanımlanan anahtarın URL’sine ihtiyacınız vardır.To run this cmdlet, you need the password that you specified earlier for each configuration data file, and the URL for the key that was identified in the previous step.

    Örneğin, C:\contoso-tpd1.xml yapılandırma verileri dosyasını ve önceki adımda belirlediğimiz anahtar URL'si değerini kullandığınızı kabul edersek önce parolayı depolamak için şu komutu çalıştırmanız gerekir:For example, using a configuration data file of C:\contoso-tpd1.xml and our key URL value from the previous step, first run the following to store the password:

    $TPD_Password = Read-Host -AsSecureString
    

    Yapılandırma verileri dosyasını dışarı aktarmak için belirlediğiniz parolayı yazın.Enter the password that you specified to export the configuration data file. Ardından aşağıdaki komutu çalıştırın ve bu eylemi gerçekleştirmek istediğinizi onaylayın:Then, run the following command and confirm that you want to perform this action:

    Import-AadrmTpd -TpdFile "C:\contoso-tpd1.xml" -ProtectionPassword $TPD_Password –KeyVaultKeyUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
    

    Bu içeri aktarma işleminin bir parçası olarak SLC anahtarı içeri aktarılır ve otomatik olarak arşivlenmiş şekilde belirlenir.As part of this import, the SLC key is imported and automatically set as archived.

  2. Her bir dosyayı yükledikten sonra içeri aktarılan anahtarların hangisinin AD RMS kümenizdeki etkin SLC anahtarıyla eşleştiğini belirtmek için Set-AadrmKeyProperties cmdlet'ini çalıştırın.When you have uploaded each file, run Set-AadrmKeyProperties to specify which imported key matches the currently active SLC key in your AD RMS cluster. Bu anahtar, Azure Rights Management hizmetinizin etkin kiracı anahtarı olur.This key becomes the active tenant key for your Azure Rights Management service.

  3. Azure Rights Management hizmetinin bağlantısını kesmek için Disconnect-AadrmService cmdlet’ini kullanın:Use the Disconnect-AadrmService cmdlet to disconnect from the Azure Rights Management service:

    Disconnect-AadrmService
    

Daha sonra Azure Information Protection kiracı anahtarınızın Azure Anahtar Kasası’nda hangi anahtarı kullandığını doğrulamanız gerekirse, Get-AadrmKeys Azure RMS cmdlet'ini kullanın.If you later need to confirm which key your Azure Information Protection tenant key is using in Azure Key Vault, use the Get-AadrmKeys Azure RMS cmdlet.

5. Adıma geçmeye hazırsınız. Azure Rights Management hizmetini etkinleştirme.You’re now ready to go to Step 5. Activate the Azure Rights Management service.