2. Adım: Yazılım korumalı anahtardan HSM korumalı anahtara geçiş
Bu yönergeler AD RMS'den Azure Information Protection'a geçiş yolunun bir parçasıdır ve yalnızca AD RMS anahtarınız yazılım korumalıysa ve Azure Key Vault'ta HSM korumalı bir kiracı anahtarıyla Azure Information Protection'a geçiş yapmak istiyorsanız geçerlidir.
Seçtiğiniz yapılandırma senaryosu bu değilse 4. Adıma geri dönün. Yapılandırma verilerini AD RMS'den dışarı aktarın ve Azure RMS'ye aktarın ve farklı bir yapılandırma seçin.
AD RMS yapılandırmasını Azure Information Protection'a aktarmak, Azure Key Vault'ta sizin tarafınızdan yönetilen Azure Information Protection kiracı anahtarınıza (BYOK) neden olan dört bölümden oluşan bir yordamdır.
Önce AD RMS yapılandırma verilerinden sunucu lisans sertifikası (SLC) anahtarınızı ayıklamanız ve anahtarı şirket içi bir nCipher HSM'ye aktarmanız, ardından HSM anahtarınızı Azure Key Vault'a paketleyip aktarmanız, ardından Azure Information Protection'dan Azure Rights Management hizmetini anahtar kasanıza erişmesi için yetkilendirmeniz ve ardından yapılandırma verilerini içeri aktarmanız gerekir.
Azure Information Protection kiracı anahtarınız Azure Key Vault tarafından depolanıp yönetileceğinden, geçişin bu bölümü Azure Information Protection'a ek olarak Azure Key Vault'ta yönetim gerektirir. Azure Key Vault kuruluşunuzda sizden farklı bir yönetici tarafından yönetiliyorsa, bu yordamları tamamlamak için bu yöneticiyle birlikte çalışmanız ve koordine etmeniz gerekir.
Başlamadan önce, kuruluşunuzun Azure Key Vault'ta oluşturulmuş bir anahtar kasası olduğundan ve HSM korumalı anahtarları desteklediğine emin olun. Gerekli olmasa da Azure Information Protection için ayrılmış bir anahtar kasanız olmasını öneririz. Bu anahtar kasası, Azure Information Protection'dan Azure Rights Management hizmetinin bu hizmete erişmesine izin verecek şekilde yapılandırılır, bu nedenle bu anahtar kasasının depoacağı anahtarlar yalnızca Azure Information Protection anahtarlarıyla sınırlandırılmalıdır.
Bahşiş
Azure Key Vault için yapılandırma adımlarını gerçekleştiriyorsanız ve bu Azure hizmetini bilmiyorsanız, önce Azure Key Vault'u kullanmaya başlama'yı gözden geçirmeniz yararlı olabilir.
1. Bölüm: Yapılandırma verilerinden SLC anahtarınızı ayıklama ve anahtarı şirket içi HSM'nize aktarma
Azure Key Vault yöneticisi: Azure Key Vault'ta depolamak istediğiniz dışarı aktarılan her SLC anahtarı için, Azure Key Vault belgelerinin Azure Key Vault için kendi anahtarını getir (KAG) uygulama bölümündeki aşağıdaki adımları kullanın:
Anahtarınızı oluşturma ve Azure Key Vault HSM'ye aktarma: 1. Adım: İnternet'e bağlı iş istasyonunuzu hazırlama
Kiracı anahtarınızı oluşturma ve aktarma – İnternet üzerinden: 2. Adım: Bağlantısı kesilmiş iş istasyonunuzu hazırlama
Dışarı aktarılan yapılandırma verileri (.xml) dosyasında eşdeğeri zaten olduğundan kiracı anahtarınızı oluşturma adımlarını izlemeyin. Bunun yerine, bu anahtarı dosyadan ayıklamak ve şirket içi HSM'nize aktarmak için bir araç çalıştıracaksınız. Araç, çalıştırdığınızda iki dosya oluşturur:
Anahtarı olmayan ve ardından Azure Information Protection kiracınıza içeri aktarılmaya hazır olan yeni bir yapılandırma veri dosyası.
Anahtarı içeren ve ardından şirket içi HSM'nize içeri aktarılmaya hazır bir PEM dosyası (anahtar kapsayıcısı).
Azure Information Protection yöneticisi veya Azure Key Vault yöneticisi: Bağlantısı kesilmiş iş istasyonunda Azure RMS geçiş araç setinden TpdUtil aracını çalıştırın. Örneğin, araç ContosoTPD.xml adlı yapılandırma veri dosyanızı kopyaladığınız E sürücünüzde yüklüyse:
E:\TpdUtil.exe /tpd:ContosoTPD.xml /otpd:ContosoTPD.xml /opem:ContosoTPD.pem
Birden fazla RMS yapılandırma veri dosyanız varsa, bu dosyaların geri kalanı için bu aracı çalıştırın.
Açıklama, kullanım ve örnekler içeren bu araçla ilgili Yardım'ı görmek için parametre olmadan TpdUtil.exe dosyasını çalıştırın
Bu komut için ek bilgiler:
/tpd: dışarı aktarılan AD RMS yapılandırma veri dosyasının tam yolunu ve adını belirtir. Tam parametre adı TpdFilePath'tir.
/otpd: anahtarı olmayan yapılandırma veri dosyası için çıkış dosyası adını belirtir. Tam parametre adı OutPfxFile'dır. Bu parametreyi belirtmezseniz, çıkış dosyası varsayılan olarak sonek _keyless özgün dosya adına ayarlanır ve geçerli klasörde depolanır.
/opem: ayıklanan anahtarı içeren PEM dosyasının çıkış dosyası adını belirtir. Tam parametre adı OutPemFile'dır. Bu parametreyi belirtmezseniz, çıkış dosyası varsayılan olarak sonek _key özgün dosya adına ayarlanır ve geçerli klasörde depolanır.
Bu komutu çalıştırdığınızda parolayı belirtmezseniz (TpdPassword tam parametre adını veya pwd kısa parametre adını kullanarak) belirtmeniz istenir.
Aynı bağlantısı kesilmiş iş istasyonunda nCipher HSM'nizi nCipher belgelerinize göre takın ve yapılandırın. Artık contosoTPD.pem için kendi dosya adınızı değiştirmeniz gereken aşağıdaki komutu kullanarak anahtarınızı ekli nCipher HSM'nize aktarabilirsiniz:
generatekey --import simple pemreadfile=e:\ContosoTPD.pem plainname=ContosoBYOK protect=module ident=contosobyok type=RSA
Dekont
Birden fazla dosyanız varsa, geçişten sonra içeriği korumak için Azure RMS'de kullanmak istediğiniz HSM anahtarına karşılık gelen dosyayı seçin.
Bu, aşağıdakine benzer bir çıkış görüntüsü oluşturur:
anahtar oluşturma parametreleri:
operation operation Operation to perform import
uygulama uygulaması basit
doğrulama Yapılandırma anahtarının güvenliğini doğrulama evet
tür Anahtar türü RSA
RSA anahtarı e:\ContosoTPD.pem içeren pemreadfile PEM dosyası
contosobyok kimlik anahtarı tanımlayıcısı
plainname Anahtar adı ContosoBYOK
Anahtar başarıyla içeri aktarıldı.
Anahtarın yolu: C:\ProgramData\nCipher\Key Management Data\local\key_simple_contosobyok
Bu çıkış, özel anahtarın artık şirket içi nCipher HSM cihazınıza bir anahtara kaydedilmiş şifrelenmiş bir kopyayla (örneğimizde "key_simple_contosobyok") geçirildiğini onaylar.
SLC anahtarınız ayıklanıp şirket içi HSM'nize aktarıldığına göre, HSM korumalı anahtarı paketlemeye ve Azure Key Vault'a aktarmaya hazırsınız.
Önemli
Bu adımı tamamladığınızda, yetkisiz kişiler tarafından erişilemeyeceklerinden emin olmak için bu PEM dosyalarını bağlantısı kesilmiş iş istasyonundan güvenli bir şekilde silin. Örneğin, tüm dosyaları E: sürücüsünden güvenli bir şekilde silmek için "cipher /w: E" komutunu çalıştırın.
2. Bölüm: HSM anahtarınızı paketleme ve Azure Key Vault'a aktarma
Azure Key Vault yöneticisi: Azure Key Vault'ta depolamak istediğiniz dışarı aktarılan her SLC anahtarı için, Azure Key Vault belgelerinin Azure Key Vault için kendi anahtarını getir (KAG) uygulama bölümündeki aşağıdaki adımları kullanın:
Anahtarınız zaten olduğundan, anahtar çiftinizi oluşturma adımlarını izlemeyin. Bunun yerine, bu anahtarı (örneğimizde KeyIdentifier parametremiz şirket içi HSM'nizden "contosobyok" kullanır) aktarmak için bir komut çalıştıracaksınız.
Anahtarınızı Azure Key Vault'a aktarmadan önce KeyTransferRemote.exe yardımcı programının, anahtarınızın azaltılmış izinlere sahip bir kopyasını oluşturduğunuzda (adım 4.1) ve anahtarınızı şifrelerken (adım 4.3) Sonuç: BAŞARI değerini döndürdüğünden emin olun.
Anahtar Azure Key Vault'a yüklendiğinde, anahtar kimliğini içeren anahtarın özelliklerini görürsünüz. şuna benzer https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333
olacaktır. Azure Information Protection yöneticisinin Azure Information Protection'dan Azure Rights Management hizmetine kiracı anahtarı için bu anahtarı kullanmasını söylemesi gerekeceği için bu URL'yi not alın.
Ardından Set-AzKeyVaultAccessPolicy cmdlet'ini kullanarak Azure Rights Management hizmet sorumlusuna anahtar kasasına erişme yetkisi verin. Gereken izinler şifre çözme, şifreleme, anahtar açma, sarmalama anahtarı, doğrulama ve imzalama işlemleridir.
Örneğin, Azure Information Protection için oluşturduğunuz anahtar kasası contosorms-byok-kv olarak adlandırılıyorsa ve kaynak grubunuz contosorms-byok-rg olarak adlandırılıyorsa aşağıdaki komutu çalıştırın:
Set-AzKeyVaultAccessPolicy -VaultName "contosorms-byok-kv" -ResourceGroupName "contosorms-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,encrypt,unwrapkey,wrapkey,verify,sign,get
HSM anahtarınızı Azure Key Vault'a aktardığınıza göre, AD RMS yapılandırma verilerinizi içeri aktarmaya hazırsınız demektir.
Bölüm 3: Yapılandırma verilerini Azure Information Protection'a aktarma
Azure Information Protection yöneticisi: İnternet'e bağlı iş istasyonunda ve PowerShell oturumunda, TpdUtil aracını çalıştırdıktan sonra SLC anahtarının kaldırıldığı yeni yapılandırma veri dosyalarınızın (.xml) üzerine kopyalayın.
Import-AipServiceTpd cmdlet'ini kullanarak her .xml dosyasını karşıya yükleyin. Örneğin, AD RMS kümenizi Şifreleme Modu 2 için yükselttiyseniz içeri aktarabileceğiniz en az bir ek dosyanız olmalıdır.
Bu cmdlet'i çalıştırmak için, yapılandırma veri dosyası için daha önce belirttiğiniz parolaya ve önceki adımda tanımlanan anahtarın URL'sine ihtiyacınız vardır.
Örneğin, önceki adımdaki C:\contoso_keyless.xml yapılandırma veri dosyasını ve anahtar URL değerimizi kullanarak, önce parolayı depolamak için aşağıdakileri çalıştırın:
$TPD_Password = Read-Host -AsSecureString
Yapılandırma veri dosyasını dışarı aktarmak için belirttiğiniz parolayı girin. Ardından aşağıdaki komutu çalıştırın ve bu eylemi gerçekleştirmek istediğinizi onaylayın:
Import-AipServiceTpd -TpdFile "C:\contoso_keyless.xml" -ProtectionPassword $TPD_Password –KeyVaultStringUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose
Bu içeri aktarma işleminin bir parçası olarak SLC anahtarı içeri aktarılır ve otomatik olarak arşivlenmiş olarak ayarlanır.
Her dosyayı karşıya yüklediğinizde, içeri aktarılan anahtarın AD RMS kümenizdeki şu anda etkin olan SLC anahtarıyla eşleşeceğini belirtmek için Set-AipServiceKeyProperties komutunu çalıştırın.
Azure Rights Management hizmeti bağlantısını kesmek için Disconnect-AipServiceService cmdlet'ini kullanın:
Disconnect-AipServiceService
Daha sonra Azure Information Protection kiracı anahtarınızın Azure Key Vault'ta hangi anahtarı kullandığını onaylamanız gerekiyorsa Get-AipServiceKeys Azure RMS cmdlet'ini kullanın.
Artık 5. Adım'a gitmeye hazırsınız. Azure Rights Management hizmetini etkinleştirin.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin