針對客戶自控金鑰進行疑難排解
本文是四部分教學課程系列的第四部分。 第一部分提供客戶自控金鑰的概觀、其特性,以及在您的登錄上啟用此種金鑰前的考量。 在第二部分中,您會了解如何使用 Azure CLI、Azure 入口網站或 Azure Resource Manager 範本來啟用客戶自控金鑰。 在第三部分中,您將了解如何輪替、更新及撤銷客戶自控金鑰。 本文可協助您疑難排解與解決客戶自控金鑰的常見問題。
移除受控識別時發生錯誤
如果您嘗試從用於設定加密的登錄中移除使用者指派或系統指派的受控識別,您可能會看到如下的錯誤訊息:
Azure resource '/subscriptions/xxxx/resourcegroups/myGroup/providers/Microsoft.ContainerRegistry/registries/myRegistry' does not have access to identity 'xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx' Try forcibly adding the identity to the registry <registry name>. For more information on bring your own key, please visit 'https://aka.ms/acr/cmk'.
您無法變更 (輪替) 加密金鑰。 解決步驟取決於加密所用的身分識別類型。
移除使用者指派的身分識別
如果在嘗試移除使用者指派的身分識別時收到錯誤,請遵循下列處理步驟:
使用 az acr identity assign 命令重新指派使用者指派的身分識別。
當身分識別與登錄位於相同的資源群組時,請傳遞使用者指派的身分識別資源識別碼,或使用身分識別的名稱。
例如:
az acr identity assign -n myRegistry \ --identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"變更金鑰並指派不同的身分識別。
現在,您可以移除原始使用者指派的身分識別。
移除系統指派的身分識別
如果在嘗試移除系統指派的身分識別時收到錯誤,請建立 Azure 支援票證以協助還原身分識別。
啟用金鑰保存庫防火牆後發生錯誤
如果您在建立加密登錄之後啟用金鑰保存庫防火牆或虛擬網路,則可能看到 HTTP 403 或有關映像匯入或自動化金鑰輪替的其他錯誤。 若要修正此問題,請重新設定一開始用於加密的受控識別和金鑰。 請參閱輪替客戶自控金鑰中的步驟。
若問題持續發生,請連絡 Azure 支援中心。
身分識別到期錯誤
附加至登錄的身分識別會設定為自動重新更新,以避免過期。 如果您將身分識別與登錄解除關聯,就會出現錯誤訊息,說明您無法移除用於 CMK 的身分識別。 嘗試移除身分識別會妨礙身分識別的自動更新。 成品提取/推送作業會在身分識別到期之前運作 (通常為三個月)。 身分識別到期之後,您會看到 HTTP 403,並出現錯誤訊息:「與登錄相關聯的身分識別為非使用中狀態。 這可能是因為嘗試移除身分識別。 請手動重新指派身分識別」。
您必須明確地將身分識別重新指派回登錄。
執行 az acr identity assign 命令可手動重新指派身分識別。
- 例如,
az acr identity assign -n myRegistry \ --identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"
意外刪除金鑰保存庫或金鑰
刪除以客戶自控金鑰加密登錄時所用的金鑰保存庫或金鑰,將無法存取登錄的內容。 如果在金鑰保存庫中啟用虛刪除 (預設選項),即可復原已刪除的保存庫或金鑰保存庫物件,並繼續進行登錄作業。
下一步
如需金鑰保存庫刪除和復原案例,請參閱使用虛刪除和清除保護進行 Azure Key Vault 復原管理。