在適用于 Azure 資料箱的 Azure 金鑰保存庫中使用客戶管理的金鑰
Azure 資料箱 透過加密金鑰保護用於鎖定裝置的裝置解鎖金鑰 (也稱為裝置密碼)。 依預設,此加密金鑰是 Microsoft 管理的金鑰。 如需更多控制權,您可以使用客戶自控金鑰。
使用客戶自控金鑰不會影響資料在裝置上的加密方式。 這只會影響裝置解除鎖定金鑰的加密方式。
若要在整個訂單流程中保持此層級的控制,請在建立訂單時使用客戶自控金鑰。 如需詳細資訊,請參閱 教學課程:訂購 Azure 資料箱 。
本文說明如何在Azure 入口網站 中 為您的現有資料箱訂單啟用客戶管理的金鑰。 您將瞭解如何變更目前客戶自控金鑰的金鑰保存庫、金鑰、版本或身分識別,或使用 Microsoft 受控金鑰切換回 。
本文適用于 Azure 資料箱和 Azure Data Box Heavy 裝置。
需求
資料箱訂單的客戶管理金鑰必須符合下列需求:
- 金鑰必須建立並儲存在已啟用 虛刪除 和 未清除 的 Azure 金鑰保存庫中。 如需詳細資訊,請參閱 什麼是 Azure 金鑰保存庫? 。 您可以在建立或更新訂單時建立金鑰保存庫和金鑰。
- 金鑰必須是 2048 大小或更大的 RSA 金鑰。
- 您必須在 Azure 金鑰保存庫中啟用金鑰的
Get
、UnwrapKey
和WrapKey
許可權。 許可權必須保留訂單存留期。 否則,無法在資料複製階段開始時存取客戶管理的金鑰。
啟用金鑰
若要在Azure 入口網站中為現有的資料箱訂單啟用客戶管理的金鑰,請遵循下列步驟:
移至資料箱訂單的 [ 概觀 ] 畫面。
移至 [設定 > 加密 ],然後選取 [ 客戶管理的金鑰 ]。 然後選取 [ 選取金鑰和金鑰保存庫 ]。
在 [ 從 Azure 金鑰保存庫選取金鑰] 畫面上,系統會自動填入您的訂用帳戶。
針對 金鑰保存庫 ,您可以從下拉式清單中選取現有的金鑰保存庫,或選取 [ 新建 ] 並建立新的金鑰保存庫。
若要建立新的金鑰保存庫,請在 [ 建立新的金鑰保存庫] 畫面上輸入訂用帳戶、資源群組、金鑰保存庫 名稱和其他資訊。 在 [復原選項 ] 中,確定 已啟用虛刪除 和 清除保護 。 然後選取 [ 檢閱 + 建立 ]。
檢閱金鑰保存庫的資訊,然後選取 [ 建立 ]。 等候幾分鐘的時間,讓金鑰保存庫建立完成。
在 [ 從 Azure 選取金鑰] 金鑰保存庫 畫面上,您可以從金鑰保存庫選取現有的金鑰,或建立新的金鑰。
如果您想要建立新的金鑰,請選取 [ 新建 ]。 您必須使用 RSA 金鑰。 大小可以是 2048 或更大。
輸入新金鑰的名稱、接受其他預設值,然後選取 [ 建立 ]。 系統會通知您金鑰保存庫中已建立金鑰。
針對 [ 版本 ],您可以從下拉式清單中選取現有的金鑰版本。
如果您想要產生新的金鑰版本,請選取 [ 新建 ]。
選擇新金鑰版本的設定,然後選取 [ 建立 ]。
當您選取金鑰保存庫、金鑰和金鑰版本時,請選擇 [ 選取 ]。
[ 加密類型 ] 設定會顯示您選擇的金鑰保存庫和金鑰。
選取用來管理此資源客戶管理金鑰的身分識別類型。 您可以使用 在訂單建立期間產生的系統指派 身分識別,或選擇使用者指派的身分識別。
使用者指派的身分識別是一個獨立的資源,可用來管理資源的存取權。 如需詳細資訊,請參閱受控識別類型。
若要指派使用者身分識別,請選取 [ 已 指派的使用者]。 然後選取 [ 選取使用者身分 識別],然後選取您想要使用的受控識別。
您無法在這裡建立新的使用者身分識別。 若要瞭解如何建立角色,請參閱 使用 Azure 入口網站 建立、列出、刪除或指派角色給使用者指派的受控識別。
選取的使用者身分識別會顯示在 [加密類型 ] 設定中 。
選取 [ 儲存 ] 以儲存更新 的加密類型 設定。
金鑰 URL 會顯示在 [加密類型 ] 底下 。
重要
您必須啟用金鑰的 Get
、 UnwrapKey
和 WrapKey
許可權。 若要在 Azure CLI 中設定許可權,請參閱 az keyvault set-policy 。
變更金鑰
若要變更您目前使用之客戶管理金鑰的金鑰保存庫、金鑰和/或金鑰版本,請遵循下列步驟:
在資料箱訂單的 [ 概觀 ] 畫面上,移至 [設定 > ][加密],然後按一下 [ 變更金鑰 ]。
選擇 [選取不同的金鑰保存庫和金鑰 ]。
[ 從金鑰保存庫 選取金鑰] 畫面會顯示訂用帳戶,但沒有金鑰保存庫、金鑰或金鑰版本。 您可以進行下列任何變更:
從相同的金鑰保存庫選取不同的金鑰。 您必須先選取金鑰保存庫,再選取金鑰和版本。
選取不同的金鑰保存庫並指派新的金鑰。
變更目前金鑰的版本。
當您完成變更時,請選擇 [ 選取 ]。
選取 [儲存]。
重要
您必須啟用金鑰的 Get
、 UnwrapKey
和 WrapKey
許可權。 若要在 Azure CLI 中設定許可權,請參閱 az keyvault set-policy 。
變更身分識別
若要變更用來管理此訂單客戶管理金鑰存取權的身分識別,請遵循下列步驟:
在已完成資料箱訂單的 [ 概 觀] 畫面上,移至 [設定 > Encryption ]。
進行下列其中一項變更:
若要變更為不同的使用者身分識別,請按一下 [ 選取不同的使用者身分識別 ]。 然後在畫面右側的面板中選取不同的身分識別,然後選擇 [ 選取 ]。
若要切換至在訂單建立期間產生的系統指派身分識別,請選取 [ 選取身分識別類型 ] 所 指派的系統。
選取 [儲存]。
使用 Microsoft 受控金鑰
若要從使用客戶管理的金鑰變更為訂單的 Microsoft 受控金鑰,請遵循下列步驟:
在已完成資料箱訂單的 [ 概 觀] 畫面上,移至 [設定 > Encryption ]。
依 [選取類型 ],選取 [Microsoft 受控金鑰 ]。
選取 [儲存]。
針對錯誤進行疑難排解
如果您收到與客戶管理金鑰相關的任何錯誤,請使用下表進行疑難排解。
錯誤碼 | 錯誤詳細資料 | 追 討? |
---|---|---|
SsemUserErrorEncryptionKeyDisabled | 無法擷取傳遞金鑰,因為客戶管理的金鑰已停用。 | 是,藉由啟用金鑰版本。 |
SsemUserErrorEncryptionKeyExpired | 無法擷取金鑰,因為客戶管理的金鑰已過期。 | 是,藉由啟用金鑰版本。 |
SsemUserErrorKeyDetailsNotFound | 無法擷取複雜金鑰,因為找不到客戶管理的金鑰。 | 如果您已刪除金鑰保存庫,就無法復原客戶管理的金鑰。 如果您將金鑰保存庫移轉至不同的租使用者,請參閱 在訂用帳戶移動 之後變更金鑰保存庫租使用者識別碼。 如果您已刪除金鑰保存庫:
否則,如果金鑰保存庫進行租使用者移轉,則可以使用下列步驟之一來復原:
|
SsemUserErrorKeyVaultBadRequestException | 已套用客戶管理的金鑰,但金鑰存取權尚未授與或已撤銷,或因已啟用防火牆而無法存取金鑰保存庫。 | 將選取的身分識別新增至金鑰保存庫,以啟用客戶管理的金鑰存取權。 如果金鑰保存庫已啟用防火牆,請切換至系統指派的身分識別,然後新增客戶管理的金鑰。 如需詳細資訊,請參閱如何 啟用金鑰 。 |
SsemUserErrorKeyVaultDetailsNotFound | 找不到客戶自控金鑰的相關聯金鑰保存庫,無法擷取複雜金鑰。 | 如果您已刪除金鑰保存庫,就無法復原客戶管理的金鑰。 如果您將金鑰保存庫移轉至不同的租使用者,請參閱 在訂用帳戶移動 之後變更金鑰保存庫租使用者識別碼。 如果您已刪除金鑰保存庫:
否則,如果金鑰保存庫進行租使用者移轉,則可以使用下列步驟之一來復原:
|
SsemUserErrorSystemAssignedIdentityAbsent | 無法擷取複雜金鑰,因為找不到客戶管理的金鑰。 | 是,檢查是否:
|
SsemUserErrorUserAssignedLimitReached | 新增使用者指派的身分識別失敗,因為您已達到可新增之使用者指派身分識別總數的限制。 | 請以較少的使用者身分識別重試作業,或在重試之前,先從資源中移除一些使用者指派的身分識別。 |
SsemUserErrorCrossTenantIdentityAccessForbidden | 受控識別存取作業失敗。 注意:當訂用帳戶移至不同的租使用者時,可能會發生此錯誤。 客戶必須手動將身分識別移至新的租使用者。 |
請嘗試將不同的使用者指派身分識別新增至金鑰保存庫,以啟用客戶管理的金鑰存取權。 或將身分識別移至訂用帳戶所在的新租使用者。 如需詳細資訊,請參閱如何 啟用金鑰 。 |
SsemUserErrorKekUserIdentityNotFound | 已套用客戶管理的金鑰,但 Active Directory 中找不到可存取金鑰的使用者指派身分識別。 注意:從 Azure 刪除使用者身分識別時,可能會發生此錯誤。 |
請嘗試將不同的使用者指派身分識別新增至金鑰保存庫,以啟用客戶管理的金鑰存取權。 如需詳細資訊,請參閱如何 啟用金鑰 。 |
SsemUserErrorUserAssignedIdentityAbsent | 無法擷取複雜金鑰,因為找不到客戶管理的金鑰。 | 無法存取客戶管理的金鑰。 刪除與金鑰相關聯的使用者指派身分識別(UAI),或 UAI 類型已變更。 |
SsemUserErrorKeyVaultBadRequestException | 已套用客戶管理的金鑰,但尚未授與或撤銷金鑰存取權,或無法存取金鑰保存庫,因為已啟用防火牆。 | 將選取的身分識別新增至金鑰保存庫,以啟用客戶管理的金鑰存取權。 如果金鑰保存庫已啟用防火牆,請切換至系統指派的身分識別,然後新增客戶管理的金鑰。 如需詳細資訊,請參閱如何 啟用金鑰 。 |
SsemUserErrorEncryptionKeyTypeNotSupported | 作業不支援加密金鑰類型。 | 在金鑰上啟用支援的加密類型 ,例如 RSA 或 RSA-HSM。 如需詳細資訊,請參閱 金鑰類型、演算法和作業 。 |
SsemUserErrorSoftDeleteAndPurgeProtectionNotEnabled | 金鑰保存庫未啟用虛刪除或清除保護。 | 確定金鑰保存庫上已啟用虛刪除和清除保護。 |
SsemUserErrorInvalidKeyVaultUrl (僅限命令列) |
使用了不正確金鑰保存庫 URI。 | 取得正確的金鑰保存庫 URI。 若要取得金鑰保存庫 URI,請在 PowerShell 中使用 Get-AzKeyVault 。 |
SsemUserErrorKeyVaultUrlWithInvalidScheme | 僅支援 HTTPS 傳遞金鑰保存庫 URI。 | 透過 HTTPS 傳遞金鑰保存庫 URI。 |
SsemUserErrorKeyVaultUrlInvalidHost | 金鑰保存庫 URI 主機不是地理區域中允許的主機。 | 在公用雲端中,金鑰保存庫 URI 應該以 vault.azure.net 結尾。 在 Azure Government 雲端中,金鑰保存庫 URI 應該以 vault.usgovcloudapi.net 結尾。 |
一般錯誤 | 無法擷取通行金鑰。 | 此錯誤是一般錯誤。 請連絡Microsoft 支援服務以針對錯誤進行疑難排解,並判斷後續步驟。 |