Share via

在適用于 Azure 資料箱的 Azure 金鑰保存庫中使用客戶管理的金鑰

  • 發行項

Azure 資料箱 透過加密金鑰保護用於鎖定裝置的裝置解鎖金鑰 (也稱為裝置密碼)。 依預設,此加密金鑰是 Microsoft 管理的金鑰。 如需更多控制權,您可以使用客戶自控金鑰。

使用客戶自控金鑰不會影響資料在裝置上的加密方式。 這只會影響裝置解除鎖定金鑰的加密方式。

若要在整個訂單流程中保持此層級的控制,請在建立訂單時使用客戶自控金鑰。 如需詳細資訊,請參閱 教學課程:訂購 Azure 資料箱

本文說明如何在Azure 入口網站 為您的現有資料箱訂單啟用客戶管理的金鑰。 您將瞭解如何變更目前客戶自控金鑰的金鑰保存庫、金鑰、版本或身分識別,或使用 Microsoft 受控金鑰切換回 。

本文適用于 Azure 資料箱和 Azure Data Box Heavy 裝置。

需求

資料箱訂單的客戶管理金鑰必須符合下列需求:

  • 金鑰必須建立並儲存在已啟用 虛刪除 未清除 的 Azure 金鑰保存庫中。 如需詳細資訊,請參閱 什麼是 Azure 金鑰保存庫? 。 您可以在建立或更新訂單時建立金鑰保存庫和金鑰。
  • 金鑰必須是 2048 大小或更大的 RSA 金鑰。
  • 您必須在 Azure 金鑰保存庫中啟用金鑰的 GetUnwrapKeyWrapKey 許可權。 許可權必須保留訂單存留期。 否則,無法在資料複製階段開始時存取客戶管理的金鑰。

啟用金鑰

若要在Azure 入口網站中為現有的資料箱訂單啟用客戶管理的金鑰,請遵循下列步驟:

  1. 移至資料箱訂單的 [ 概觀 ] 畫面。

    Overview screen of a Data Box order - 1

  2. 移至 [設定 > 加密 ],然後選取 [ 客戶管理的金鑰 ]。 然後選取 [ 選取金鑰和金鑰保存庫 ]。

    Select the customer-managed key encryption option

    在 [ 從 Azure 金鑰保存庫選取金鑰] 畫面上,系統會自動填入您的訂用帳戶。

  3. 針對 金鑰保存庫 ,您可以從下拉式清單中選取現有的金鑰保存庫,或選取 [ 新建 ] 並建立新的金鑰保存庫。

    Key vault options when selecting a customer-managed key

    若要建立新的金鑰保存庫,請在 [ 建立新的金鑰保存庫] 畫面上輸入訂用帳戶、資源群組、金鑰保存庫 名稱和其他資訊。 在 [復原選項 ] 中,確定 已啟用虛刪除 清除保護 。 然後選取 [ 檢閱 + 建立 ]。

    Review and create Azure Key Vault

    檢閱金鑰保存庫的資訊,然後選取 [ 建立 ]。 等候幾分鐘的時間,讓金鑰保存庫建立完成。

    Create Azure Key Vault with your settings

  4. 在 [ 從 Azure 選取金鑰] 金鑰保存庫 畫面上,您可以從金鑰保存庫選取現有的金鑰,或建立新的金鑰。

    Select key from Azure Key Vault

    如果您想要建立新的金鑰,請選取 [ 新建 ]。 您必須使用 RSA 金鑰。 大小可以是 2048 或更大。

    Create new key in Azure Key Vault

    輸入新金鑰的名稱、接受其他預設值,然後選取 [ 建立 ]。 系統會通知您金鑰保存庫中已建立金鑰。

    Name new key

  5. 針對 [ 版本 ],您可以從下拉式清單中選取現有的金鑰版本。

    Select version for new key

    如果您想要產生新的金鑰版本,請選取 [ 新建 ]。

    Open a dialog box for creating a new key version

    選擇新金鑰版本的設定,然後選取 [ 建立 ]。

    Create a new key version

  6. 當您選取金鑰保存庫、金鑰和金鑰版本時,請選擇 [ 選取 ]。

    A key in an Azure Key Vault

    [ 加密類型 ] 設定會顯示您選擇的金鑰保存庫和金鑰。

    Key and key vault for a customer-managed key

  7. 選取用來管理此資源客戶管理金鑰的身分識別類型。 您可以使用 在訂單建立期間產生的系統指派 身分識別,或選擇使用者指派的身分識別。

    使用者指派的身分識別是一個獨立的資源,可用來管理資源的存取權。 如需詳細資訊,請參閱受控識別類型

    Select the identity type

    若要指派使用者身分識別,請選取 [ 指派的使用者]。 然後選取 [ 選取使用者身分 識別],然後選取您想要使用的受控識別。

    Select an identity to use

    您無法在這裡建立新的使用者身分識別。 若要瞭解如何建立角色,請參閱 使用 Azure 入口網站 建立、列出、刪除或指派角色給使用者指派的受控識別。

    選取的使用者身分識別會顯示在 [加密類型 ] 設定中

    A selected user identity shown in Encryption type settings

  8. 選取 [ 儲存 ] 以儲存更新 的加密類型 設定。

    Save your customer-managed key

    金鑰 URL 會顯示在 [加密類型 ] 底下

    Customer-managed key URL

重要

您必須啟用金鑰的 GetUnwrapKeyWrapKey 許可權。 若要在 Azure CLI 中設定許可權,請參閱 az keyvault set-policy

變更金鑰

若要變更您目前使用之客戶管理金鑰的金鑰保存庫、金鑰和/或金鑰版本,請遵循下列步驟:

  1. 在資料箱訂單的 [ 概觀 ] 畫面上,移至 [設定 > ][加密],然後按一下 [ 變更金鑰 ]。

    Overview screen of a Data Box order with customer-managed key - 1

  2. 選擇 [選取不同的金鑰保存庫和金鑰 ]。

    Overview screen of a Data Box order, Select a different key and key vault option

  3. [ 從金鑰保存庫 選取金鑰] 畫面會顯示訂用帳戶,但沒有金鑰保存庫、金鑰或金鑰版本。 您可以進行下列任何變更:

    • 從相同的金鑰保存庫選取不同的金鑰。 您必須先選取金鑰保存庫,再選取金鑰和版本。

    • 選取不同的金鑰保存庫並指派新的金鑰。

    • 變更目前金鑰的版本。

    當您完成變更時,請選擇 [ 選取 ]。

    Choose encryption option - 2

  4. 選取 [儲存]。

    Save updated encryption settings - 1

重要

您必須啟用金鑰的 GetUnwrapKeyWrapKey 許可權。 若要在 Azure CLI 中設定許可權,請參閱 az keyvault set-policy

變更身分識別

若要變更用來管理此訂單客戶管理金鑰存取權的身分識別,請遵循下列步驟:

  1. 在已完成資料箱訂單的 [ 觀] 畫面上,移至 [設定 > Encryption ]。

  2. 進行下列其中一項變更:

    • 若要變更為不同的使用者身分識別,請按一下 [ 選取不同的使用者身分識別 ]。 然後在畫面右側的面板中選取不同的身分識別,然後選擇 [ 選取 ]。

      Option for changing the user-assigned identity for a customer-managed key

    • 若要切換至在訂單建立期間產生的系統指派身分識別,請選取 [ 選取身分識別類型 ] 指派的系統。

      Option for changing to a system-assigned for a customer-managed key

  3. 選取 [儲存]。

    Save updated encryption settings - 2

使用 Microsoft 受控金鑰

若要從使用客戶管理的金鑰變更為訂單的 Microsoft 受控金鑰,請遵循下列步驟:

  1. 在已完成資料箱訂單的 [ 觀] 畫面上,移至 [設定 > Encryption ]。

  2. [選取類型 ],選取 [Microsoft 受控金鑰 ]。

    Overview screen of a Data Box order - 5

  3. 選取 [儲存]。

    Save updated encryption settings for a Microsoft managed key

針對錯誤進行疑難排解

如果您收到與客戶管理金鑰相關的任何錯誤,請使用下表進行疑難排解。

錯誤碼 錯誤詳細資料 追 討?
SsemUserErrorEncryptionKeyDisabled 無法擷取傳遞金鑰,因為客戶管理的金鑰已停用。 是,藉由啟用金鑰版本。
SsemUserErrorEncryptionKeyExpired 無法擷取金鑰,因為客戶管理的金鑰已過期。 是,藉由啟用金鑰版本。
SsemUserErrorKeyDetailsNotFound 無法擷取複雜金鑰,因為找不到客戶管理的金鑰。 如果您已刪除金鑰保存庫,就無法復原客戶管理的金鑰。 如果您將金鑰保存庫移轉至不同的租使用者,請參閱 在訂用帳戶移動 之後變更金鑰保存庫租使用者識別碼。 如果您已刪除金鑰保存庫:
  1. 是,如果是在清除保護期間,請使用復原金鑰保存庫 的步驟
  2. 否,如果超過清除保護持續時間,則為 。

否則,如果金鑰保存庫進行租使用者移轉,則可以使用下列步驟之一來復原:
  1. 將金鑰保存庫還原回舊租使用者。
  2. 設定 Identity = None ,然後將值設定回 Identity = SystemAssigned 。 這會在建立新的身分識別之後,刪除並重新建立身分識別。 啟用 Get 金鑰保存庫存取原則中新身分識別的 、 WrapKeyUnwrapKey 許可權。
SsemUserErrorKeyVaultBadRequestException 已套用客戶管理的金鑰,但金鑰存取權尚未授與或已撤銷,或因已啟用防火牆而無法存取金鑰保存庫。 將選取的身分識別新增至金鑰保存庫,以啟用客戶管理的金鑰存取權。 如果金鑰保存庫已啟用防火牆,請切換至系統指派的身分識別,然後新增客戶管理的金鑰。 如需詳細資訊,請參閱如何 啟用金鑰
SsemUserErrorKeyVaultDetailsNotFound 找不到客戶自控金鑰的相關聯金鑰保存庫,無法擷取複雜金鑰。 如果您已刪除金鑰保存庫,就無法復原客戶管理的金鑰。 如果您將金鑰保存庫移轉至不同的租使用者,請參閱 在訂用帳戶移動 之後變更金鑰保存庫租使用者識別碼。 如果您已刪除金鑰保存庫:
  1. 是,如果是在清除保護期間,請使用復原金鑰保存庫 的步驟
  2. 否,如果超過清除保護持續時間,則為 。

否則,如果金鑰保存庫進行租使用者移轉,則可以使用下列步驟之一來復原:
  1. 將金鑰保存庫還原回舊租使用者。
  2. 設定 Identity = None ,然後將值設定回 Identity = SystemAssigned 。 這會在建立新的身分識別之後,刪除並重新建立身分識別。 啟用 Get 金鑰保存庫存取原則中新身分識別的 、 WrapKeyUnwrapKey 許可權。
SsemUserErrorSystemAssignedIdentityAbsent 無法擷取複雜金鑰,因為找不到客戶管理的金鑰。 是,檢查是否:
  1. 金鑰保存庫在存取原則中仍具有 MSI。
  2. 身分識別的類型為系統指派。
  3. 在金鑰保存庫的存取原則中啟用 GetWrapKey 、 和 UnwrapKey 身分識別的許可權。 這些許可權必須保留訂單的存留期。 它們會在訂單建立期間以及資料複製階段的開頭使用。
SsemUserErrorUserAssignedLimitReached 新增使用者指派的身分識別失敗,因為您已達到可新增之使用者指派身分識別總數的限制。 請以較少的使用者身分識別重試作業,或在重試之前,先從資源中移除一些使用者指派的身分識別。
SsemUserErrorCrossTenantIdentityAccessForbidden 受控識別存取作業失敗。
注意:當訂用帳戶移至不同的租使用者時,可能會發生此錯誤。 客戶必須手動將身分識別移至新的租使用者。		 請嘗試將不同的使用者指派身分識別新增至金鑰保存庫,以啟用客戶管理的金鑰存取權。 或將身分識別移至訂用帳戶所在的新租使用者。 如需詳細資訊,請參閱如何 啟用金鑰
SsemUserErrorKekUserIdentityNotFound 已套用客戶管理的金鑰,但 Active Directory 中找不到可存取金鑰的使用者指派身分識別。
注意:從 Azure 刪除使用者身分識別時,可能會發生此錯誤。		 請嘗試將不同的使用者指派身分識別新增至金鑰保存庫,以啟用客戶管理的金鑰存取權。 如需詳細資訊,請參閱如何 啟用金鑰
SsemUserErrorUserAssignedIdentityAbsent 無法擷取複雜金鑰,因為找不到客戶管理的金鑰。 無法存取客戶管理的金鑰。 刪除與金鑰相關聯的使用者指派身分識別(UAI),或 UAI 類型已變更。
SsemUserErrorKeyVaultBadRequestException 已套用客戶管理的金鑰,但尚未授與或撤銷金鑰存取權,或無法存取金鑰保存庫,因為已啟用防火牆。 將選取的身分識別新增至金鑰保存庫,以啟用客戶管理的金鑰存取權。 如果金鑰保存庫已啟用防火牆,請切換至系統指派的身分識別,然後新增客戶管理的金鑰。 如需詳細資訊,請參閱如何 啟用金鑰
SsemUserErrorEncryptionKeyTypeNotSupported 作業不支援加密金鑰類型。 在金鑰上啟用支援的加密類型 ,例如 RSA 或 RSA-HSM。 如需詳細資訊,請參閱 金鑰類型、演算法和作業
SsemUserErrorSoftDeleteAndPurgeProtectionNotEnabled 金鑰保存庫未啟用虛刪除或清除保護。 確定金鑰保存庫上已啟用虛刪除和清除保護。
SsemUserErrorInvalidKeyVaultUrl
(僅限命令列)		 使用了不正確金鑰保存庫 URI。 取得正確的金鑰保存庫 URI。 若要取得金鑰保存庫 URI,請在 PowerShell 中使用 Get-AzKeyVault
SsemUserErrorKeyVaultUrlWithInvalidScheme 僅支援 HTTPS 傳遞金鑰保存庫 URI。 透過 HTTPS 傳遞金鑰保存庫 URI。
SsemUserErrorKeyVaultUrlInvalidHost 金鑰保存庫 URI 主機不是地理區域中允許的主機。 在公用雲端中,金鑰保存庫 URI 應該以 vault.azure.net 結尾。 在 Azure Government 雲端中,金鑰保存庫 URI 應該以 vault.usgovcloudapi.net 結尾。
一般錯誤 無法擷取通行金鑰。 此錯誤是一般錯誤。 請連絡Microsoft 支援服務以針對錯誤進行疑難排解,並判斷後續步驟。

下一步