对已配置客户管理的密钥的 Azure Cosmos DB 帐户的吊销场景进行故障排除

适用对象: NoSQL MongoDB Cassandra Gremlin

存储在 Azure Cosmos DB 帐户中的数据使用客户用作第二层加密的密钥自动进行无缝加密。 如果根据 Azure Cosmos DB 帐户设置,Azure Cosmos DB 帐户无法再访问 Azure Key Vault 密钥(请参阅 KeyVaultKeyUri),则该帐户将进入吊销状态。 在此状态下,只允许执行帐户更新操作,即刷新当前分配的默认标识或删除帐户。 读取或写入文档等数据平面操作将受到限制。

本故障排除指南介绍在遇到与客户管理的密钥相关的最常见错误时如何还原访问权限。 检查每次执行受限操作时收到的错误消息,或者通过读取 Azure Cosmos DB 帐户上的 customerManagedKeyStatus 属性来进行检查

默认标识未经授权访问 Azure Key Vault 密钥

错误的原因

当与 Azure Cosmos DB 帐户关联的默认标识不再有权对 Key Vault 执行 get、wrap 或 unwrap 调用时,或者密钥处于禁用或过期状态时,你会看到此错误。

故障排除

请确认密钥未禁用或未过期。 相反,在使用访问策略时,请验证是否为标识分配了对 Key Vault 的 get、wrap 和 unwrap 权限(该标识设置为相应 Azure Cosmos DB 帐户的默认标识)。

如果使用 RBAC,请验证是否为默认标识分配了“密钥保管库加密服务加密用户”角色。

另一种选择是创建具有预期权限的新标识,并通过 Azure Cosmos DB 帐户更新操作将其设置为新的默认标识。

分配权限后,请等待一小时以上,以使帐户停止处于吊销状态。 如果该问题在两个多小时后仍未得到解决,请联系客户服务部门。

Microsoft Entra 令牌获取错误

错误的原因

当 Azure Cosmos DB 无法获取默认设置的标识 Microsoft Entra 访问令牌时,你会看到此错误。 该令牌用于与 Azure Key Vault 通信,以便包装和解包数据加密密钥。

故障排除

确保分配给 Azure Cosmos DB 帐户的当前默认标识是现有 Azure 资源的标识,并且具有访问 Azure Key Vault 的所有相应权限。

例如,一种故障排除解决方案是创建具有预期权限的新标识,并通过 Azure Cosmos DB 帐户更新操作将其设置为新的默认标识。

更新帐户的默认标识后,需要等待一小时,以使帐户停止处于吊销状态。 如果该问题在两个多小时后仍未得到解决,请联系客户服务部门。

找不到 Azure 密钥保管库资源

错误的原因

当找不到 Azure 密钥保管库或指定的密钥时,会出现此错误。

疑难解答

检查 Azure Key Vault 或指定的密钥是否存在,如果它们已被意外删除,请还原它们,然后等待一小时。 如果该问题在 2 个多小时后仍未得到解决,请联系客户服务部门。

Azure 密钥已禁用或已过期

错误的原因

Azure 密钥保管库密钥已过期或删除时,会看到此错误。

故障排除

如果密钥已被禁用,请启用它。 如果密钥已过期,请取消过期,并且不再撤销帐户后,可随时轮换密钥,因为 Azure Cosmos DB 将在帐户联机后立即更新密钥版本。

Azure Cosmos DB 默认标识无效

错误的原因

如果未将以下任何标识类型设置为默认标识,则 Azure Cosmos DB 帐户将进入吊销状态:

  • FirstPartyIdentity
  • SystemAssignedIdentity
  • UserAssignedIdentity
  • DelegatedSystemAssignedIdentity
  • DelegatedUserAssignedIdentity

故障排除

确保默认标识是有效 Azure 资源的标识,并且具有访问 Azure Key Vault 的所有预期权限。 分配权限后,请等待一小时以上,以使帐户停止处于吊销状态。 如果该问题在两个多小时后仍未得到解决,请联系客户服务部门。

在密钥保管库 URI 属性上检测到语法不正确

错误的原因

当内部验证检测到 Azure Cosmos DB 帐户上的密钥保管库 URI 属性与预期不同时,你会看到此错误。

故障排除

需要将帐户的 KeyVaultkeyUri 属性更新为有效的密钥保管库密钥 URI。 有效的 Azure Key Vault 密钥 URI 的示例如下:https://ContosoKeyVault.vault.azure.cn/keys"。 值得一提的是,不需要包含密钥的版本。

更新 KeyVaultKeyUri 属性后,请等待一小时以上,以使帐户停止处于吊销状态。 如果该问题在两个多小时后仍未得到解决,请联系客户服务部门。

内部解包过程错误

错误的原因

当 Azure Cosmos DB 服务无法正确解包密钥时,你会看到此错误消息。

故障排除

如果最近删除了密钥保管库或客户管理的密钥,请还原资源并等待一小时。 如果该问题在 2 个多小时后仍未得到解决,请联系客户服务部门。

无法解析密钥保管库的 DNS

错误的原因

当无法解析密钥保管库 DNS 名称时,你会看到此错误消息。 此错误可能表示 Azure Key Vault 服务中存在阻止 Cosmos DB 访问密钥的重大问题。

故障排除

如果最近删除了密钥保管库,则需要还原它。 否则,请等待两小时以上,以使帐户再次可用。 如果这些解决方案均未取消阻止帐户,请联系客户服务部门。