将 Azure 密钥保管库中的客户管理的密钥用于 Azure Data Box
Azure Data Box 可通过加密密钥保护用于锁定设备的设备解锁密钥(也称为设备密码)。 默认情况下,此加密密钥是 Microsoft 管理的密钥。 如需额外控制,还可以使用客户管理的密钥。
使用客户管理的密钥不影响设备上数据的加密方式。 它仅影响设备解锁密钥的加密方式。
若要在整个订单过程中保持此级别的控制,请在创建订单时使用客户管理的密钥。 有关详细信息,请参阅教程:订购 Azure Data Box。
本文介绍如何在 Azure 门户中为现有 Data Box 订单启用客户管理的密钥。 你将了解如何为当前客户管理的密钥更改密钥保管库、密钥、版本或标识,或切换回使用 Microsoft 管理的密钥。
要求
Data Box 订单的客户管理的密钥必须满足以下要求:
- 密钥必须创建并存储在启用了“软删除”和“不要清除”的 Azure 密钥保管库中。 有关详细信息,请参阅什么是 Azure 密钥保管库?。 创建或更新订单时,可以创建密钥保管库和密钥。
- 密钥必须是 2048 或更大大小的 RSA 密钥。
- 必须为 Azure Key Vault 中的密钥启用
Get
、UnwrapKey
和WrapKey
权限。 权限必须在订单的整个生存期内保持不变。 否则,在数据复制阶段开始时无法访问客户管理的密钥。
启用密钥
若要在 Azure 门户中为现有 Data Box 订单启用客户管理的密钥,请执行以下步骤:
转到 Data Box 订单的“概述”屏幕。
转到“设置 > 加密”,并选择“客户管理的密钥”。 然后,选择“选择密钥和密钥保管库”。
在“从 Azure 密钥保管库中选择密钥”屏幕上,订阅会自动填充。
对于“密钥保管库”,可以从下拉列表中选择现有的密钥保管库,也可以选择“新建”并创建新的密钥保管库。
若要创建新的密钥保管库,请在“创建新的密钥保管库”屏幕上输入订阅、资源组、密钥保管库名称和其他信息。 在“恢复选项”中,确保已启用“软删除”和“清除保护” 。 然后选择“查看 + 创建”。
查看密钥保管库的信息,然后选择“创建”。 等待几分钟,直到密钥保管库创建完成。
在“从 Azure 密钥保管库中选择密钥”屏幕上,可以从密钥保管库中选择现有密钥或创建新的密钥。
如果要创建新的密钥,请选择“新建”。 必须使用 RSA 密钥。 大小可以是 2048 或更大。
输入新密钥的名称,接受其他默认值,然后选择“创建”。 在密钥保管库中创建密钥后,你将收到通知。
对于“版本”,可以从下拉列表中选择现有的密钥版本。
如果要生成新的密钥版本,请选择“新建”。
选择新密钥版本的设置,然后选择“创建”。
选择密钥保管库、密钥和密钥版本后,选择“选择”。
“加密类型”设置显示所选的密钥保管库和密钥。
选择管理此资源的客户管理的密钥要使用的标识类型。 可以使用在创建订单时生成的“系统分配”的标识,也可以选择用户分配的标识。
用户分配的标识是一个独立的资源,可用于管理对资源的访问权限。 有关详细信息,请参阅托管标识类型。
若要分配用户标识,请选择“用户分配”。 然后选择“选择用户标识”,并选择要使用的托管标识。
此处无法创建新的用户标识。 若要了解如何创建用户标识,请参阅 使用 Azure 门户创建、列出、删除用户分配的托管标识或如何为其分配角色。
“加密类型”设置中显示了所选用户标识。
选择“保存”,保存更新的“加密类型”设置。
密钥 URL 在“加密类型”下显示。
重要
必须在密钥上启用 Get
、UnwrapKey
和 WrapKey
权限。 若要在 Azure CLI 中设置权限,请参阅 az keyvault set-policy。
更改密钥
若要为当前使用的客户管理的密钥更改密钥保管库、密钥和/或密钥版本,请执行以下步骤:
在 Data Box 订单的“概述”屏幕上,转到“设置”>“加密”,然后单击“更改密钥”。
选择“选择其他密钥保管库和密钥”。
“从密钥保管库中选择密钥”屏幕显示订阅,但不显示密钥保管库、密钥或密钥版本。 可以进行以下任何更改:
从同一密钥保管库中选择其他密钥。 在选择密钥和版本之前,需要选择密钥保管库。
选择其他密钥保管库并分配新密钥。
更改当前密钥的版本。
完成更改后,选择“选择”。
选择“保存” 。
重要
必须在密钥上启用 Get
、UnwrapKey
和 WrapKey
权限。 若要在 Azure CLI 中设置权限,请参阅 az keyvault set-policy。
更改标识
若要为此订单更改用于管理客户管理的密钥的访问权限的标识,请执行以下步骤:
在已完成的 Data Box 订单的“概述”屏幕上,转到“设置”>“加密”。
进行以下任一更改:
若要更改为其他用户标识,请单击“选择其他用户标识”。 然后,在屏幕右侧的面板中选择其他标识,然后选择“选择”。
若要切换到在创建订单时生成的系统分配的标识,请通过“选择标识类型”来选择“系统分配”。
选择“保存” 。
使用 Microsoft 管理的密钥
若要为订单从使用客户管理的密钥更改为 Microsoft 管理的密钥,请执行以下步骤:
在已完成的 Data Box 订单的“概述”屏幕上,转到“设置”>“加密”。
通过“选择类型”,选择“Microsoft 管理的密钥”。
选择“保存” 。
排查错误
如果收到与客户管理的密钥相关的任何错误,请使用下表排除故障。
错误代码 | 错误详细信息 | 可恢复? |
---|---|---|
SsemUserErrorEncryptionKeyDisabled | 无法提取密钥,因为客户管理的密钥已被禁用。 | 是,通过启用密钥版本。 |
SsemUserErrorEncryptionKeyExpired | 无法提取密钥,因为客户管理的密钥已到期。 | 是,通过启用密钥版本。 |
SsemUserErrorKeyDetailsNotFound | 无法提取密钥,因为找不到客户管理的密钥。 | 如果删除了密钥保管库,则无法恢复客户管理的密钥。 如果将密钥保管库迁移到了其他租户,请参阅订阅移动后更改密钥保管库租户 ID。 如果删除了密钥保管库:
如果密钥保管库进行了租户迁移,则可以使用以下步骤之一进行恢复:
|
SsemUserErrorKeyVaultBadRequestException | 应用了客户管理的密钥,但尚未获得密钥访问权限或该权限已被撤销,或者由于启用了防火墙而无法访问密钥保管库。 | 请将所选标识添加到密钥保管库,以向客户管理的密钥授予访问权限。 如果密钥保管库启用了防火墙,请切换到系统分配的标识,然后添加客户管理的密钥。 有关详细信息,请参阅如何启用密钥。 |
SsemUserErrorKeyVaultDetailsNotFound | 无法提取密钥,因为找不到与客户管理的密钥关联的密钥保管库。 | 如果删除了密钥保管库,则无法恢复客户管理的密钥。 如果将密钥保管库迁移到了其他租户,请参阅订阅移动后更改密钥保管库租户 ID。 如果删除了密钥保管库:
如果密钥保管库进行了租户迁移,则可以使用以下步骤之一进行恢复:
|
SsemUserErrorSystemAssignedIdentityAbsent | 无法提取密钥,因为找不到客户管理的密钥。 | 是,检查以下事项:
|
SsemUserErrorUserAssignedLimitReached | 无法添加新的用户分配的标识,因为已经达到了可以添加的用户分配的标识总数限制。 | 用更少的用户标识重试该操作,或在重试之前从资源中删除一些用户分配的标识。 |
SsemUserErrorCrossTenantIdentityAccessForbidden | 托管标识访问操作失败。 注意:将订阅移到其他租户时可能出现此错误。 客户必须将标识手动移到新租户。 |
尝试向密钥保管库添加其他用户分配的标识,以允许对客户管理的密钥的访问。 或将标识移到订阅所在的新租户。 有关详细信息,请参阅如何启用密钥。 |
SsemUserErrorKekUserIdentityNotFound | 已应用客户管理的密钥,但在 Active Directory 中找不到有权访问此密钥的用户分配的标识。 注意:从 Azure 中删除用户标识时,可能会发生此错误。 |
尝试向密钥保管库添加其他用户分配的标识,以允许对客户管理的密钥的访问。 有关详细信息,请参阅如何启用密钥。 |
SsemUserErrorUserAssignedIdentityAbsent | 无法提取密钥,因为找不到客户管理的密钥。 | 无法访问客户管理的密钥。 与密钥关联的用户分配的标识 (UAI) 已删除或 UAI 类型已更改。 |
SsemUserErrorKeyVaultBadRequestException | 应用了客户管理的密钥,但尚未获得密钥访问权限或该权限已被撤销,或者由于启用了防火墙而无法访问密钥保管库。 | 请将所选标识添加到密钥保管库,以向客户管理的密钥授予访问权限。 如果密钥保管库启用了防火墙,请切换到系统分配的标识,然后添加客户管理的密钥。 有关详细信息,请参阅如何启用密钥。 |
SsemUserErrorEncryptionKeyTypeNotSupported | 此操作不支持加密密钥类型。 | 在密钥上启用支持的加密类型,例如 RSA。 有关详细信息,请参阅密钥类型、算法和操作。 |
SsemUserErrorSoftDeleteAndPurgeProtectionNotEnabled | 密钥保管库未启用软删除或清除保护。 | 请确保在密钥保管库上启用软删除和清除保护。 |
SsemUserErrorInvalidKeyVaultUrl (仅限命令行工具) |
使用了无效的密钥保管库 URI。 | 获取正确的密钥保管库 URI。 若要获取密钥保管库 URI,请在 PowerShell 中使用 Get-AzKeyVault。 |
SsemUserErrorKeyVaultUrlWithInvalidScheme | 仅支持通过 HTTPS 来传递密钥保管库 URI。 | 通过 HTTPS 传递密钥保管库 URI。 |
SsemUserErrorKeyVaultUrlInvalidHost | 密钥保管库 URI 主机不是地理区域中允许的主机。 | 在中国云中,密钥保管库 URI 应以 vault.azure.cn 结尾。 |
常规错误 | 无法提取密钥。 | 此错误是一般性错误。 请与 Microsoft 支持联系,以排查错误并确定后续步骤。 |