Freigeben über

Verwenden kundenseitig verwalteter Schlüssel in Azure Key Vault für Azure Data Box

Azure Data Box-Geräte werden mit einem Kennwort gesichert, um unerwünschte Eindringversuche zu verhindern. Dieses Kennwort wird formell als Gerätesperrschlüssel bezeichnet und durch einen Verschlüsselungsschlüssel geschützt. Standardmäßig ist der Verschlüsselungsschlüssel ein von Microsoft verwalteter Schlüssel. Für eine direktere Steuerung können Sie Ihren eigenen verwalteten Schlüssel bereitstellen.

Die Verwendung Ihres eigenen vom Kunden verwalteten Schlüssels wirkt sich nur auf die Verschlüsselung des Gerätesperrschlüssels aus. Es wirkt sich nicht darauf aus, wie auf dem Gerät gespeicherte Daten verschlüsselt werden.

Um dieses Maß an Kontrolle im gesamten Bestellvorgang beizubehalten, verwenden Sie einen kundenseitig verwalteten Schlüssel, wenn Sie Ihre Bestellung erstellen. Weitere Informationen finden Sie unter Tutorial: Bestellen von Azure Data Box.

In diesem Artikel wird beschrieben, wie Sie kundenverwaltete Schlüssel mit einer vorhandenen Azure Data Box-Bestellung über das Azure-Portal verwenden können. Dieser Artikel bezieht sich auf Azure Data Box-, Data Box Next-Gen- und Data Box Heavy-Geräte.

Anforderungen

Der kundenseitig verwaltete Schlüssel für eine Data Box-Bestellung muss die folgenden Anforderungen erfüllen:

  • Der Schlüssel muss ein RSA-Schlüssel von 2.048 Bits oder größer sein.
  • Der Schlüssel muss in einem Azure Key Vault erstellt und gespeichert werden, der über die Verhaltensweisen „Soft Delete“ und „Nicht Löschen“ verfügt. Sie können einen Schlüsseltresor und Schlüssel erstellen, während Sie die Bestellung erstellen oder aktualisieren. Weitere Informationen finden Sie unter Was ist Azure Key Vault?
  • Die Berechtigungen Get, UnwrapKey und WrapKey für den Schlüssel müssen im zugeordneten Azure Key Vault aktiviert sein. Diese Berechtigungen müssen für die Lebensdauer der Bestellung vorhanden bleiben. Durch das Ändern dieser Berechtigungen wird verhindert, dass der vom Kunden verwaltete Schlüssel während des Datenkopieprozesses zugänglich ist.

Aktivieren des Schlüssels

Führen Sie die folgenden Schritte aus, um einen vom Kunden verwalteten Schlüssel für eine vorhandene Data Box-Bestellung im Azure-Portal zu aktivieren:

  1. Navigieren Sie zur Seite Übersicht für eine Data Box-Bestellung.

    Eine Bildschirmaufnahme mit der Übersichtsseite einer Data Box-Bestellung.

  2. Wählen Sie in der Gruppe "Einstellungen" die Option "Verschlüsselung" aus. Wählen Sie im Bereich "Verschlüsselungstyp " die Option " Vom Kunden verwalteter Schlüssel " aus. Wählen Sie dann "Einen Schlüssel und einen Schlüsseltresor auswählen", um die Seite "Schlüssel aus Azure Key Vault auswählen" zu öffnen.

    Eine Bildschirmaufnahme mit ausgewählter Option

  3. Die Seite „Schlüssel im Azure Key Vault auswählen“ wird geöffnet, und Ihr Abonnement wird automatisch in der Dropdownliste eingetragen. Wählen Sie in der Dropdownliste " Schlüsseltresor" einen vorhandenen Schlüsseltresor aus, oder wählen Sie " Neu erstellen" aus, um einen neuen Schlüsseltresor zu erstellen.

    Ein Screenshot, der die wichtigsten Optionen für den Schlüsseltresor bei der Auswahl eines kundenseitig verwalteter Schlüssel hervorhebt

    Um ein neues Schlüsselarchiv zu erstellen, wählen Sie Ihr Abonnement und Ihre Ressourcengruppe aus den entsprechenden Dropdownlisten für Abonnement und Ressourcengruppe. Alternativ können Sie eine neue Ressourcengruppe erstellen, indem Sie " Neu erstellen " auswählen, anstatt die Option " Ressourcengruppe " aufzufüllen.

    Wählen Sie die gewünschten Werte für die Dropdownlisten "Key Vault", "Region" und "Preisstufe" aus. Stellen Sie in der Gruppe "Wiederherstellungsoptionen " sicher, dass Soft Delete und Purge-Schutz aktiviert sind. Geben Sie einen Wert für das Feld Aufbewahrungsdauer für gelöschte Tresore in Tagen an, und wählen Sie dann Überprüfen + erstellen aus.

    Ein Screenshot der Überprüfen und Erstellen-Seite von Azure Key Vault.

    Überprüfen Sie die Informationen für Ihren Schlüsseltresor, und wählen Sie dann "Erstellen" aus. Sie werden über den Abschluss der Erstellung des Schlüsseltresors informiert.

    Eine Bildschirmaufnahme mit der Erstellung eines Azure Key Vault mit benutzerdefinierten Einstellungen.

  4. Auf dem Bildschirm Schlüssel aus Azure Key Vault auswählen können Sie einen Schlüssel auswählen, der im Schlüsseltresor vorhanden ist, oder einen neuen erstellen.

    Eine Bildschirmaufnahme mit der Auswahl eines Schlüssels aus Azure Key Vault.

    Wählen Sie die Option Neu erstellen aus, wenn Sie einen neuen Schlüssel erstellen möchten. Sie müssen einen RSA-Schlüssel mit 2.048 Bit oder höher verwenden.

    Eine Bildschirmaufnahme mit der Erstellung eines neuen Schlüssels im Azure Key Vault.

    Geben Sie einen Namen für Ihren Schlüssel ein, übernehmen Sie die anderen Standardwerte, und wählen Sie "Erstellen" aus. Sie erhalten eine Benachrichtigung, dass ein Schlüssel in Ihrem Schlüsseltresor erstellt wurde.

    Eine Bildschirmaufnahme mit der Benennung eines neuen Schlüssels in Azure Key Vault.

  5. Für Version können Sie eine vorhandene Schlüsselversion aus der Dropdownliste auswählen.

    Eine Bildschirmaufnahme mit der Auswahl einer Schlüsselversion in Azure Key Vault.

    Wählen Sie die Option Neu erstellen aus, wenn Sie eine neue Schlüsselversion generieren möchten.

    Eine Bildschirmaufnahme, die den Standort des Links "Neu erstellen" zeigt.

    Wählen Sie Einstellungen für die neue Schlüsselversion und dann die Option Erstellen aus.

    Eine Bildschirmaufnahme mit dem Bildschirm

  6. Nachdem Sie einen Schlüsseltresor, einen Schlüssel und eine Schlüsselversion ausgewählt haben, wählen Sie „Auswählen“ aus.

    Eine Bildschirmaufnahme mit der Position der Schaltfläche

    Die Verschlüsselungstyp-Einstellungen zeigen Schlüsseltresor und Schlüssel an, die Sie ausgewählt haben.

    Eine Bildschirmaufnahme mit den Details zu Key und Key Vault.

  7. Wählen Sie den Identitätstyp aus, der zum Verwalten des kundenseitig verwalteten Schlüssels für diese Ressource verwendet werden soll. Sie können die systemseitig zugewiesene Identität verwenden, die während des Erstellens der Bestellung generiert wurde, oder eine benutzerseitig zugewiesene Identität auswählen.

    Eine benutzerseitig zugewiesene Identität ist eine unabhängige Ressource, die Sie verwenden können, um den Zugriff auf Ressourcen zu verwalten. Weitere Informationen finden Sie unter Arten von verwalteten Identitäten.

    Eine Bildschirmaufnahme mit den Identitätstypen.

    Wählen Sie Benutzerdefiniert zugewiesen aus, um eine Benutzeridentität zuzuweisen. Wählen Sie dann Auswählen einer Benutzeridentität aus, und wählen Sie die verwaltete Identität aus, die Sie verwenden möchten.

    Eine Bildschirmaufnahme mit den Optionen für die Tastenauswahl.

    Sie können hier keine neue Benutzeridentität erstellen. Wie Sie eine erstellen können, erfahren Sie unter Erstellen, Auflisten, Löschen oder Zuweisen einer Rolle zu einer vom Benutzer zugewiesenen verwalteten Identität über das Azure-Portal.

    Die ausgewählte Benutzeridentität wird in den Einstellungen unter Verschlüsselungstyp angezeigt.

    Eine Bildschirmaufnahme mit einer ausgewählten Benutzeridentität, die im Einstellungsbereich

  8. Wählen Sie Speichern aus, um die aktualisierten Verschlüsselungstyp-Einstellungen zu speichern.

    Eine Bildschirmaufnahme mit dem Speicherort der Schaltfläche

    Die Schlüssel-URL wird unter Verschlüsselungstyp angezeigt.

    Eine Bildschirmaufnahme mit der vom Kunden verwalteten Schlüssel-URL.

Wichtig

Sie müssen die Berechtigungen Get, UnwrapKey und WrapKey für den Schlüssel aktivieren. Informationen zum Festlegen der Berechtigungen über die Azure CLI finden Sie unter az keyvault set-policy.

Schlüssel ändern

Führen Sie die folgenden Schritte aus, um Schlüsseltresor, Schlüssel und Schlüsselversion für den kundenseitig verwalteten Schlüssel zu ändern, den Sie zurzeit verwenden:

  1. Wechseln Sie auf dem Übersicht-Bildschirm für Ihre Data Box-Bestellung zu Einstellungen>Verschlüsselung, und wählen Sie Schlüssel ändern aus.

    Eine Bildschirmaufnahme der Übersichtsseite eines Data Box-Auftrags mit vom Kunden verwalteten Schlüsseldetails.

  2. Wählen Sie Anderen Schlüsseltresor und Schlüssel auswählen aus.

    Ein Screenshot der Übersichtsseite einer Data Box-Bestellung, der den Prozess zur Auswahl verschiedener Schlüsseltresor- und Schlüsseloptionen hervorhebt

  3. In der Bildschirmansicht Schlüssel aus dem Schlüsseltresor auswählen wird das Abonnement, jedoch kein Schlüsseltresor, Schlüssel oder Schlüsselversion angezeigt. Sie können eine der folgenden Änderungen vornehmen:

    • Wählen Sie einen anderen Schlüssel aus demselben Schlüsseltresor aus. Wählen Sie den Schlüsseltresor aus, bevor Sie den Schlüssel und die Version auswählen.

    • Wählen Sie einen anderen Schlüsselcontainer aus, und weisen Sie einen neuen Schlüssel zu.

    • Ändern Sie die Version für den aktuellen Schlüssel.

    Wenn Sie die Änderungen abgeschlossen haben, wählen Sie Auswählen aus.

    Eine Bildschirmaufnahme der Verschlüsselungsoptionen und der Position der Schaltfläche

  4. Wählen Sie Speichern.

    Eine Bildschirmaufnahme mit aktualisierten Verschlüsselungseinstellungen und dem Speicherort der Schaltfläche

Wichtig

Sie müssen die Berechtigungen Get, UnwrapKey und WrapKey für den Schlüssel aktivieren. Informationen zum Festlegen der Berechtigungen über die Azure CLI finden Sie unter az keyvault set-policy.

Identität ändern

Führen Sie die folgenden Schritte aus, um die Identität zu aktualisieren, die den Zugriff auf den vom Kunden verwalteten Schlüssel für diese Bestellung verwaltet:

  1. Wechseln Sie auf dem Bildschirm Übersicht für Ihre abgeschlossene Data Box-Bestellung zu Einstellungen>Verschlüsselung.

  2. Nehmen Sie eine der folgenden Änderungen vor:

    • Wenn Sie zu einer anderen Benutzeridentität wechseln möchten, wählen Sie eine andere Benutzeridentität aus. Wählen Sie dann im Bereich auf der rechten Seite des Bildschirms eine andere Identität und dann Auswählen aus.

      Screenshot mit Optionen zum Ändern der vom Benutzer zugewiesenen Identität für einen vom Kunden verwalteten Schlüssel.

    • Um zur systemseitig zugewiesenen Identität zu wechseln, die während des Erstellens der Bestellung generiert wurde, wählen Sie Systemseitig zugewiesen bei Identitätstyp auswählen aus.

      Screenshot mit Optionen zum Wechseln zu einem vom System zugewiesenen Schlüssel für einen vom Kunden verwalteten Schlüssel.

  3. Wählen Sie Speichern.

    Screenshot, der den Ort der Schaltfläche zeigt, mit der Sie Ihre aktualisierten Verschlüsselungseinstellungen speichern können.

Verwenden des von Microsoft verwalteten Schlüssels

Gehen Sie folgendermaßen vor, um für Ihre Bestellung von der Verwendung eines kundenseitig verwalteten Schlüssels zum von Microsoft verwalteten Schlüssel zu wechseln:

  1. Wechseln Sie auf dem Bildschirm Übersicht für Ihre abgeschlossene Data Box-Bestellung zu Einstellungen>Verschlüsselung.

  2. Wählen Sie bei Typ auswählen die Option Von Microsoft verwalteter Schlüssel aus.

    Screenshot des Bereichs

  3. Wählen Sie Speichern.

    Screenshot des Speicherorts der Schaltfläche zum Speichern der aktualisierten Verschlüsselungseinstellungen für einen von Microsoft verwalteten Schlüssel.

Fehler beheben

Wenn Ihnen Fehler im Zusammenhang mit dem kundenseitig verwalteten Schlüssel angezeigt werden, verwenden Sie zur Problembehandlung die folgende Tabelle.

Fehlercode Fehlerdetails Beschluss
SsemUserErrorEncryptionKeyDisabled Der Schlüssel konnte nicht abgerufen werden: Der vom Kunden verwaltete Schlüssel ist deaktiviert. Aktivieren Sie die Schlüssel-Version.
SsemUserErrorVerschlüsselungsschlüsselAbgelaufen Der Schlüssel konnte nicht abgerufen werden: Der vom Kunden verwaltete Schlüssel ist abgelaufen. Aktivierung der Schlüsselversion.
SsemUserErrorKeyDetailsNotFound Der Schlüssel konnte nicht abgerufen werden: Der vom Kunden verwaltete Schlüssel wurde nicht gefunden. Wenn der Schlüsseltresor gelöscht wird:
  1. Wenn die Löschung innerhalb des Zeitraums für den Löschschutz erfolgte, befolgen Sie die Schritte unter Wiederherstellen eines Schlüsseltresors.
  2. Wenn der Löschschutz deaktiviert ist oder der Löschvorgang über die Bereinigungsdauer hinaus erfolgt ist, kann der vom Kunden verwaltete Schlüssel nicht wiederhergestellt werden.

Wenn der Schlüsseltresor eine Mandantenmigration durchlaufen hat, kann er mit einer der folgenden Methoden wiederhergestellt werden:
  1. Stellen Sie den Schlüsseltresor im alten Mandanten wieder her.
  2. Legen Sie Identity = None fest und ändern Sie den Wert dann auf Identity = SystemAssigned. Diese Aktion löscht und erstellt die Identität neu. Gewähren Sie der neuen Identität innerhalb der Zugriffsrichtlinie des Schlüsseltresors die Berechtigungen Get, WrapKey und UnwrapKey.
SsemUserErrorKeyVaultBadRequestException Ein kundenseitig verwalteter Schlüssel wurde angewendet, aber der Schlüsselzugriff wurde nicht erteilt oder wurde widerrufen, oder der Zugriff auf den Schlüsseltresor ist aufgrund einer aktivierten Firewall nicht möglich. Um den Zugriff auf den vom Kunden verwalteten Schlüssel zu ermöglichen, fügen Sie die ausgewählte Identität zu Ihrem Schlüsseltresor hinzu. Wenn für den Schlüsseltresor eine Firewall aktiviert ist, wechseln Sie zu einer systemseitig zugewiesenen Identität, und fügen Sie dann einen kundenseitig verwalteten Schlüssel hinzu. Weitere Informationen finden Sie unter Aktivieren des Schlüssels.
SsemUserErrorKeyVaultDetailsNotFound Der Passkey konnte nicht abgerufen werden, da der zugeordnete Schlüsseltresor für den vom Kunden verwalteten Schlüssel nicht gefunden werden konnte. Wenn Sie den Schlüsseltresor gelöscht haben, können Sie den kundenseitig verwalteten Schlüssel nicht wiederherstellen. Wenn Sie den Key Vault zu einem anderen Mandanten migriert haben, siehe Ändern der Mandanten-ID des Key Vaults nach einer Abonnementverschiebung. Wenn Sie den Schlüsseltresor gelöscht haben:
  1. Ja, wenn Sie sich noch innerhalb des Zeitraums für den Schutz vor dem endgültigen Löschen befinden, können Sie die Schritte unter Wiederherstellen eines Schlüsseltresors ausführen.
  2. Nein, wenn der Zeitraum für den Schutz vor dem endgültigen Löschen abgelaufen ist.

Andernfalls, wenn der Schlüsseltresor eine Mandantenmigration durchlaufen hat, kann er mit einem der folgenden Schritte wiederhergestellt werden:
  1. Stellen Sie den Schlüsseltresor im alten Mandanten wieder her.
  2. Legen Sie Identity = None fest, und setzen Sie dann den Wert auf Identity = SystemAssigned zurück. Durch Ändern des Identitätswerts wird die Identität gelöscht und neu erstellt, nachdem die neue Identität erstellt wurde. Gewähren Sie der neuen Identität in der Zugriffsrichtlinie des Schlüsseltresors die Berechtigungen Get, WrapKey und UnwrapKey.
SsemUserErrorSystemAssignedIdentityAbsent Der Schlüssel konnte nicht abgerufen werden, da der vom Kunden verwaltete Schlüssel nicht gefunden wurde. Ja. Überprüfen Sie Folgendes:
  1. Der Schlüsseltresor verfügt weiterhin über die MSI in der Zugriffsrichtlinie.
  2. Die Identität ist vom Typ „Vom System zugewiesen“.
  3. Gewähren Sie der Identität in der Zugriffsrichtlinie des Schlüsseltresors die Berechtigungen Get, WrapKey und UnwrapKey. Diese Berechtigungen müssen für die Lebensdauer der Bestellung beibehalten werden. Sie werden während der Auftragserstellung und am Anfang der Datenkopierphase verwendet.
SsemUserErrorUserAssignedLimitReached Beim Hinzufügen einer „Benutzerseitig zugewiesenen Identität“ ist ein Fehler aufgetreten, weil die maximale Anzahl benutzerseitig zugewiesener Identitäten, die hinzugefügt werden können, erreicht wurde. Wiederholen Sie den Vorgang mit weniger Benutzeridentitäten, oder entfernen Sie einige benutzerseitig zugewiesene Identitäten aus der Ressource, bevor Sie den Vorgang wiederholen.
SsemUserErrorCrossTenantIdentityAccessForbidden Fehlgeschlagene Zugriffsoperation auf verwaltete Identität.
Hinweis: Dieser Fehler kann auftreten, wenn ein Abonnement in einen anderen Mandanten verschoben wird. Der Kunde muss die Identität manuell in den neuen Mandanten verschieben.		 Versuchen Sie, dem Schlüsseltresor eine andere benutzerseitig zugewiesene Identität hinzuzufügen, um den Zugriff auf den kundenseitig verwalteten Schlüssel zu ermöglichen. Oder verschieben Sie die Identität in den neuen Mandanten, unter dem das Abonnement vorhanden ist. Weitere Informationen finden Sie unter Aktivieren des Schlüssels.
SsemUserErrorKekUserIdentityNotFound Ein vom Kunden verwalteter Schlüssel wurde angewendet, aber die vom Benutzer zugewiesene Identität, die Zugriff auf den Schlüssel hat, wurde im Active Directory nicht gefunden.
Hinweis: Dieser Fehler kann auftreten, wenn eine Benutzeridentität aus Azure gelöscht wird.		 Versuchen Sie, dem Schlüsseltresor eine andere benutzerseitig zugewiesene Identität hinzuzufügen, um den Zugriff auf den kundenseitig verwalteten Schlüssel zu ermöglichen. Weitere Informationen finden Sie unter Aktivieren des Schlüssels.
SsemUserErrorUserAssignedIdentityAbsent Der Schlüssel konnte nicht abgerufen werden, da ein vom Kunden verwalteter Schlüssel nicht gefunden wurde. Der Zugriff auf den vom Kunden verwalteten Schlüssel konnte nicht möglich sein. Entweder wird die dem Schlüssel zugeordnete benutzerseitig zugewiesene Identität (User Assigned Identity, UAI) gelöscht, oder der UAI-Typ wurde geändert.
SsemUserErrorKeyVaultBadRequestException Ein kundenseitig verwalteter Schlüssel wurde angewendet, aber der Schlüsselzugriff wurde nicht gewährt oder widerrufen, oder es konnte aufgrund einer aktivierten Firewall nicht auf den Schlüsseltresor zugegriffen werden. Um den Zugriff auf den vom Kunden verwalteten Schlüssel zu ermöglichen, fügen Sie die ausgewählte Identität zu Ihrem Schlüsseltresor hinzu. Wenn für den Schlüsseltresor eine Firewall aktiviert ist, wechseln Sie zu einer systemseitig zugewiesenen Identität, und fügen Sie dann einen kundenseitig verwalteten Schlüssel hinzu. Weitere Informationen finden Sie unter Aktivieren des Schlüssels.
SsemUserErrorEncryptionKeyTypeNotSupported Der Verschlüsselungsschlüsseltyp wird für den Vorgang nicht unterstützt. Aktivieren Sie einen unterstützten Verschlüsselungstyp für den Schlüssel, z. B. RSA oder RSA-HSM. Weitere Informationen finden Sie unter Schlüsseltypen, Algorithmen und Vorgänge.
SsemUserErrorSoftDeleteAndPurgeProtectionNotEnabled Für den Schlüsseltresor ist weder vorläufiges Löschen noch Löschschutz aktiviert. Vergewissern Sie sich, dass sowohl Soft Delete als auch Löschschutz für den Key Vault aktiviert sind.
SsemUserErrorInvalidKeyVaultUrl - Ungültige Key Vault-URL
(Nur Kommandozeile)		 Ein ungültiger Schlüsseltresor-URI wurde verwendet. Beziehen Sie den richtigen Schlüsseltresor-URI. Verwenden Sie Get-AzKeyVault in PowerShell, um den Schlüsseltresor-URI abzurufen.
SsemUserErrorKeyVaultUrlWithInvalidScheme Nur HTTPS wird für die Übergabe des Schlüsseltresor-URI unterstützt. Übergeben Sie die Key Vault-URI über HTTPS.
SsemUserErrorKeyVaultUrlInvalidHost Der URI-Host des Schlüsseltresors ist in der geografischen Region kein zulässiger Host. In der öffentlichen Cloud muss der Schlüsseltresor-URI mit vault.azure.net enden. In der Azure Government Cloud muss der Schlüsseltresor-URI mit vault.usgovcloudapi.net enden.
Allgemeiner Fehler Der Passkey konnte nicht abgerufen werden. Dieser Fehler ist ein generischer Fehler. Wenden Sie sich an den Microsoft-Support, um den Fehler zu beheben, und ermitteln Sie die nächsten Schritte.

Nächste Schritte

  • Last updated on