Gestire i segreti di Azure Stack Edge con Azure Key Vault

SI APPLICA A:Azure Stack Edge Pro - GPUAzure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R

Azure Key Vault è integrato con la risorsa Azure Stack Edge per la gestione dei segreti. Questo articolo fornisce informazioni dettagliate su come viene creato un Azure Key Vault per la risorsa Azure Stack Edge durante l'attivazione del dispositivo e quindi viene usato per la gestione delle chiavi segrete.

Informazioni su Azure Key Vault e Azure Stack Edge

Il servizio cloud di Azure Key Vault viene usato per archiviare e controllare in modo sicuro l'accesso a token, password, certificati, chiavi API e altri segreti. Key Vault semplifica anche la creazione e il controllo delle chiavi di crittografia usate per crittografare i dati.

Per il servizio Azure Stack Edge, l'integrazione con Key Vault offre i vantaggi seguenti:

• Archivia i segreti dei clienti. Uno dei segreti usati per il servizio Azure Stack Edge è Channel Integrity Key (CIK). Questa chiave consente di crittografare i segreti ed è conservata in modo sicuro nella cassaforte delle chiavi. Anche i segreti dei dispositivi, ad esempio la chiave di ripristino BitLocker e la password utente del Baseboard Management Controller (BMC), sono archiviati nel Key Vault.

  Per altre informazioni, vedere Archiviare in modo sicuro segreti e chiavi.

• Passa i segreti crittografati dei clienti al dispositivo.

• Visualizza i segreti del dispositivo per facilitare l'accesso se il dispositivo è inattivo.

Generare la chiave di attivazione e creare il Key Vault

Un Key Vault viene creato per la risorsa di Azure Stack Edge nel processo di generazione della chiave di attivazione. Il Key Vault viene creato nello stesso gruppo di risorse in cui è presente la risorsa Azure Stack Edge. È necessaria l'autorizzazione di collaboratore per l'insieme di credenziali delle chiavi.

Prerequisiti per l'insieme di credenziali delle chiavi

Prima della creazione dell'insieme di credenziali delle chiavi durante l'attivazione, è necessario soddisfare i seguenti prerequisiti:

• Registrare il provider di risorse Microsoft.KeyVault prima di creare la risorsa Azure Stack Edge. Il provider di risorse viene registrato automaticamente se si dispone dell'accesso proprietario o collaboratore alla sottoscrizione. Il Key Vault viene creato nella stessa sottoscrizione e nello stesso gruppo di risorse di Azure Stack Edge.

• Quando si crea una risorsa di Azure Stack Edge, viene creata anche un'identità gestita assegnata dal sistema che persiste per la durata della risorsa e comunica con il provider di risorse nel cloud.

  Quando l'identità gestita è abilitata, Azure crea un'identità attendibile per la risorsa Azure Stack Edge.

Creazione dell'insieme di credenziali delle chiavi

Dopo aver creato la risorsa, è necessario attivare la risorsa con il dispositivo. A tale scopo, verrà generata una chiave di attivazione dal portale di Azure.

Quando si genera una chiave di attivazione, si verificano gli eventi seguenti:

• È necessario richiedere una chiave di attivazione nel portale di Azure. La richiesta viene quindi inviata al provider di risorse di Key Vault.
• Viene creato un insieme di credenziali delle chiavi di livello standard con politica di accesso ed è bloccato per impostazione predefinita.

  • Questo Key Vault usa il nome predefinito o un nome personalizzato lungo da 3 a 24 caratteri che hai specificato. Non è possibile usare un Key Vault già in uso.

  • I dettagli dell'insieme di credenziali delle chiavi sono archiviati nel servizio. Questo Key Vault viene usato per la gestione dei segreti e persiste finché esiste una risorsa Azure Stack Edge.

    

• Un blocco delle risorse è abilitato sul Key Vault per impedire l'eliminazione accidentale. L'eliminazione temporanea è abilitata nell'insieme di credenziali delle chiavi che consente di ripristinare l''insieme di credenziali delle chiavi entro 90 giorni se vi è un'eliminazione accidentale. Per altre informazioni, vedere Panoramica dell'eliminazione temporanea di Azure Key Vault.
• È ora abilitata un'identità gestita assegnata dal sistema creata al momento della creazione della risorsa Azure Stack Edge.
• Viene generata una chiave di integrità del canale (CIK) e inserita nell'archivio delle chiavi. I dettagli CIK vengono visualizzati nel servizio.
• Viene creato anche un account di archiviazione a ridondanza di zona (ZRS) nello stesso ambito della risorsa Azure Stack Edge e viene inserito un lucchetto nell'account.
  • Questo account viene usato per archiviare i log di controllo.
  • La creazione dell'account di archiviazione è un processo a esecuzione prolungata e richiede alcuni minuti.
  • L'account di archiviazione è taggato con il nome del Key Vault.
• Viene aggiunta un'impostazione di diagnostica al Key Vault e il logging viene abilitato.
• L'identità gestita viene aggiunta ai criteri di accesso del Key Vault per consentire l'accesso, in quanto il dispositivo lo utilizza per archiviare e recuperare informazioni riservate.
• Il Key Vault autentica la richiesta utilizzando l'identità gestita per generare la chiave di attivazione. La chiave di attivazione viene restituita al portale di Azure. È quindi possibile copiare questa chiave e usarla nell'interfaccia utente locale per attivare il dispositivo.

Se si verificano problemi relativi a Key Vault e all'attivazione dei dispositivi, consultare Risolvere i problemi di attivazione dei dispositivi.

Visualizzare le proprietà del Key Vault

Dopo aver generato la chiave di attivazione e aver creato il Key Vault, è possibile accedere al Key Vault per visualizzare i segreti, i criteri di accesso, la diagnostica e le analisi approfondite. La procedura seguente descrive ognuna di queste operazioni.

Visualizzare segreti

Dopo aver generato la chiave di attivazione e creato l'archivio chiavi, è possibile accedere ad esso.

Per accedere al Key Vault e visualizzare i segreti, seguire questi passaggi:

1. Nella portale di Azure per la risorsa Azure Stack Edge passare a Sicurezza.

2. Nel riquadro destro, in Sicurezza, è possibile visualizzare i segreti.

3. È anche possibile navigare al Key Vault associato alla risorsa Azure Stack Edge. Selezionare Nome del key vault.

   

4. Per visualizzare i segreti archiviati nel tuo Key Vault, vai a Segreti. La chiave di integrità del canale, la chiave di ripristino BitLocker e le password utente del BMC (Baseboard Management Controller) sono archiviate nel vault delle chiavi. Se il dispositivo diventa inattivo, il portale consente di accedere facilmente alla chiave di ripristino bitLocker e alla password utente BMC.

   

Visualizzare i criteri di accesso alle identità gestite

Per accedere ai criteri di accesso per l'insieme di credenziali delle chiavi di accesso e l'identità gestita, seguire questa procedura:

1. Nella portale di Azure per la risorsa Azure Stack Edge passare a Sicurezza.

2. Selezionare il collegamento corrispondente al nome del Key Vault per accedere al Key Vault associato alla risorsa di Azure Stack Edge.

   

3. Per visualizzare i criteri di accesso associati al Key Vault, vai a Criteri di accesso. È possibile notare che all'identità gestita è stato concesso l'accesso. Selezionare Autorizzazioni segrete. È possibile notare che l'accesso all'identità gestita è limitato solo all'opzione Get e Set del segreto.

   

Visualizzare i log di controllo

Per accedere al vault delle chiavi e visualizzare le impostazioni di diagnostica e i log di controllo, seguire questa procedura:

1. Nella portale di Azure per la risorsa Azure Stack Edge passare a Sicurezza.

2. Selezionare il collegamento corrispondente al nome del Key Vault per accedere al Key Vault associato alla risorsa di Azure Stack Edge.

   

3. Per visualizzare le impostazioni di diagnostica associate al Key Vault, vai su Impostazioni di diagnostica. Questa impostazione consente di monitorare come e quando si accede agli insiemi di credenziali delle chiavi e da chi. È possibile notare che è stata creata un'impostazione di diagnostica. Anche i log vengono trasmessi all'account di archiviazione che è stato creato. Gli eventi di controllo vengono creati anche nell'insieme di credenziali delle chiavi.

   

Se hai configurato una diversa destinazione di archiviazione per i log nel Key Vault, puoi visualizzare i log direttamente in quell'account di archiviazione.

Visualizzare informazioni dettagliate

Per accedere alle informazioni dettagliate del Key Vault, incluse le operazioni eseguite sul Key Vault, seguire questa procedura:

1. Nella portale di Azure per la risorsa Azure Stack Edge passare a Sicurezza.

2. Selezionare il collegamento corrispondente alla diagnostica dell'insieme di credenziali delle chiavi.

   

3. Il pannello Informazioni dettagliate offre una panoramica delle operazioni eseguite sul gestore dell'insieme di credenziali delle chiavi

   

Visualizzare lo stato dell'identità gestita

Per visualizzare lo stato dell'identità gestita assegnata dal sistema associata alla risorsa di Azure Stack Edge, seguire questa procedura:

1. Nella portale di Azure per la risorsa Azure Stack Edge passare a Sicurezza.

2. Nel riquadro destro passare all'identità gestita assegnata dal sistema per visualizzare se l'identità gestita assegnata dal sistema è abilitata o disabilitata.

   

Visualizzare i blocchi dell'insieme di credenziali delle chiavi

Per accedere al deposito di chiavi e visualizzare le chiusure, seguire questa procedura:

1. Nella portale di Azure per la risorsa Azure Stack Edge passare a Sicurezza.

2. Selezionare il collegamento corrispondente al nome del Key Vault per accedere al Key Vault associato alla risorsa di Azure Stack Edge.

   

3. Per visualizzare i blocchi nell'insieme di credenziali delle chiavi, passare a Blocchi. Per evitare l'eliminazione accidentale, un blocco risorsa è abilitato sul Key Vault.

   

Rigenerare la chiave di attivazione

In alcuni casi, potrebbe essere necessario rigenerare la chiave di attivazione. Quando si rigenera una chiave di attivazione, si verificano gli eventi seguenti:

1. Si richiede di rigenerare una chiave di attivazione nel portale di Azure.
2. La chiave di attivazione viene restituita al portale di Azure. È quindi possibile copiare questa chiave e usarla.

L'insieme di credenziali delle chiavi non è accessibile quando si rigenera la chiave di attivazione.

Recuperare i dati riservati del dispositivo

Se il CIK viene eliminato accidentalmente o i segreti (ad esempio, la password utente BMC) sono diventati obsoleti nell'archivio delle chiavi, è necessario trasferire i segreti dal dispositivo per aggiornare quelli presenti nell'archivio delle chiavi.

Seguire questa procedura per sincronizzare i segreti del dispositivo:

1. Nella portale di Azure passare alla risorsa Azure Stack Edge e quindi passare a Sicurezza.

2. Nel riquadro destro, nella barra dei comandi superiore selezionare Sincronizza segreti del dispositivo.

3. I segreti del dispositivo vengono inseriti nell'insieme di credenziali delle chiavi per ripristinare o aggiornare i segreti contenuti nell'insieme di credenziali delle chiavi. Al termine della sincronizzazione verrà visualizzata una notifica.

   

Eliminare un insieme di credenziali delle chiavi

Esistono due modi per eliminare il Key Vault associato alla risorsa di Azure Stack Edge:

• Eliminare la risorsa Azure Stack Edge e scegliere di eliminare allo stesso tempo il Key Vault associato.
• L'insieme di credenziali delle chiavi è stato eliminato direttamente per errore.

Quando la risorsa Azure Stack Edge viene eliminata, anche il Key Vault viene eliminato insieme alla risorsa. Viene chiesto di confermare l'operazione. Se si archiviano altre chiavi in questo Key Vault e non si intende eliminarlo, è possibile scegliere di non fornire il consenso. Solo la risorsa Azure Stack Edge viene eliminata, lasciando intatto il Key Vault.

Seguire questi passaggi per eliminare la risorsa Azure Stack Edge e l'insieme di credenziali associato:

1. Nel portale di Azure, passare alla risorsa Azure Stack Edge e quindi passare a Panoramica.

2. Nel riquadro destro selezionare Elimina. Questa azione eliminerà la risorsa Azure Stack Edge.

   

3. Verrà visualizzato un pannello di conferma. Digitare il nome della risorsa Azure Stack Edge. Per confermare l'eliminazione dell'insieme di credenziali associato, digitare Sì.

   

4. Selezionare Elimina.

La risorsa Azure Stack Edge e il Key Vault vengono eliminati.

Il Key Vault può essere eliminato accidentalmente quando la risorsa Azure Stack Edge è in uso. In questo caso, viene generato un avviso critico nella pagina Sicurezza per la risorsa Azure Stack Edge. È possibile passare a questa pagina per ripristinare il Key Vault.

Ripristinare un insieme di credenziali delle chiavi

È possibile ripristinare il Key Vault associato alla risorsa Azure Stack Edge se viene eliminato accidentalmente o eliminato definitivamente. Se questo insieme di credenziali è stato utilizzato per archiviare altre chiavi, sarà necessario recuperare quelle chiavi ripristinando l'insieme di credenziali.

• Entro 90 giorni dall'eliminazione, è possibile ripristinare l'insieme di credenziali delle chiavi eliminato.
• Se il periodo di protezione dall'eliminazione di 90 giorni è già trascorso, non è possibile ripristinare l'insieme di credenziali delle chiavi. Sarà invece necessario creare un nuovo Key Vault.

Entro 90 giorni dall'eliminazione, seguire questa procedura per recuperare il Key Vault:

• Nella portale di Azure passare alla pagina Sicurezza della risorsa Azure Stack Edge. Verrà visualizzata una notifica che l'insieme di credenziali delle chiavi associato alla risorsa è stato eliminato. È possibile selezionare la notifica o selezionare Riconfigura accanto al nome della Key Vault nelle Preferenze di sicurezza per recuperare il tuo Key Vault.

  

• Nel pannello Ripristina insieme di credenziali delle chiavi, selezionare Configura. Le operazioni seguenti vengono eseguite come parte del ripristino:

  

  • Un insieme di credenziali delle chiavi viene recuperato con lo stesso nome e viene inserito un blocco sulla risorsa dell'insieme di credenziali delle chiavi.

    Nota

    Se il Key Vault viene eliminato e non è trascorso il periodo di protezione dalla cancellazione di 90 giorni, durante questo periodo il nome del Key Vault non può essere utilizzato per creare un nuovo Key Vault.

  • Viene creato un account di archiviazione per archiviare i log di controllo.

  • All'identità gestita assegnata dal sistema viene concesso l'accesso all'insieme di credenziali delle chiavi.

  • Viene eseguito il push dei segreti del dispositivo nell'insieme di credenziali delle chiavi.

  Seleziona Configura.

  

  L'insieme di credenziali delle chiavi viene recuperato e, una volta completato il ripristino, viene visualizzata una notifica.

Se la cassaforte delle chiavi viene eliminata e il periodo di protezione dalla cancellazione di 90 giorni è trascorso, sarà possibile creare una nuova cassaforte delle chiavi tramite la procedura di ripristino della chiave descritta in precedenza. In questo caso, verrà fornito un nuovo nome per l'insieme di credenziali delle chiavi. Viene creato un nuovo account di archiviazione, all'identità gestita viene concesso l'accesso a questo insieme di credenziali delle chiavi e i segreti dei dispositivi vengono archiviati in questo insieme di credenziali.

Recuperare l'accesso all'identità gestita

Se i criteri di accesso all'identità gestita assegnata dal sistema vengono eliminati, viene emesso un avviso quando il dispositivo non riesce a ri-sincronizzare i segreti dell'insieme di credenziali delle chiavi. Se l'identità gestita non ha accesso al Key Vault, viene generato nuovamente un avviso. Selezionare l'avviso in ogni caso per aprire il pannello Ripristina insieme di credenziali delle chiavi e per riconfigurare. Questo processo deve ripristinare l'accesso all'identità gestita.

Passaggi successivi

• Altre informazioni su come generare la chiave di attivazione.
• Risolvere i problemi del Key Vault sul dispositivo Azure Stack Edge.