Delen via

Door de klant beheerde sleutels gebruiken in Azure Key Vault voor Azure Data Box

Azure Data Box-apparaten worden beveiligd met een wachtwoord om ongewenste inbraak te voorkomen. Dit wachtwoord staat formeel bekend als de ontgrendelingssleutel van het apparaat en wordt beveiligd met behulp van een versleutelingssleutel. De versleutelingssleutel is standaard een door Microsoft beheerde sleutel. Voor meer directe controle kunt u uw eigen beheerde sleutel opgeven.

Het gebruik van uw eigen door de klant beheerde sleutel is alleen van invloed op hoe de ontgrendelingssleutel van het apparaat wordt versleuteld. Dit heeft geen invloed op de wijze waarop gegevens die op het apparaat zijn opgeslagen, worden versleuteld.

Als u dit controleniveau tijdens het bestelproces wilt behouden, gebruikt u een door de klant beheerde sleutel wanneer u uw bestelling maakt. Zie Zelfstudie: Azure Data Box bestellen voor meer informatie.

In dit artikel wordt beschreven hoe u door de klant beheerde sleutels kunt gebruiken met een bestaande Azure Data Box-bestelling via Azure Portal. Dit artikel is van toepassing op Azure Data Box-, Data Box Next-Gen- en Data Box Heavy-apparaten.

Vereisten

De door de klant beheerde sleutel voor een Data Box-bestelling moet voldoen aan de volgende vereisten:

  • De sleutel moet een RSA-sleutel van 2048 bits of groter zijn.
  • De sleutel moet worden gemaakt en opgeslagen in een Azure Key Vault waarvoor voorlopig verwijderen is ingeschakeld en gedrag niet opschonen is ingeschakeld. U kunt een sleutelkluis en sleutel aanmaken bij het maken of bijwerken van uw bestelling. Zie Wat is Azure Key Vault? voor meer informatie.
  • De Get, UnwrapKeyen WrapKey machtigingen voor de sleutel moeten zijn ingeschakeld in de bijbehorende Azure Key Vault. Deze machtigingen moeten aanwezig blijven voor de levensduur van de bestelling. Als u deze machtigingen wijzigt, voorkomt u dat de door de klant beheerde sleutel toegankelijk is tijdens het gegevenskopieerproces.

Sleutel inschakelen

Voer de volgende stappen uit om een door de klant beheerde sleutel in te schakelen voor een bestaande Data Box-bestelling in Azure Portal:

  1. Navigeer naar de overzichtspagina voor een Data Box-bestelling.

    Een schermafbeelding met de overzichtspagina van een Data Box-bestelling.

  2. Selecteer Versleuteling in de groep Instellingen. Selecteer in het deelvenster Versleutelingstype de optie Door de klant beheerde sleutel . Selecteer vervolgens Selecteer een sleutel en sleutelkluis om de pagina Sleutel selecteren in Azure Key Vault te openen.

    Een schermopname met de geselecteerde optie Door de klant beheerde sleutel geselecteerd.

  3. De pagina Sleutel selecteren van Azure Key Vault wordt geopend en uw abonnement wordt automatisch ingevuld in de vervolgkeuzelijst. Selecteer een bestaande sleutelkluis in de vervolgkeuzelijst Sleutelkluis of selecteer Nieuw maken om een nieuwe sleutelkluis te maken.

    Een schermopname waarin de opties voor de sleutelkluis worden gemarkeerd bij het selecteren van een door de klant beheerde sleutel.

    Als u een nieuwe sleutelkluis wilt maken, selecteert u uw abonnement en resourcegroep in de bijbehorende vervolgkeuzelijsten abonnement en resourcegroep . U kunt ook een nieuwe resourcegroep maken door Nieuwe maken te selecteren in plaats van de optie Resourcegroep in te vullen.

    Selecteer de gewenste waarden voor de vervolgkeuzelijsten Sleutelkluisnaam, Regio en Prijscategorie . Zorg ervoor dat in de groep Herstelopties, voorlopig verwijderen en opruimbeveiliging zijn ingeschakeld. Geef een waarde op voor het veld Dagen om verwijderde kluizen te bewaren en selecteer vervolgens Beoordelen + Maken.

    Een schermopname van de pagina 'Controleren en maken van Azure Key Vault'.

    Controleer de gegevens voor uw sleutelkluis en selecteer Maken. U ontvangt een melding dat het maken van de sleutelkluis is voltooid.

    Een schermopname van het maken van een Azure Key Vault met aangepaste instellingen.

  4. Op het scherm Sleutel selecteren in Azure Key Vault kunt u een bestaande sleutel selecteren in de sleutelkluis of een nieuwe sleutel maken.

    Een schermopname met de selectie van een sleutel uit Azure Key Vault.

    Als u een nieuwe sleutel wilt maken, selecteert u Nieuwe maken. U moet een RSA-sleutel van 2048 bits of hoger gebruiken.

    Een schermopname met het maken van een nieuwe sleutel in Azure Key Vault.

    Voer een naam in voor uw sleutel, accepteer de andere standaardwaarden en selecteer Maken. U ontvangt een melding dat er een sleutel wordt gemaakt in uw sleutelkluis.

    Een schermopname met de naamgeving van een nieuwe sleutel in Azure Key Vault.

  5. Voor Versie kunt u een bestaande sleutelversie selecteren in de vervolgkeuzelijst.

    Een schermopname met de selectie van een sleutelversie in Azure Key Vault.

    Als u een nieuwe sleutelversie wilt genereren, selecteert u Nieuwe maken.

    Een schermopname met de locatie van de koppeling Nieuwe maken.

    Kies instellingen voor de nieuwe sleutelversie en selecteer Maken.

    Een schermopname van het scherm 'Een nieuwe sleutelversie maken'.

  6. Nadat u een sleutelkluis, sleutel en sleutelversie hebt geselecteerd, kiest u Selecteren.

    Een schermopname met de locatie van de knop Selecteren.

    In de instellingen voor het versleutelingstype worden de sleutelkluis en sleutel weergegeven die u hebt gekozen.

    Een schermopname met de details van de sleutel en de sleutelkluis.

  7. Selecteer het type identiteit dat moet worden gebruikt om de door de klant beheerde sleutel voor deze resource te beheren. U kunt de door het systeem toegewezen identiteit gebruiken die is gegenereerd tijdens het maken van de bestelling of een door de gebruiker toegewezen identiteit kiezen.

    Een door de gebruiker toegewezen identiteit is een onafhankelijke resource die u kunt gebruiken om de toegang tot resources te beheren. Zie Beheerde identiteitstypen voor meer informatie.

    Een schermopname met de identiteitstypen.

    Als u een gebruikersidentiteit wilt toewijzen, selecteert u Toegewezen gebruiker. Selecteer vervolgens een gebruikersidentiteit en selecteer de beheerde identiteit die u wilt gebruiken.

    Een schermopname met de opties voor sleutelselectie.

    U kunt hier geen nieuwe gebruikersidentiteit maken. Zie Een rol maken, weergeven, verwijderen of toewijzen aan een door de gebruiker toegewezen beheerde identiteit met behulp van Azure Portal voor meer informatie over het maken van een rol.

    De geselecteerde gebruikersidentiteit wordt weergegeven in de instellingen van het versleutelingstype .

    Een schermopname met een geselecteerde gebruikersidentiteit die wordt weergegeven in het deelvenster Instellingen voor het versleutelingstype.

  8. Selecteer Opslaan om de bijgewerkte instellingen voor het versleutelingstype op te slaan.

    Een schermopname met de locatie van de knop Opslaan voor een door de klant beheerde sleutel.

    De sleutel-URL wordt weergegeven onder Versleutelingstype.

    Een schermopname met de door de klant beheerde sleutel-URL.

Belangrijk

U moet de Get, UnwrapKeyen WrapKey machtigingen voor de sleutel inschakelen. Zie az keyvault set-policy om de machtigingen in Azure CLI in te stellen.

Sleutel wijzigen

Als u de sleutelkluis, sleutel en sleutelversie wilt wijzigen voor de door de klant beheerde sleutel die u momenteel gebruikt, voert u de volgende stappen uit:

  1. Ga in het scherm Overzicht voor uw Data Box-bestelling naarInstellingenversleuteling> en selecteer Sleutel wijzigen.

    Een schermopname van de overzichtspagina van een Data Box-bestelling met door de klant beheerde sleuteldetails.

  2. Kies Selecteer een andere sleutelkluis en sleutel.

    Een schermopname van de overzichtspagina van een Data Box-bestelling waarin het proces wordt gemarkeerd om verschillende sleutelkluis- en sleutelopties te selecteren.

  3. In het scherm Sleutel selecteren vanuit de sleutelkluis ziet u het abonnement, maar geen sleutelkluis, sleutel of sleutelversie. U kunt een van de volgende wijzigingen aanbrengen:

    • Selecteer een andere sleutel uit dezelfde sleutelkluis. Selecteer de sleutelkluis voordat u de sleutel en versie selecteert.

    • Selecteer een andere sleutelkluis en wijs een nieuwe sleutel toe.

    • Wijzig de versie voor de huidige sleutel.

    Wanneer u klaar bent met uw wijzigingen, kiest u Selecteren.

    Een schermopname met instellingen voor versleutelingsopties en de locatie van de knop Selecteren.

  4. Selecteer Opslaan.

    Een schermopname met bijgewerkte versleutelingsinstellingen en de locatie van de knop Opslaan.

Belangrijk

U moet de Get, UnwrapKeyen WrapKey machtigingen voor de sleutel inschakelen. Om de machtigingen in Azure CLI in te stellen, zie az keyvault set-policy.

Identiteit wijzigen

Gebruik de volgende stappen om de identiteit bij te werken waarmee de toegang tot de door de klant beheerde sleutel voor deze bestelling wordt beheerd:

  1. Ga op het Overzicht-scherm voor uw voltooide Data Box-bestelling naar Instellingen>Versleuteling.

  2. Breng een van de volgende wijzigingen aan:

    • Als u wilt overschakelen naar een andere gebruikersidentiteit, selecteert u een andere gebruikersidentiteit. Selecteer vervolgens een andere identiteit in het deelvenster aan de rechterkant van het scherm en kies Selecteren.

      Schermopname met opties voor het wijzigen van de door de gebruiker toegewezen identiteit voor een door de klant beheerde sleutel.

    • Als u wilt overschakelen naar de door het systeem toegewezen identiteit die is gegenereerd tijdens het maken van de bestelling, selecteert u Systeem toegewezen door het identiteitstype Selecteren.

      Schermopname met opties voor het wijzigen van een door het systeem toegewezen sleutel voor een door de klant beheerde sleutel.

  3. Selecteer Opslaan.

    Schermopname van de locatie van de knop die wordt gebruikt om de bijgewerkte versleutelingsinstellingen op te slaan.

Door Microsoft beheerde sleutel gebruiken

Als u wilt overschakelen van het gebruik van een door de klant beheerde sleutel naar de door Microsoft beheerde sleutel voor uw bestelling, voert u de volgende stappen uit:

  1. Ga op het scherm Overzicht van uw voltooide Data Box-bestelling naar Instellingen>Versleuteling.

  2. Selecteer bij Type selecteren de Microsoft beheerde sleutel.

    Schermopname van het deelvenster Overzicht van een Data Box-bestelling.

  3. Selecteer Opslaan.

    Schermopname van de locatie van de knop die wordt gebruikt om de bijgewerkte versleutelingsinstellingen voor een door Microsoft beheerde sleutel op te slaan.

Fouten oplossen

Als u fouten ontvangt met betrekking tot uw door de klant beheerde sleutel, gebruikt u de volgende tabel om problemen op te lossen.

Foutcode Foutdetails Resolutie
Gebruikersfout: Encryptiesleutel Uitgeschakeld Kan de wachtwoordsleutel niet ophalen: de door de klant beheerde sleutel is uitgeschakeld. Schakel de sleutelversie in.
SsemUserErrorEncryptionKeyExpired Kan de wachtwoordsleutel niet ophalen: de door de klant beheerde sleutel is verlopen. De sleutelversie inschakelen.
Gebruikersfout: Detailsleutel Niet Gevonden Kan de wachtwoordsleutel niet ophalen: de door de klant beheerde sleutel kan niet worden gevonden. Als de sleutelkluis wordt verwijderd:
  1. Als de verwijdering is opgetreden binnen de duur van de opschoningsbeveiliging, gebruikt u de stappen bij Een sleutelkluis herstellen.
  2. Als opschoningsbeveiliging is uitgeschakeld of als de verwijdering is opgetreden buiten de duur van de beveiliging tegen opschonen, kan de door de klant beheerde sleutel niet worden hersteld.

Als de sleutelkluis een tenantmigratie heeft ondergaan, kan deze worden hersteld met een van de volgende methoden:
  1. De sleutelkluis terugzetten naar de oude tenant.
  2. Stel Identity = Nonede waarde in en zet de waarde vervolgens terug op Identity = SystemAssigned. Met deze actie wordt de identiteit verwijderd en opnieuw gemaakt. Schakel Get, WrapKeyen UnwrapKey machtigingen in voor de nieuwe identiteit binnen het toegangsbeleid van de sleutelkluis.
SsemUserErrorKeyVaultBadRequestException Er is een door de klant beheerde sleutel toegepast, maar de toegang tot de sleutel is niet verleend of ingetrokken of kan geen toegang krijgen tot de sleutelkluis omdat de firewall is ingeschakeld. Als u toegang tot de door de klant beheerde sleutel wilt inschakelen, voegt u de geselecteerde identiteit toe aan uw sleutelkluis. Als de firewall is ingeschakeld voor de sleutelkluis, schakelt u over naar een door het systeem toegewezen identiteit en voegt u vervolgens een door de klant beheerde sleutel toe. Zie voor meer informatie hoe u de sleutel inschakelt.
SsemUserErrorKeyVaultDetailsNotFound Kan de wachtwoordsleutel niet ophalen omdat de gekoppelde sleutelkluis voor de door de klant beheerde sleutel niet kan worden gevonden. Als u de sleutelkluis hebt verwijderd, kunt u de door de klant beheerde sleutel niet herstellen. Als u de sleutelkluis naar een andere tenant hebt gemigreerd, raadpleegt u de tenant-id van een sleutelkluis wijzigen na het overplaatsen van een abonnement. Als u de sleutelkluis hebt verwijderd:
  1. Ja, als deze zich in de periode van opschoningsbeveiliging bevindt, gebruikt u de stappen bij Herstel een sleutelkluis.
  2. Nee, als deze langer is dan de duur van de beveiliging tegen opschonen.

Anders, als de sleutelkluis een tenantmigratie heeft ondergaan, kan deze worden hersteld met behulp van een van de onderstaande stappen:
  1. De sleutelkluis terugzetten naar de oude tenant.
  2. Stel Identity = None de waarde in en stel deze vervolgens weer in op Identity = SystemAssigned. Als u de identiteitswaarde wijzigt, wordt de huidige identiteit verwijderd en opnieuw aangemaakt nadat de nieuwe identiteit is gecreƫerd. Schakel Get, WrapKeyen UnwrapKey machtigingen voor de nieuwe identiteit in het toegangsbeleid van de sleutelkluis in.
SsemGebruikersfoutSysteemToegewezenIdentiteitOntbreekt Kan de wachtwoordsleutel niet ophalen omdat de door de klant beheerde sleutel niet kan worden gevonden. Ja, controleer het:
  1. Key Vault heeft nog steeds de MSI in het toegangsbeleid.
  2. Identiteit is van het type Systeem toegewezen.
  3. Schakel Get, WrapKeyen UnwrapKey machtigingen in voor de identiteit in het toegangsbeleid van de sleutelkluis. Deze machtigingen moeten gedurende de levensduur van de bestelling behouden blijven. Ze worden gebruikt tijdens het maken van de bestelling en aan het begin van de fase Gegevens kopiƫren.
SsemUserErrorUserAssignedLimitReached Het toevoegen van een nieuwe door de gebruiker toegewezen identiteit is mislukt omdat u de limiet hebt bereikt voor het totale aantal door de gebruiker toegewezen identiteiten dat kan worden toegevoegd. Voer de bewerking opnieuw uit met minder gebruikersidentiteiten of verwijder enkele door de gebruiker toegewezen identiteiten uit de resource voordat u het opnieuw probeert.
Gebruikersfout: Toegang tot identiteit van andere tenant verboden Bewerking voor toegang tot beheerde identiteit is mislukt.
Opmerking: deze fout kan optreden wanneer een abonnement naar een andere tenant wordt verplaatst. De klant moet de identiteit handmatig verplaatsen naar de nieuwe tenant.		 Probeer een andere door de gebruiker toegewezen identiteit toe te voegen aan uw sleutelkluis om toegang tot de door de klant beheerde sleutel in te schakelen. Of verplaats de identiteit naar de nieuwe tenant waaronder het abonnement aanwezig is. Zie voor meer informatie hoe u de sleutel inschakelt.
SsemUserErrorKekUserIdentityNotFound Er is een door de klant beheerde sleutel toegepast, maar de door de gebruiker toegewezen identiteit met toegang tot de sleutel is niet gevonden in de Active Directory.
Opmerking: deze fout kan optreden wanneer een gebruikersidentiteit wordt verwijderd uit Azure.		 Probeer een andere door de gebruiker toegewezen identiteit toe te voegen aan uw sleutelkluis om toegang tot de door de klant beheerde sleutel in te schakelen. Zie voor meer informatie hoe u de sleutel inschakelt.
SsemGebruikersfoutGebruikerToegewezenIdentiteitAfwezig Kan de wachtwoordsleutel niet ophalen omdat de door de klant beheerde sleutel niet kan worden gevonden. Kan geen toegang krijgen tot de door de klant beheerde sleutel. De door de gebruiker toegewezen identiteit (UAI) die aan de sleutel is gekoppeld, wordt verwijderd of het UAI-type is gewijzigd.
SsemUserErrorKeyVaultBadRequestException Er is een door de klant beheerde sleutel toegepast, maar sleuteltoegang is niet verleend of ingetrokken, of de sleutelkluis kan niet worden geopend omdat een firewall is ingeschakeld. Als u toegang tot de door de klant beheerde sleutel wilt inschakelen, voegt u de geselecteerde identiteit toe aan uw sleutelkluis. Als voor de sleutelkluis een firewall is ingeschakeld, schakelt u over naar een door het systeem toegewezen identiteit en voegt u vervolgens een door de klant beheerde sleutel toe. Zie voor meer informatie hoe u de sleutel inschakelt.
SsemUserErrorEncryptionKeyTypeNotSupported Het type versleutelingssleutel wordt niet ondersteund voor de bewerking. Schakel een ondersteund versleutelingstype in op de sleutel, bijvoorbeeld RSA of RSA-HSM. Zie Sleuteltypen, algoritmen en bewerkingen voor meer informatie.
SsemGebruikersfoutZachtVerwijderenEnVerwijderbeschermingNietIngeschakeld Key Vault heeft geen soft delete of purge protection ingeschakeld. Zorg ervoor dat zowel soft delete als verwijderbeveiliging op de sleutelkluis zijn ingeschakeld.
SsemGebruikersfoutOngeldigeKeyVaultUrl
(alleen opdrachtregelinterface)		 Er is een ongeldige sleutelkluis-URI gebruikt. Haal de juiste sleutelkluis-URI op. Gebruik Get-AzKeyVault in PowerShell om de sleutelkluis-URI op te halen.
No changes needed as the original translation maintains technical integrity and system consistency. Alleen HTTPS wordt ondersteund voor het doorgeven van de sleutelkluis-URI. Geef de sleutelkluis-URI door via HTTPS.
SsemUserErrorKeyVaultUrlInvalidHost De sleutelkluis-URI-host is geen toegestane host in de geografische regio. In de openbare cloud moet de sleutelkluis-URI eindigen op vault.azure.net. In de Azure Government-cloud moet de sleutelkluis-URI eindigen met vault.usgovcloudapi.net.
Algemene fout Kan de wachtwoordsleutel niet ophalen. Deze fout is een algemene fout. Neem contact op met Microsoft Ondersteuning om de fout op te lossen en de volgende stappen te bepalen.

Volgende stappen