Ügyfél által felügyelt Azure Monitor-kulcsok

Az Azure Monitor adatai Microsoft által felügyelt kulcsokkal titkosítva lesznek. Saját titkosítási kulcs használatával védheti a munkaterületeken tárolt adatokat. Az Azure Monitor ügyfél által felügyelt kulcsai szabályozják a titkosítási kulcs életciklusát, és hozzáférést biztosítanak a naplókhoz. A konfigurálás után a csatolt munkaterületekre betöltött új adatok titkosítva lesznek az Azure Key Vaultban lévő kulccsal vagy az Azure Key Vault által felügyelt "HSM"-sel.

Ügyfél által felügyelt kulcs áttekintése

Az inaktív adatok titkosítása a szervezetek általános adatvédelmi és biztonsági követelménye. Engedélyezheti, hogy az Azure teljesen kezelje a titkosítást inaktív állapotban, vagy különböző lehetőségeket használhat a titkosítási és titkosítási kulcsok szoros kezeléséhez.

Az Azure Monitor biztosítja, hogy az összes adat és mentett lekérdezés titkosítva legyen inaktív állapotban a Microsoft által felügyelt kulcsokkal (MMK). Az Azure Monitor titkosítási használata megegyezik az Azure Storage-titkosítás működésével.

A kulcs életciklusának a hozzáférési adatok visszavonásának lehetőségével való szabályozásához titkosítsa az adatokat saját kulccsal az Azure Key Vaultban vagy az Azure Key Vault által felügyelt HSM-ben. Az ügyfél által felügyelt kulcsok képessége dedikált fürtökön érhető el, és magasabb szintű védelmet és vezérlést biztosít.

A dedikált fürtökbe betöltött adatok kétszer titkosítva lesznek – szolgáltatásszinten a Microsoft által felügyelt kulcsok vagy az ügyfél által felügyelt kulcsok használatával, az infrastruktúra szintjén pedig két különböző titkosítási algoritmus és két különböző kulcs használatával. A kettős titkosítás védelmet nyújt olyan forgatókönyvekkel szemben, amikor az egyik titkosítási algoritmus vagy kulcs sérül. A dedikált fürtök lehetővé teszik az adatok védelmét a Lockbox használatával is.

Az elmúlt 14 napban betöltött vagy a lekérdezésekben legutóbb használt adatok a lekérdezések hatékonysága érdekében gyakran használt gyorsítótárban (SSD-háttérrel) maradnak. Az SSD-adatok a Microsoft által felügyelt kulcsokkal titkosítva lesznek, függetlenül attól, hogy ügyfél által felügyelt kulcsokat konfigurál-e, de az SSD-hozzáférés vezérlése a kulcsok visszavonásához igazodik.

Az ügyfél által felügyelt kulcsok működése az Azure Monitorban

Az Azure Monitor felügyelt identitással biztosít hozzáférést a kulcshoz az Azure Key Vaultban. A Log Analytics-fürtök identitása a fürt szintjén támogatott. Ha több munkaterületen szeretne ügyfél által felügyelt kulcsokat biztosítani, a Log Analytics-fürterőforrás köztes identitáskapcsolatként szolgál a Key Vault és a Log Analytics-munkaterületek között. A fürt tárolója a fürthöz társított felügyelt identitással hitelesíti az Azure Key Vaultot a Microsoft Entra-azonosítón keresztül.

A fürtök két felügyelt identitástípust támogatnak: a rendszer által hozzárendelt és a felhasználó által hozzárendelt identitást, míg egy adott identitás a forgatókönyvtől függően definiálható egy fürtben.

• A rendszer által hozzárendelt felügyelt identitás egyszerűbb, és a fürttel automatikusan jön létre, amikor identity type a rendszer be van állítva.SystemAssigned Ezt az identitást később használjuk a Key Vaulthoz való hozzáférés biztosításához adattitkosításhoz és visszafejtéshez.
• A felhasználó által hozzárendelt felügyelt identitás lehetővé teszi, hogy az ügyfél által felügyelt kulcsokat konfigurálja a fürt létrehozásakor, amikor identity type be van állítva UserAssigned, és engedélyeket biztosít a Key Vaultban a fürt létrehozása előtt.

Konfigurálhat ügyfél által felügyelt kulcsokat egy új fürtön, vagy egy meglévő dedikált fürtön, amely csatolt munkaterületekkel betölti az adatokat. Hasonlóképpen bármikor leválaszthatja a munkaterületeket egy fürtről. A csatolt munkaterületekre betöltött új adatok titkosítva lesznek a kulccsal, a régebbi adatok pedig a Microsoft által felügyelt kulcsokkal lesznek titkosítva. A konfiguráció nem szakítja meg a betöltést vagy a lekérdezéseket, ahol a lekérdezések zökkenőmentesen hajthatók végre a régi és az új adatok között. Amikor leválasztja a munkaterületeket egy fürtről. Az új betöltési adatok a Microsoft által felügyelt kulcsokkal lesznek titkosítva.

1. Key Vault
2. A Key Vaulthoz engedélyekkel rendelkező felügyelt identitással rendelkező Log Analytics-fürterőforrás – az identitás propagálása az aláfedt dedikált fürttárolóba történik
3. Dedikált fürt
4. Dedikált fürthöz társított munkaterületek

Titkosítási kulcsok típusai

A Storage-adattitkosítás háromféle kulcstípust érint:

• "KEK" – Kulcstitkosítási kulcs (az ügyfél által felügyelt kulcs)
• "AEK" – Fióktitkosítási kulcs
• "DEK" – Adattitkosítási kulcs

Az alábbi szabályokat kell betartani:

• A fürttároló minden tárfiókhoz egyedi titkosítási kulccsal rendelkezik, amelyet "AEK"-nek neveznek.
• Az "AEK" a "DEK-k" származtatására szolgál, amelyek a lemezre írt adatblokkok titkosításához használt kulcsok.
• Amikor ügyfél által felügyelt "KEK" kulcsot konfigurál a fürtben, a fürttároló "wrap" és "unwrap" kéréseket hajt végre a Key Vaulthoz az "AEK" titkosítás és visszafejtés érdekében.
• A "KEK" soha nem hagyja el a Key Vaultot, és ha a kulcsot az Azure Key Vault felügyelt HSM-ben tárolja, az soha nem hagyja el a hardvert.
• Az Azure Storage a fürthöz társított felügyelt identitást használja hitelesítéshez. Az Azure Key Vaultot a Microsoft Entra-azonosítón keresztül éri el.

Ügyfél által felügyelt kulcs kiépítési lépései

1. Azure Key Vault létrehozása és kulcs tárolása
2. Dedikált fürt létrehozása
3. Engedélyek megadása a Key Vaulthoz
4. Dedikált fürt frissítése a kulcsazonosító részleteivel
5. Munkaterületek összekapcsolása

Az ügyfél által felügyelt kulcskonfiguráció jelenleg nem támogatott az Azure Portalon, és a kiépítés PowerShell-, PARANCSSOR- vagy REST-kérésekkel is elvégezhető.

Titkosítási kulcs ("KEK") tárolása

Az Azure Key Management-termékek portfóliója felsorolja a használható tárolókat és felügyelt HSM-eket.

Hozzon létre vagy használjon egy meglévő Azure Key Vaultot abban a régióban, amelyben a fürt megtervezve van. A Key Vaultban hozzon létre vagy importáljon egy naplók titkosításához használandó kulcsot. Az Azure Key Vaultot helyreállíthatóként kell konfigurálni, hogy megvédje a kulcsot és az adatokhoz való hozzáférést az Azure Monitorban. Ezt a konfigurációt a Key Vault tulajdonságai között ellenőrizheti, a helyreállítható törlés és a törlés elleni védelmet is engedélyezni kell.

Ezek a beállítások cli-vel és PowerShell-lel frissíthetők a Key Vaultban:

• Helyreállítható törlés
• Védelmi őrök törlése a titkos kód kényszerítése ellen, a tároló a helyreállítható törlés után is

Szükséges engedélyek

Fürttel kapcsolatos műveletek végrehajtásához az alábbi engedélyekre van szüksége:

Fürt létrehozása

A fürtök felügyelt identitást használnak a Key Vaulttal való adattitkosításhoz. Konfigurálja identity type a tulajdonságot a SystemAssigned fürt létrehozásakor vagy UserAssigned létrehozásakor, hogy engedélyezze a Key Vaulthoz való hozzáférést az adattitkosítási és visszafejtési műveletekhez.

FOr példa: adja hozzá ezeket a tulajdonságokat a rendszer által hozzárendelt felügyelt identitás kéréstörzsében

{
  "identity": {
    "type": "SystemAssigned"
    }
}

Kövesse a dedikált fürtről szóló cikkben bemutatott eljárást.

Key Vault-engedélyek megadása

A Key Vaultban két engedélymodell van a fürthöz és az aláfedő tárhoz való hozzáférés biztosítására– Az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC) és a tároló hozzáférési szabályzatai (örökölt).

1. Ön által vezérelhető Azure RBAC hozzárendelése (ajánlott)

   Szerepkör-hozzárendelések hozzáadásához rendelkeznie kell olyan szerepkörrel és Microsoft.Authorization/roleAssignments/delete engedélyekkelMicrosoft.Authorization/roleAssignments/write, mint például a felhasználói hozzáférés rendszergazdája vagy a tulajdonos.

   1. Nyissa meg a Key Vaultot az Azure Portalon, és válassza a Beállítások>hozzáférés konfigurációja>Azure szerepköralapú hozzáférés-vezérlés és alkalmazás lehetőséget
   2. Kattintson az Ugrás gombra a hozzáférés-vezérlés (IAM) gombra, és adja hozzá a Key Vault titkosítási szolgáltatásának felhasználói szerepkör-hozzárendelését.
   3. Válassza a Felügyelt identitás lehetőséget a Tagok lapon, és válassza ki az identitásra és az identitásra vonatkozó előfizetést tagként

   

2. Tárolóelérési szabályzat hozzárendelése (örökölt)

   Nyissa meg a Key Vaultot az Azure Portalon, és válassza az Access Policy>Vault hozzáférési szabályzatot>+ Hozzáférési szabályzat hozzáadása lehetőséget a következő beállításokkal rendelkező szabályzat létrehozásához:

   • Kulcsengedélyek – válassza a Kulcs lekérése, körbefuttatása és a Kulcs kibontása lehetőséget.
   • Válassza ki az egyszerűt – a fürtben használt identitástípustól függően (rendszer vagy felhasználó által hozzárendelt felügyelt identitás)
     • Rendszer által hozzárendelt felügyelt identitás – adja meg a fürt nevét vagy a fürt egyszerű azonosítóját
     • Felhasználó által hozzárendelt felügyelt identitás – adja meg az identitás nevét

   

   A Get engedély szükséges annak ellenőrzéséhez, hogy a Key Vault helyreállíthatóként van-e konfigurálva a kulcs és az Azure Monitor-adatokhoz való hozzáférés védelme érdekében.

Fürt frissítése a kulcsazonosító részleteivel

A fürt minden műveletéhez szükség van a művelet engedélyére Microsoft.OperationalInsights/clusters/write . Az engedélyt a műveletet tartalmazó */write tulajdonoson vagy közreműködőn keresztül, vagy a műveletet tartalmazó Microsoft.OperationalInsights/* Log Analytics-közreműködői szerepkörön keresztül lehet megadni.

Ez a lépés frissíti a dedikált fürttárolót az "AEK" körbefuttatásához és kibontásához használandó kulccsal és verzióval.

Frissítse a KeyVaultProperties szolgáltatást a fürtben a kulcsazonosító részleteivel.

A művelet aszinkron, és eltarthat egy ideig.

az account set --subscription cluster-subscription-id

az monitor log-analytics cluster update --no-wait --name "cluster-name" --resource-group "resource-group-name" --key-name "key-name" --key-vault-uri "key-uri" --key-version "key-version"

$clusterResourceId = az monitor log-analytics cluster list --resource-group "resource-group-name" --query "[?contains(name, "cluster-name")].[id]" --output tsv
az resource wait --created --ids $clusterResourceId --include-response-body true

Select-AzSubscription "cluster-subscription-id"

Update-AzOperationalInsightsCluster -ResourceGroupName "resource-group-name" -ClusterName "cluster-name" -KeyVaultUri "key-uri" -KeyName "key-name" -KeyVersion "key-version" -AsJob

# Check when the job is done when `-AsJob` was used
Get-Job -Command "New-AzOperationalInsightsCluster*" | Format-List -Property *

PATCH https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.OperationalInsights/clusters/cluster-name?api-version=2023-09-01
Authorization: Bearer <token> 
Content-type: application/json
 
{
  "properties": {
    "keyVaultProperties": {
      "keyVaultUri": "https://key-vault-name.vault.azure.net",
      "keyName": "key-name",
      "keyVersion": ""
  },
  "sku": {
    "name": "CapacityReservation",
    "capacity": 100
  }
}

{
  "identity": {
    "type": "SystemAssigned",
    "tenantId": "tenant-id",
    "principalId": "principal-id"
  },
  "sku": {
    "name": "capacityreservation",
    "capacity": 100
  },
  "properties": {
    "keyVaultProperties": {
      "keyVaultUri": "https://key-vault-name.vault.azure.net",
      "keyName": "key-name",
      "keyVersion": ""
      },
    "provisioningState": "Succeeded",
    "clusterId": "cluster-id",
    "billingType": "Cluster",
    "lastModifiedDate": "last-modified-date",
    "createdDate": "created-date",
    "isDoubleEncryptionEnabled": false,
    "isAvailabilityZonesEnabled": false,
    "capacityReservationProperties": {
      "lastSkuUpdate": "last-sku-modified-date",
      "minCapacity": 100
    }
  },
  "id": "/subscriptions/subscription-id/resourceGroups/resource-group-name/providers/Microsoft.OperationalInsights/clusters/cluster-name",
  "name": "cluster-name",
  "type": "Microsoft.OperationalInsights/clusters",
  "location": "cluster-region"
}

Munkaterület csatolása fürthöz

Kövesse a Dedikált fürtök cikkben bemutatott eljárást.

Munkaterület leválasztva a fürtről

Kövesse a Dedikált fürtök cikkben bemutatott eljárást.

Kulcs visszavonása

A fürt tárterülete egy órán belül mindig tiszteletben tartja a kulcsengedélyek változásait, és a tároló elérhetetlenné válik. A csatolt munkaterületekre betöltött új adatok el lesznek dobva és helyreállíthatatlanok lesznek. Az adatok nem érhetők el ezeken a munkaterületeken, és a lekérdezések sikertelenek. A korábban betöltött adatok mindaddig tárolóban maradnak, amíg a fürt és a munkaterületek nem törlődnek. A nem elérhető adatokat az adatmegőrzési szabályzat szabályozza, és a megőrzés elérésekor törlődnek. Az elmúlt 14 napban betöltött adatok és a lekérdezésekben legutóbb használt adatok is gyakran használt gyorsítótárban (SSD-háttérrel) maradnak a lekérdezések hatékonysága érdekében. Az SSD-n lévő adatok törlődnek a kulcsvisszahívási művelet során, és elérhetetlenné válnak. A fürttároló rendszeresen megpróbálja elérni a Key Vaultot a körbefuttatáshoz és a kicsomagoláshoz, és ha a kulcs engedélyezve van, a kiírás sikeres lesz, az SSD-adatok újratöltődnek a tárolóból, az adatbetöltés és a lekérdezés pedig 30 percen belül folytatódik.

Kulcsrotálás

A kulcsforgatásnak két módja van:

• Autorotation – frissítse "keyVaultProperties" a fürt tulajdonságait, és hagyja ki "keyVersion" a tulajdonságot, vagy állítsa be a következőre "": . A Storage automatikusan a legújabb kulcsverziót használja.
• Explicit kulcsverzió frissítése – a tulajdonságok frissítése "keyVaultProperties" és a kulcsverzió frissítése a tulajdonságban "keyVersion" . A kulcsváltáshoz a fürt tulajdonságának "keyVersion" explicit frissítése szükséges. További információ: Fürt frissítése kulcsazonosítóval. Ha új kulcsverziót hoz létre a Key Vaultban, de nem frissíti a fürtön lévő kulcsot, a fürt tárterülete továbbra is az előző kulcsot használja. Ha a fürt új kulcsának frissítése előtt letiltja vagy törli a régi kulcsot, kulcsvisszavonási állapotba kerül.

A kulcsforgatási művelet során és után az összes adat elérhető marad. Az adatok mindig az "AEK" fióktitkosítási kulccsal titkosítva lesznek, amely a Key Vault új kulcstitkosítási kulcsának ("KEK") verziójával van titkosítva.

Ügyfél által felügyelt kulcs mentett lekérdezésekhez és naplókeresési riasztásokhoz

A Log Analyticsben használt lekérdezési nyelv kifejező jellegű, és bizalmas információkat tartalmazhat a megjegyzésekben vagy a lekérdezés szintaxisában. Egyes szervezetek megkövetelik, hogy az ügyfél által felügyelt kulcsházirendben védve legyenek ezek az információk, és a kulcsával titkosított lekérdezéseket kell menteni. Az Azure Monitor lehetővé teszi a mentett lekérdezések és naplókeresési riasztások tárolását a kulcsával titkosítva a saját tárfiókjában, amikor a munkaterülethez kapcsolódik.

Ügyfél által felügyelt kulcs munkafüzetekhez

A mentett lekérdezések és naplókeresési riasztások ügyfél által felügyelt kulcsával az Azure Monitor lehetővé teszi a kulccsal titkosított munkafüzet-lekérdezések tárolását a saját tárfiókjában, amikor a Tartalom mentése azure-tárfiókba lehetőséget választja a "Mentés" munkafüzetben.

A tárfiók mentett lekérdezésekhez való csatolásakor a szolgáltatás tárolja a mentett lekérdezéseket és a naplókeresési riasztási lekérdezéseket a Tárfiókban. A tárfiók inaktív állapotú titkosítási szabályzatának szabályozásával ügyfél által felügyelt kulccsal védheti a mentett lekérdezéseket és naplókeresési riasztásokat. Ön lesz azonban a felelős az adott tárfiókhoz kapcsolódó költségekért.

Megfontolandó szempontok az ügyfél által felügyelt kulcs lekérdezésekhez való beállítása előtt

• "Írási" engedélyekkel kell rendelkeznie a munkaterületen és a tárfiókban.
• Győződjön meg arról, hogy a Tárfiókot ugyanabban a régióban hozza létre, amelyben a Log Analytics-munkaterület található, ügyfél által felügyelt kulcstitkosítással. Ez azért fontos, mert a mentett lekérdezések táblatárolóban vannak tárolva, és csak a tárfiók létrehozásakor titkosíthatók.
• A lekérdezéscsomagban mentett lekérdezések nincsenek ügyfél által felügyelt kulccsal titkosítva. Válassza a Mentés örökölt lekérdezésként lehetőséget a lekérdezések mentésekor az ügyfél által felügyelt kulccsal való védelemhez.
• A tárolóba mentett lekérdezések szolgáltatásösszetevőknek minősülnek, és formátumuk változhat.
• A tárfiók lekérdezésekhez való csatolása eltávolítja a meglévő mentési lekérdezéseket a munkaterületről. A másolás a konfiguráció előtt szükséges lekérdezéseket menti. A mentett lekérdezéseket a PowerShell használatával tekintheti meg.
• A lekérdezések "előzményei" és a "rögzítés az irányítópulton" nem támogatottak a Storage-fiók lekérdezésekhez való összekapcsolásakor.
• Egyetlen tárfiókot egy munkaterülethez csatolhat a mentett lekérdezésekhez és a naplókeresési riasztási lekérdezésekhez.
• A naplókeresési riasztások blobtárolóba vannak mentve, és az ügyfél által felügyelt kulcstitkosítás konfigurálható a tárfiók létrehozásakor vagy később.
• Az aktivált naplókeresési riasztások nem tartalmaznak keresési eredményeket vagy riasztási lekérdezést. A riasztási dimenziókkal kontextust kaphat az aktivált riasztásokban.

BYOS konfigurálása mentett lekérdezésekhez

Csatoljon egy tárfiókot a lekérdezésekhez, hogy a mentett lekérdezések megmaradjanak a tárfiókban.

az account set --subscription "storage-account-subscription-id"

$storageAccountId = '/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage name>'

az account set --subscription "workspace-subscription-id"

az monitor log-analytics workspace linked-storage create --type Query --resource-group "resource-group-name" --workspace-name "workspace-name" --storage-accounts $storageAccountId

Select-AzSubscription "StorageAccount-subscription-id"

$storageAccountId = (Get-AzStorageAccount -ResourceGroupName "resource-group-name" -Name "storage-account-name").id

Select-AzSubscription "workspace-subscription-id"

New-AzOperationalInsightsLinkedStorageAccount -ResourceGroupName "resource-group-name" -WorkspaceName "workspace-name" -DataSourceType Query -StorageAccountIds $storageAccountId

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.OperationalInsights/workspaces/<workspace-name>/linkedStorageAccounts/Query?api-version=2020-08-01
Authorization: Bearer <token> 
Content-type: application/json
 
{
  "properties": {
    "dataSourceType": "Query", 
    "storageAccountIds": 
    [
      "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"
    ]
  }
}

A konfiguráció után a rendszer minden új mentett keresési lekérdezést a tárba ment.

BYOS konfigurálása naplókeresési riasztási lekérdezésekhez

Csatoljon egy tárfiókot a riasztásokhoz, hogy a naplókeresési riasztások lekérdezései megmaradjanak a tárfiókban.

az account set --subscription "storage-account-subscription-id"

$storageAccountId = '/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage name>'

az account set --subscription "workspace-subscription-id"

az monitor log-analytics workspace linked-storage create --type ALerts --resource-group "resource-group-name" --workspace-name "workspace-name" --storage-accounts $storageAccountId

Select-AzSubscription "StorageAccount-subscription-id"

$storageAccountId = (Get-AzStorageAccount -ResourceGroupName "resource-group-name" -Name "storage-account-name").id

Select-AzSubscription "workspace-subscription-id"

New-AzOperationalInsightsLinkedStorageAccount -ResourceGroupName "resource-group-name" -WorkspaceName "workspace-name" -DataSourceType Alerts -StorageAccountIds $storageAccountId

PUT https://management.azure.com/subscriptions/<subscription-id>/resourcegroups/<resource-group-name>/providers/Microsoft.OperationalInsights/workspaces/<workspace-name>/linkedStorageAccounts/Alerts?api-version=2020-08-01
Authorization: Bearer <token> 
Content-type: application/json
 
{
  "properties": {
    "dataSourceType": "Alerts", 
    "storageAccountIds": 
    [
      "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"
    ]
  }
}

A konfiguráció után a rendszer menti az új riasztási lekérdezéseket a tárolóba.

Ügyfélszéf

A Lockbox lehetővé teszi, hogy jóváhagyja vagy elutasítsa a Microsoft mérnökének az adatokhoz való hozzáférésre vonatkozó kérését egy támogatási kérelem során.

A lockbox az Azure Monitor dedikált fürtjében van megadva, ahol az adatok elérésére vonatkozó engedély az előfizetés szintjén van megadva.

További információ a Microsoft Azure-hoz készült Ügyfélzárolásról

Ügyfél által felügyelt kulcsműveletek

Az ügyfél által felügyelt kulcs dedikált fürtön érhető el, és ezekre a műveletekre a dedikált fürtről szóló cikkben hivatkozunk.

• Az összes fürt lekérése az erőforráscsoportban
• Az összes fürt lekérése előfizetésben
• Kapacitásfoglalás frissítése a fürtben
• BillingType frissítése a fürtben
• Munkaterület leválasztása fürtről
• A fürt törlése

Korlátozások és megkötések

• Az egyes régiókban és előfizetésekben legfeljebb öt aktív fürt hozható létre.

• Legfeljebb hét fenntartott fürt (aktív vagy nemrég törölt) létezhet az egyes régiókban és előfizetésekben.

• Egy fürthöz legfeljebb 1000 Log Analytics-munkaterület csatolható.

• Egy adott munkaterületen legfeljebb két munkaterület-kapcsolati művelet engedélyezett 30 nap alatt.

• A fürtök áthelyezése egy másik erőforráscsoportba vagy előfizetésbe jelenleg nem támogatott.

• A fürtfrissítés nem tartalmazhat identitás- és kulcsazonosító-adatokat ugyanabban a műveletben. Ha mindkettőt frissítenie kell, a frissítésnek két egymást követő műveletben kell lennie.

• A Lockbox jelenleg nem érhető el Kínában.

• A lockbox nem vonatkozik a kiegészítő csomaggal rendelkező táblákra.

• A dupla titkosítás automatikusan konfigurálva van a 2020 októberétől a támogatott régiókban létrehozott fürtökhöz. Ellenőrizze, hogy a fürt kettős titkosításra van-e konfigurálva, ha get kérést küld a fürtre, és megfigyeli, hogy az isDoubleEncryptionEnabled érték a kettős titkosítást használó fürtök esetében van-e true engedélyezve.

  • Ha létrehoz egy fürtöt, és hibaüzenetet kap – "a régiónév nem támogatja a fürtök dupla titkosítását", akkor is létrehozhatja a fürtöt dupla titkosítás nélkül, ha hozzáadja "properties": {"isDoubleEncryptionEnabled": false} a REST-kérelem törzséhez.
  • A kettős titkosítási beállítások nem módosíthatók a fürt létrehozása után.

• A csatolt munkaterület törlése a fürthöz csatolva engedélyezett. Ha úgy dönt, hogy helyreállítja a munkaterületet a helyreállítható törlési időszakban, az visszaáll az előző állapotra, és a fürthöz lesz csatolva.

• Az ügyfél által felügyelt kulcstitkosítás az újonnan betöltött adatokra vonatkozik a konfigurációs idő után. A konfiguráció előtt betöltött adatok Microsoft-kulcsokkal titkosítva maradnak. Az ügyfél által felügyelt kulcskonfiguráció előtt és után betöltött adatokat zökkenőmentesen kérdezheti le.

• Az Azure Key Vaultot helyreállíthatóként kell konfigurálni. Ezek a tulajdonságok alapértelmezés szerint nincsenek engedélyezve, és parancssori felülettel vagy PowerShell-lel kell konfigurálni:
  

  • Helyreállítható törlés.
  • A törlés elleni védelmet be kell kapcsolni, hogy védelmet nyújtsunk a titkos kulcs kényszerített törlésének ellen, még a helyreállítható törlés után is.

• Az Azure Key Vaultnak, a fürtnek és a munkaterületeknek ugyanabban a régióban és ugyanabban a Microsoft Entra-bérlőben kell lenniük, de különböző előfizetésekben lehetnek.

• Ha úgy állítja identity type be a fürtöt, hogy None az az adatokhoz való hozzáférést is visszavonja, ez a módszer nem ajánlott, mivel nem állíthatja vissza anélkül, hogy kapcsolatba lép a támogatási szolgálattal. Az adatokhoz való hozzáférés visszavonásának ajánlott módja a kulcs visszavonása.

• Nem használhat ügyfél által felügyelt kulcsot felhasználó által hozzárendelt felügyelt identitással, ha a Key Vault privát kapcsolaton (vNet) található. Ebben a forgatókönyvben a rendszer által hozzárendelt felügyelt identitást használhatja.

• A kiegészítő táblacsomag nem támogatja az ügyfél által felügyelt kulcsokat. A kiegészítő csomaggal rendelkező táblákban lévő adatok a Microsoft által felügyelt kulcsokkal vannak titkosítva, még akkor is, ha a Log Analytics-munkaterület többi részén lévő adatokat saját titkosítási kulccsal védi.

Hibaelhárítás

• A Key Vault rendelkezésre állásának viselkedése:

  • Normál művelet – a tároló rövid ideig gyorsítótárazza az "AEK"-t, és visszatér a Key Vaulthoz, hogy rendszeresen kicsomagolhassa.

  • A Key Vault csatlakozási hibái – a tároló kezeli az átmeneti hibákat (időtúllépések, kapcsolati hibák, "DNS" problémák) azáltal, hogy lehetővé teszi a kulcsok gyorsítótárban maradását a rendelkezésre állási probléma során, és kiküszöböli a három pontot és a rendelkezésre állással kapcsolatos problémákat. A lekérdezési és betöltési képességek megszakítás nélkül folytatódnak.

• A Key Vault hozzáférési sebessége – az a gyakoriság, amellyel a fürttároló hozzáfér a Key Vaulthoz a körbefuttatáshoz és a kicsomagoláshoz – 6–60 másodperc között van.

• Ha a fürt kiépítési vagy frissítési állapotban van, a frissítés sikertelen lesz.

• Ha ütközést tapasztal – hiba történt egy fürt létrehozásakor, előfordulhat, hogy az azonos nevű fürtöt törölték az elmúlt 14 napban, és fenntartották. A törölt fürt neve a törlés után 14 nappal válik elérhetővé.

• A munkaterület fürthöz csatolása meghiúsul, ha a munkaterület egy másik fürthöz van csatolva.

• Ha létrehoz egy fürtöt, és azonnal megadja a KeyVaultProperties értéket, a művelet meghiúsulhat, amíg egy identitás hozzá nem rendelve a fürthöz, és meg nem adja a Key Vaultnak.

• Ha a keyVaultProperties szolgáltatással frissíti a meglévő fürtöt, és a Key Vaultban hiányzik a "Get" kulcselérési szabályzat, a művelet meghiúsul.

• Ha nem tudja üzembe helyezni a fürtöt, ellenőrizze, hogy az Azure Key Vault, a fürt és a csatolt munkaterületek ugyanabban a régióban találhatók-e. Az előfizetések különböző előfizetésekben lehetnek.

• Ha elforgatja a kulcsot a Key Vaultban, és nem frissíti a fürt új kulcsazonosítójának részleteit, a fürt továbbra is az előző kulcsot használja, és az adatok elérhetetlenné válnak. Frissítse a fürt új kulcsazonosító-adatait az adatbetöltés és a lekérdezés folytatásához. Frissítheti a kulcsverziót a "'"-vel, hogy a tár mindig automatikusan használja a lates kulcsverziót.

• Egyes műveletek hosszú ideig futnak, és eltarthat egy ideig, például a fürt létrehozása, a fürtkulcs frissítése és a fürt törlése. A művelet állapotának ellenőrzéséhez küldje el a GET kérést a fürtnek vagy a munkaterületnek, és figyelje meg a választ. A leválasztott munkaterületen például nem található meg a clusterResourceId a szolgáltatások alatt.

• Hibaüzenetek

  Fürtfrissítés

  • 400 – A fürt törlési állapotban van. Az aszinkron művelet folyamatban van. A fürtnek a frissítési művelet végrehajtása előtt végre kell hajtania a műveletet.
  • 400 – A KeyVaultProperties nem üres, de rossz formátumú. Lásd a kulcsazonosító frissítését.
  • 400 – Nem sikerült érvényesíteni a kulcsokat a Key Vaultban. Lehet, hogy az engedélyek hiánya vagy a kulcs nem létezik. Ellenőrizze, hogy beállította-e a kulcs- és hozzáférési szabályzatot a Key Vaultban.
  • 400 – A kulcs nem állítható helyre. A Key Vaultot helyreállítható törlésre és törlésre kell állítani. Lásd a Key Vault dokumentációját
  • 400 – A művelet most nem hajtható végre. Várja meg, amíg az Async művelet befejeződik, és próbálkozzon újra.
  • 400 – A fürt törlési állapotban van. Várja meg, amíg az Async művelet befejeződik, és próbálkozzon újra.

  Fürt lekérése

  • 404 – A fürt nem található, lehetséges, hogy törölték a fürtöt. Ha ilyen nevű fürtöt próbál létrehozni, és ütközést kap, a fürt törlési folyamatban van.

Következő lépések

• Tudnivalók a Dedikált Log Analytics-fürt számlázásáról
• Tudnivalók a Log Analytics-munkaterületek megfelelő kialakításáról