Sicheres Speichern und Verwalten einer MARS-Agent-Passphrase in Azure Key Vault

Mit Azure Backup in Kombination mit dem Recovery Services-Agent (MARS) können Sie Dateien und Ordner sowie Systemzustandsdaten im Azure Recovery Services-Tresor sichern. Diese Daten werden mit einer Passphrase verschlüsselt, die Sie während der Installation und Registrierung des MARS-Agents bereitstellen. Diese Passphrase ist zum Abrufen und Wiederherstellen der Sicherungsdaten erforderlich und muss an einem sicheren externen Speicherort gespeichert werden.

Jetzt können Sie Ihre Verschlüsselungspassphrase während der Installation für neue Computer und beim Ändern der Passphrase für vorhandene Computer sicher über die MARS-Konsole als Geheimnis in Azure Key Vault speichern. Um das Speichern der Passphrase in Azure Key Vault zu ermöglichen, müssen Sie dem Recovery Services-Tresor die Berechtigung zum Erstellen eines Geheimnisses in Azure Key Vault erteilen.

Vorbereitung

• Erstellen Sie einen Recovery Services-Tresor, falls bei Ihnen noch keiner vorhanden ist.
• Es empfiehlt sich, eine einzelne Azure Key Vault-Instanz zu verwenden, um alle Ihre Passphrasen zu speichern. Erstellen Sie eine Key Vault-Instanz, falls bei Ihnen noch keine vorhanden ist.
• Wenn Sie eine neue Azure Key Vault-Instanz zum Speichern Ihrer Passphrasen verwenden, gelten die Preise für Azure Key Vault.
• Nachdem Sie die Key Vault-Instanz erstellt haben, stellen Sie sicher, dass das vorläufige Löschen und der Löschschutz aktiviert sind, um vor versehentlichem oder böswilligem Löschen von Passphrasen geschützt zu sein.
• Dieses Feature wird nur in öffentlichen Azure-Regionen mit mindestens der MARS-Agent-Version 2.0.9262.0 unterstützt.

Konfigurieren des Recovery Services-Tresors zum Speichern der Passphrase in Azure Key Vault

Bevor Sie Ihre Passphrase in Azure Key Vault speichern können, müssen Sie Ihren Recovery Services-Tresor und die Azure Key Vault-Instanz konfigurieren.

Führen Sie die Schritte in der angegebenen Reihenfolge aus, um die gewünschten Ergebnisse zu erzielen. Die einzelnen Maßnahmen werden in den folgenden Abschnitten eingehend erörtert:

1. Aktivieren Sie die systemseitig zugewiesene verwaltete Identität für den Recovery Services-Tresor.
2. Weisen Sie dem Recovery Services-Tresor Berechtigungen zu, um die Passphrase als Geheimnis in Azure Key Vault zu speichern.
3. Aktivieren Sie das vorläufige Löschen und den Löschschutz in Azure Key Vault.

Aktivieren der systemseitig zugewiesenen verwalteten Identität für den Recovery Services-Tresor

Auswählen eines Clients:

$vault=Get-AzRecoveryServicesVault -ResourceGroupName "testrg" -Name "testvault"
Update-AzRecoveryServicesVault -IdentityType SystemAssigned -ResourceGroupName TestRG -Name TestVault
$vault.Identity | fl

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : SystemAssigned

az backup vault identity assign --system-assigned --resource-group MyResourceGroup --name MyVault

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : SystemAssigned

Zuweisen von Berechtigungen zum Speichern der Passphrase in Azure Key Vault

In den folgenden Abschnitten finden Sie weitere Informationen für das konfigurierte Key Vault-Berechtigungsmodell (rollenbasierte Zugriffsberechtigungen oder zugriffsrichtlinienbasierte Berechtigungen).

Aktivieren von Berechtigungen unter Verwendung des Modells mit rollenbasierten Zugriffsberechtigungen für Key Vault

Auswählen eines Clients:

#Find the application id for your recovery services vault
Get-AzADServicePrincipal -SearchString <principalName>
#Identify a role with Set permission on Secret, like Key Vault Secret Office
Get-AzRoleDefinition | Format-Table -Property Name, IsCustom, Id
#Assign role to Recovery Services Vault identity 
Get-AzRoleDefinition -Name <roleName>
#Assign by Service Principal ApplicationId
New-AzRoleAssignment -RoleDefinitionName 'Key Vault Secrets Officer' -ApplicationId {i.e 00001111-aaaa-2222-bbbb-3333cccc4444} -Scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}

#Find the application id for your recovery services vault
az ad sp list --all --filter "displayname eq '<my recovery vault name>' and servicePrincipalType eq 'ManagedIdentity'"
#Identify a role with Set permission on Secret, like Key Vault Secret Office
az role definition list --query "[].{name:name, roleType:roleType, roleName:roleName}" --output tsv
az role definition list --name "{roleName}"
#Assign role to Recovery Services Vault identity 
az role assignment create --role "Key Vault Secrets Officer" --assignee "<application id>" {i.e "11112222-bbbb-3333-cccc-4444dddd5555"} --scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}

Aktivieren von Berechtigungen unter Verwendung des Berechtigungsmodells mit Zugriffsrichtlinien für Key Vault

Auswählen eines Clients:

$sp = Get-AzADServicePrincipal -DisplayName MyVault
$Set-AzKeyVaultAccessPolicy -VaultName myKeyVault -ObjectId $sp.Id -PermissionsToSecrets set

az ad sp list --display-name MyVault
az keyvault set-policy --name myKeyVault --object-id <object-id> --secret-permissions set

Aktivieren Sie den Schutz vor sanftem Löschen und Bereinigen auf Azure Key Vault

Für die Azure Key Vault-Instanz, in der Ihr Verschlüsselungsschlüssel gespeichert ist, müssen vorläufiges Löschen und Löschschutz aktiviert werden.

Auswählen eines Clients*

Speichern der Passphrase in Azure Key Vault für eine neue MARS-Installation

Bevor Sie mit der Installation des MARS-Agents fortfahren, vergewissern Sie sich, dass Sie den Recovery Services-Tresor zum Speichern der Passphrase in Azure Key Vault konfiguriert und Folgendes erfolgreich ausgeführt haben:

1. Sie haben Ihren Recovery Services-Tresor erstellt.

2. Sie haben die systemseitig zugewiesene verwaltete Identität des Recovery Services-Tresors aktiviert.

3. Sie haben Ihrem Recovery Services-Tresor Berechtigungen zum Erstellen von Geheimnissen in Ihrer Key Vault-Instanz zugewiesen.

4. Sie haben vorläufiges Löschen und den Löschschutz für Ihre Key Vault-Instanz aktiviert.

5. Laden Sie das MARS-Installationsprogramm aus dem Azure-Portal herunter, und verwenden Sie dann den Installations-Assistenten, um den MARS-Agent auf einem Computer zu installieren.

6. Nachdem Sie im Rahmen des Registrierungsprozesses die Anmeldeinformationen für den Recovery Services-Tresor angegeben haben, wählen Sie in der Verschlüsselungseinstellung die Option zum Speichern der Passphrase in Azure Key Vault aus.

   

7. Geben Sie Ihre Passphrase ein, oder wählen Sie Passphrase generieren aus.

8. Öffnen Sie im Azure-Portal Ihre Key Vault-Instanz, und kopieren Sie den Key Vault-URI.

   

9. Fügen Sie den Key Vault-URI in die MARS-Konsole ein, und wählen Sie dann Registrieren aus.

   Sollte ein Fehler auftreten, finden Sie im Bereich zur Problembehandlung weitere Informationen.

10. Nach erfolgreicher Registrierung wird die Option zum Kopieren des Bezeichners in das Geheimnis erstellt, und die Passphrase wird NICHT lokal in einer Datei gespeichert.

    

    Wenn Sie später die Passphrase für diesen MARS-Agent ändern, wird eine neue Version des Geheimnisses mit der neuesten Passphrase hinzugefügt.

Sie können diesen Prozess mithilfe der Option „new KeyVaultUri“ in Set-OBMachineSetting command im Installationsskript automatisieren.

Speichern der Passphrase in Azure Key Vault für eine vorhandene MARS-Installation

Wenn Sie bereits über eine MARS-Agent-Installation verfügen und Ihre Passphrase in Azure Key Vault speichern möchten, aktualisieren Sie den Agent mindestens auf die Version 2.0.9262.0, und führen Sie einen Vorgang zum Ändern der Passphrase aus.

Vergewissern Sie sich nach dem Aktualisieren des MARS-Agents, dass Sie den Recovery Services-Tresor zum Speichern der Passphrase in Azure Key Vault konfiguriert und Folgendes erfolgreich ausgeführt haben:

1. Sie haben Ihren Recovery Services-Tresor erstellt.
2. Sie haben die systemseitig zugewiesene verwaltete Identität des Recovery Services-Tresors aktiviert.
3. Sie haben Ihrem Recovery Services-Tresor Berechtigungen zum Erstellen von Geheimnissen in Ihrer Key Vault-Instanz zugewiesen.
4. Vorläufiges Löschen und Löschschutz wurden für Ihren Key Vault aktiviert.

So speichern Sie die Passphrase in Key Vault

1. Öffnen Sie die MARS-Agent-Konsole.

   Es sollte ein Banner angezeigt werden, in dem Sie aufgefordert werden, einen Link zum Speichern der Passphrase in Azure Key Vault auszuwählen.

   Wählen Sie alternativ dazu Eigenschaften ändern>Passphrase ändern aus, um fortzufahren.

   

2. Im Dialogfeld Eigenschaften ändern wird die Option zum Speichern der Passphrase in Key Vault durch Angeben eines Key Vault-URI angezeigt.

   Hinweis

   Wenn der Computer bereits für das Speichern der Passphrase in Key Vault konfiguriert ist, wird der Key Vault-URI automatisch im Textfeld aufgefüllt.

   

3. Öffnen Sie das Azure-Portal, öffnen Sie Ihre Key Vault-Instanz, und kopieren Sie dann den Key Vault-URI.

   

4. Fügen Sie den Key Vault-URI in die MARS-Konsole ein, und wählen Sie dann OK aus.

   Sollte ein Fehler auftreten, finden Sie im Bereich zur Problembehandlung weitere Informationen.

5. Nachdem der Vorgang zum Ändern der Passphrase erfolgreich ausgeführt wurde, wird eine Option zum Kopieren des Bezeichners in das Geheimnis erstellt, und die Passphrase wird NICHT lokal in einer Datei gespeichert.

   

   Wenn Sie später die Passphrase für diesen MARS-Agent ändern, wird eine neue Version des Geheimnisses mit der neuesten Passphrase hinzugefügt.

Sie können diesen Schritt mithilfe der Option „new KeyVaultUri“ im Cmdlet Set-OBMachineSetting automatisieren.

Abrufen der Passphrase aus Azure Key Vault für einen Computer

Wenn Ihr Computer nicht mehr verfügbar ist und Sie Sicherungsdaten per Wiederherstellung von einem alternativen Speicherort aus dem Recovery Services-Tresor wiederherstellen müssen, benötigen Sie die Passphrase des Computers.

Die Passphrase ist in Azure Key Vault als Geheimnis gespeichert. Pro Computer wird ein Geheimnis erstellt, und dem Geheimnis wird eine neue Version hinzugefügt, wenn die Passphrase für den Computer geändert wird. Das Geheimnis wird wie folgt benannt: AzBackup-machine fully qualified name-vault name.

So finden Sie die Passphrase des Computers:

1. Öffnen Sie im Azure-Portal die Key Vault-Instanz, die zum Speichern der Passphrase für den Computer verwendet wurde.

   Es wird empfohlen, eine einzelne Key Vault-Instanz zu verwenden, um alle Ihre Passphrasen zu speichern.

2. Wählen Sie Geheimnisse aus, und suchen Sie nach dem Geheimnis mit dem Namen AzBackup-<machine name>-<vaultname>.

   

3. Wählen Sie das Geheimnis aus, öffnen Sie die neueste Version, und kopieren Sie den Wert des Geheimnisses.

   Dies ist die Passphrase des Computers, die bei der Wiederherstellung verwendet werden muss.

   

   Wenn in der Key Vault-Instanz eine große Anzahl von Geheimnissen enthalten ist, verwenden Sie die Key Vault-CLI, um die Geheimnisse aufzulisten und nach dem gewünschten Geheimnis zu suchen.

az keyvault secret list --vault-name 'myvaultname’ | jq '.[] | select(.name|test("AzBackup-<myvmname>"))'

Behandeln allgemeiner Probleme

In diesem Abschnitt werden allgemeine Fehler aufgeführt, die beim Speichern einer Passphrase in Azure Key Vault auftreten können.

Systemidentität ist nicht konfiguriert (391224)

Ursache: Dieser Fehler tritt auf, wenn für den Recovery Services-Tresor keine systemseitig zugewiesene verwaltete Identität konfiguriert wurde.

Empfohlene Maßnahme: Stellen Sie sicher, dass die systemseitig zugewiesene Identität gemäß den Voraussetzungen ordnungsgemäß für den Recovery Services-Tresor konfiguriert wurde.

Berechtigungen sind nicht konfiguriert (391225)

Ursache: Der Recovery Services-Tresor verfügt über eine systemseitig zugewiesene verwaltete Identität, aber nicht über die Berechtigung „Festlegen“ zum Erstellen eines Geheimnisses in der Key Vault-Zielinstanz.

Empfohlene Maßnahme:

1. Vergewissern Sie sich, dass die verwendeten Tresoranmeldeinformationen für den beabsichtigten Recovery Services-Tresor gelten.
2. Vergewissern Sie sich, dass der Key Vault-URI für die beabsichtigte Key Vault-Instanz gilt.
3. Vergewissern Sie sich, dass der Name des Recovery Services-Tresors unter „Key Vault“ > „Zugriffsrichtlinien“ > „Anwendung“ mit dem Wert „Festlegen“ für „Geheimnisberechtigungen“ aufgeführt ist.

Ist der Name nicht aufgeführt, konfigurieren Sie die Berechtigung erneut.

Azure Key Vault-URI ist falsch (100272)

Ursache: Der eingegebene Key Vault-URI hat nicht das richtige Format.

Empfohlene Maßnahme: Vergewissern Sie sich, dass Sie den aus dem Azure-Portal kopierten Key Vault-URI eingegeben haben. Beispiel: https://myvault.vault.azure.net/.

UserErrorSecretExistsSoftDeleted (391282)

Ursache: In der Key Vault-Instanz ist bereits ein Geheimnis im erwarteten Format vorhanden, das Geheimnis befindet sich aber in einem vorläufig gelöschten Zustand. Wenn das Geheimnis nicht wiederhergestellt wird, kann MARS die Passphrase für diesen Computer nicht in der angegebenen Key Vault-Instanz speichern.

Empfohlene Maßnahme: Überprüfen Sie, ob im Tresor ein Geheimnis mit dem Namen AzBackup-<machine name>-<vaultname> vorhanden ist und ob es sich in einem vorläufig gelöschten Zustand befindet. Stellen Sie das vorläufig gelöschte Geheimnis wieder her, um die Passphrase darin zu speichern.

UserErrorKeyVaultSoftDeleted (391283)

Ursache: Die für MARS bereitgestellte Key Vault-Instanz befindet sich in einem vorläufig gelöschten Zustand.

Empfohlene Maßnahme: Stellen Sie die Key Vault-Instanz wieder her, oder stellen Sie eine neue Key Vault-Instanz bereit.

Registrierung ist unvollständig

Ursache: Die MARS-Registrierung wurde nicht durch Registrieren der Passphrase abgeschlossen. Daher können Sie Sicherungen erst konfigurieren, wenn die Passphrase registriert wurde.

Empfohlene Maßnahme: Wählen Sie die Warnmeldung aus, und schließen Sie die Registrierung ab.