Résoudre des problèmes de clé gérée par le client

Cet article est la quatrième partie d’une série de tutoriels en quatre parties. La première partie donne un aperçu des clés gérées par le client, de leurs caractéristiques et des aspects à prendre en considération avant d’en activer une dans votre registre. La deuxième partie explique comment activer une clé gérée par le client à l’aide d’Azure CLI, du portail Azure ou d’un modèle Azure Resource Manager. La troisième partie explique comment opérer la rotation, la mise à jour et la révocation d’une clé gérée par le client. Cet article vous aide à dépanner et à résoudre des problèmes courants liés aux clés gérées par le client.

Erreur lors de la suppression d’une identité managée

Si vous tentez de supprimer une identité managée affectée par l’utilisateur ou par le système que vous avez utilisée pour configurer le chiffrement de votre registre, il se peut qu’un message d’erreur s’affiche :

Azure resource '/subscriptions/xxxx/resourcegroups/myGroup/providers/Microsoft.ContainerRegistry/registries/myRegistry' does not have access to identity 'xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx' Try forcibly adding the identity to the registry <registry name>. For more information on bring your own key, please visit 'https://aka.ms/acr/cmk'.

Vous ne pouvez pas non plus modifier (faire pivoter) la clé de chiffrement. Les étapes de résolution varient selon le type d’identité utilisé pour le chiffrement.

Suppression d’une identité affectée par l’utilisateur

Si vous obtenez l’erreur lorsque vous essayez de supprimer une identité affectée par l’utilisateur, procédez comme suit :

1. Réaffectez l’identité affectée par l’utilisateur à l’aide de la commande az acr identity assign.

2. Transmettez l’ID de ressource de l’identité affectée par l’utilisateur, ou utilisez le nom de l’identité quand il se trouve dans le même groupe de ressources que le registre.

   Par exemple :

   az acr identity assign -n myRegistry \
       --identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"
   

3. Modifiez la clé et attribuez une identité différente.

4. Vous pouvez maintenant supprimer l’identité affectée par l’utilisateur d’origine.

Suppression d’une identité affectée par le système

Si vous obtenez l’erreur lorsque vous essayez de supprimer une identité affectée par le système, créez un ticket de support Azure afin d’obtenir de l’aide pour restaurer l’identité.

Erreur après l’activation d’un pare-feu de coffre de clés

Si vous activez un pare-feu de coffre de clés ou un réseau virtuel après avoir créé un registre chiffré, vous pouvez voir HTTP 403 ou d’autres erreurs avec l’importation d’image ou la rotation de clé automatisée. Pour corriger ce problème, reconfigurez l’identité et la clé managées que vous avez utilisées initialement pour le chiffrement. Consultez les étapes décrites dans Effectuer la rotation d’une clé gérée par le client.

Si le problème persiste, contactez le support Azure.

Erreur d’expiration d’identité

L’identité attachée à un registre est définie pour le renouvellement automatique afin d’éviter l’expiration. Si vous dissociez une identité d’un registre, un message d’erreur s’affiche expliquant que vous ne pouvez pas supprimer l’identité utilisée pour CMK. La tentative de suppression de l’identité compromet le renouvellement automatique de l’identité. Les opérations de tirage (pull)/d’envoi (push) de l’artefact fonctionnent jusqu’à l’expiration de l’identité (généralement trois mois). Après l’expiration de l’identité, vous voyez HTTP 403 avec un message d’erreur « L’identité associée au Registre est inactive. Cela peut être dû à une tentative de suppression de l’identité. Réaffectez l’identité manuellement ».

Vous devez réaffecter explicitement l’identité au Registre.

1. Exécutez la commande az acr identity assign pour réaffecter l’identité manuellement.

   • Par exemple,

   az acr identity assign -n myRegistry \
   --identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"
   

Suppression accidentelle d’un coffre de clés ou d’une clé

La suppression du coffre de clés ou de la clé utilisés pour chiffrer un registre avec une clé gérée par le client rend le contenu du registre inaccessible. Si la suppression douce est activée dans le coffre-fort de clés (option par défaut), vous pouvez récupérer un objet de coffre-fort ou de coffre-fort de clés supprimé et reprendre les opérations de registre.

Étapes suivantes

Pour les scénarios de suppression et de récupération des coffres à clés, voir Gestion de la récupération des coffres à clés Azure avec protection contre la suppression douce et la purge.