automation-cloud-dedicated

latest

false

Erste Schritte
Datensicherheit und Compliance
Organisationen
Authentifizierung und Sicherheit
Lizenzierung
Mandanten und Dienste
Konten und Rollen
Externe Anwendungen
- OAuth-Apps
  - Verwalten externer OAuth-Anwendungen
  - Konfigurieren detaillierten Zugriffs für vertrauliche Apps
- Persönliche Zugriffstoken
Tests in Ihrer Organisation
AI Trust Layer
Benachrichtigungen
Protokollierung
- Über Protokolle
- Protokolle exportieren
Fehlersuche und ‑behebung
Migrieren zur Automation Cloud Dedicated
- Über die Migration zur Automation Cloud Dedicated
- Migrieren des Orchestrators
  - Verwenden des Migrationstools für Automation Cloud
  - Manuelle Migration

Wichtig :

Bitte beachten Sie, dass dieser Inhalt teilweise mithilfe von maschineller Übersetzung lokalisiert wurde. Es kann 1–2 Wochen dauern, bis die Lokalisierung neu veröffentlichter Inhalte verfügbar ist.

Anleitung für den dedizierten Automation Cloud-Administrator

Letzte Aktualisierung 5. Dez. 2025

Aktivieren von kundenseitig verwalteten Schlüsseln

Sie können Ihren eigenen Verschlüsselungsschlüssel verwenden, um Daten zu schützen, die in von UiPath verwalteten Azure-Ressourcen in dedizierten Umgebungen gespeichert sind. Dadurch haben Sie volle Kontrolle über Schlüsselrotation, Zugriffsberechtigungen und Compliance-Anforderungen.

UiPath unterstützt mandantenübergreifende Konfigurationen mit kundenseitig verwalteten Schlüsseln (CMK). Ihr Schlüssel befindet sich in Ihrem eigenen Azure Key Vault, während die verschlüsselten Ressourcen im Mandanten von UiPath verbleiben.

Warnung: Das Aktivieren von kundenseitig verwalteten Schlüsseln wirkt sich auf die Art und Weise aus, wie UiPath auf Ihre verschlüsselten Daten zugreift. Wenn der Schlüssel oder seine Zugriffskonfiguration nicht mehr verfügbar ist, verlieren Sie möglicherweise den Zugriff auf Ihre Daten.

Unterstützte Ressourcen

Sie können kundenseitig verwaltete Schlüssel verwenden, um die folgenden von UiPath verwalteten Ressourcen zu verschlüsseln:

Azure Storage-Konten
Azure SQL-Server
Azure-Datenträger
Snowflake

Hinweis: Azure Databricks und Azure Event Hubs unterstützen keine mandantenübergreifenden kundenseitig verwalteten Schlüssel (CMK). Diese Dienste erfordern, dass sich der Key Vault im selben Microsoft Entra-Mandanten wie die zugehörigen Azure-Ressourcen befindet und kann daher nicht mit mandantenübergreifendem CMK verschlüsselt werden.

Diese Dienste werden intern von Insights verwendet, um die Telemetrie und Analyseverarbeitung zu unterstützen:

Azure Event Hubs: Speichert Streaming-Telemetrie, wie Roboterprotokolle und Ausführungsereignisse, Auftragsausführungsdaten, Warteschlangenelementereignisse, Echtzeitüberwachung. Daten in Event Hubs sind temporär und werden nicht langfristig gespeichert.
Azure Databricks: Verarbeitet und speichert analytische Daten, einschließlich Echtzeitüberwachungsdaten, historische Aggregationen und verarbeitete Roboterausführungsmetriken.

Diese Dienste verwenden von Microsoft verwaltete Schlüssel für die Verschlüsselung im Ruhezustand und können nicht mit kundenseitig verwalteten Schlüsseln konfiguriert werden.

Architektur

Wenn Sie kundenseitig verwaltete Schlüssel in einer dedizierten Umgebung aktivieren, verwendet UiPath ein mandantenübergreifendes Verschlüsselungsmodell mit Verbundidentität. Dadurch können Verschlüsselungsschlüssel vollständig von Ihnen kontrolliert werden, obwohl die Daten in von UiPath verwalteten Azure-Diensten gespeichert werden.

Die Architektur basiert auf dem Azure-Muster für die sichere Datenverschlüsselung im Ruhezustand mit CMK und der Verbundidentität.

Hauptkomponenten der Architektur der Funktion sind:

UiPath-Mandant: Hostet die Azure-Ressourcen, die eine Verschlüsselung erfordern.
Ihr Mandant: Hostet den Azure Key Vault und den kundenseitig verwalteten Schlüssel.
Anwendung mit mehreren Mandanten: Von UiPath registriert und in Ihrem Mandanten installiert, um einen sicheren mandantenübergreifenden Zugriff zu aktivieren.
Verwaltete Identität: Der UiPath-App zugewiesen, wird zur Authentifizierung bei Ihrem Key Vault verwendet.
Verbundene Anmeldeinformationen: Erlauben Sie der UiPath-App, die verwaltete Identität zu verwenden, ohne geheime Schlüssel zu speichern.
Azure Key Vault: Speichert Ihren kundenseitig verwalteten Schlüssel.

Der Verschlüsselungsflow ist wie folgt:

Sie erstellen ein Support-Ticket, um die Registrierungs-ID und den Namen der Anwendung zu erhalten.
UiPath registriert eine Anwendung mit mehreren Mandanten und fügt eine vom Benutzer zugewiesene verwaltete Identität an.
Sie installieren die Anwendung in Ihrem Azure-Mandanten.
Sie erstellen den Schlüssel in Ihrem Key Vault und geben die Schlüssel-URI (mit Version) an UiPath weiter.
Sie weisen der Anwendung die folgenden Berechtigungen über Azure RBAC zu: get, wrapKey, unwrapKey.
UiPath konfiguriert die relevanten Azure-Ressourcen so, dass der Schlüssel für die Verschlüsselung und Entschlüsselung verwendet wird.

UiPath speichert niemals Ihren Schlüssel. Alle Vorgänge werden sicher mit Azure-APIs und Ihren eigenen Zugriffskontrollen ausgeführt.

Voraussetzungen

Bevor Sie kundenseitig verwaltete Schlüssel aktivieren, stellen Sie sicher, dass Sie die folgenden Anforderungen erfüllen:

Azure Key Vault -Anforderungen:
- Vorläufiges Löschen und Bereinigungsschutz sind aktiviert.
- Ressourcensperren werden für den Key Vault und die Schlüssel konfiguriert.
- Schlüssel muss vom Typ RSA 2048-Bit sein.
  Diese Konfigurationen verhindern ein versehentliches Löschen und gewährleisten die Wiederherstellbarkeit.
Berechtigungen und Konfiguration:
- Erstellen Sie ein Support-Ticket, um UiPath eine Registrierungs-ID und einen Namen für eine Anwendung mit mehreren Mandanten anzufordern.
- Sie müssen den Schlüssel in Ihrem Mandanten erstellen und den Zugriff darauf für die Anwendung von UiPath autorisieren.
- Die Schlüsselrotation wird unterstützt, wenn für Ihren Schlüssel die Versionsverwaltung aktiviert ist.

Schritte

Erstellen oder wählen Sie einen Azure Key Vault in Ihrem Azure-Mandanten aus.
Konfigurieren Sie den Key Vault und den Verschlüsselungsschlüssel gemäß den folgenden Anforderungen:
- Aktivieren Sie vorläufiges Löschen und Bereinigungsschutz.
  
  Stellt sicher, dass gelöschte Schlüssel oder Vaults bis zu 90 Tage wiederhergestellt werden können.
- Wenden Sie eine Ressourcensperre sowohl auf den Key Vault als auch auf den Schlüssel an
  
  Verhindert versehentliche Löschungen oder Änderungen.
- Wählen Sie RSA 2048-Bit als Schlüsseltyp aus.
- Stellen Sie sicher, dass sich der Key Vault in der gleichen Region wie Ihre Azure Disk-Ressourcen befindet (erforderlich für die Azure Disk-Verschlüsselung).
- Wählen Sie unter Netzwerk die Option Vertrauenswürdige Microsoft-Dienste zur Umgehung dieser Firewall zulassen aus.
Ausführliche Schritte finden Sie unter Konfigurieren von mandantenübergreifenden kundenseitig verwalteten Schlüsseln für ein neues Speicherkonto – Azure Storage.
.
Installieren Sie die UiPath-Anwendung mit mehreren Mandanten in Ihrem Azure-Mandanten mithilfe der vom Supportteam bereitgestellten Informationen.
Weisen Sie die Azure RBAC-Rolle Key Vault Krypto Service Encryption User der UiPath-Anwendung zu, damit sie auf den Key Vault zugreifen kann.
Alternativ können Sie der UiPath-Anwendung eine Zugriffsrichtlinie für Key Vault mit den folgenden Berechtigungen gewähren: get, wrapKey und unwrapKey.
Teilen Sie den Schlüssel-URI mit UiPath über das zuvor erstellte Support-Ticket.
Hinweis: Sie können einen einzelnen Schlüssel für alle unterstützten Ressourcen oder separate Schlüssel für jede Ressource verwenden, z. B. SQL, Speicher, Datenträger, Snowflake. Wenn Sie unterschiedliche Schlüssel verwenden möchten, geben Sie UiPath die entsprechenden Schlüssel-URIs über Ihr Support-Ticket an.
Mithilfe der von Ihnen angegebenen Schlüssel-URIs konfiguriert UiPath die Verschlüsselung auf Ihren Azure-basierten Ressourcen und wendet kundenseitig verwaltete Schlüssel (CMK) auf unterstützte Komponenten an, einschließlich Speicher-, SQL-, Datenträger- und Snowflake-Ressourcen.
Wenn Sie CMK auf Snowflake-Ressourcen anwenden möchten, müssen Sie die folgenden zusätzlichen Schritte ausführen:
1. Führen Sie die Schritte 1 bis 2.5 in diesem Snowflake-Community-Handbuch aus .
2. Stellen Sie die Ausgabe aus Schritt 2.5 über Ihr Support-Ticket zu UiPath bereit.
3. UiPath führt die in Schritt 2.5 und 3.1 erwähnte Tri-Secret Secure-Selbstregistrierung mit Azure Key Vault durch.
4. UiPath gibt den Azure-Zustimmungslink und den Snowflake-Prinzip frei.
5. Setzen Sie das hier beschriebene Snowflake-Vorgang fort, beginnend mit Schritt 3.
6. Wenn Sie in Schritt 4 öffentliche Zugriffskontrollen für den Key Vault benötigen (über bestimmte IPs oder virtuelle Netzwerke), wenden Sie sich an UiPath, um die Subnetzdetails zu erhalten.
7. UiPath schließt Schritt 4.5 ab.
Benachrichtigen, wenn die Verschlüsselung mit CMK aktiv ist.

Vermeidung von Datenverlusten

Um einen versehentlichen Datenverlust zu vermeiden, empfiehlt UiPath:

Schlüsselrotation:
- Azure-Dienste prüfen einmal pro Tag auf eine neue Schlüsselversion.
  Das Ändern der Schlüsselversion verursacht keine Ausfallzeit. Weitere Informationen finden Sie unter Kundenseitig verwaltete Schlüssel für die Kontoverschlüsselung – Azure Storage.
- Warten Sie nach der Rotation 24 Stunden, bevor Sie die vorherige Version deaktivieren.
- Ältere Sicherungen werden nicht erneut verschlüsselt, sodass alte Schlüsselversionen für Wiederherstellungen verfügbar sind.
Vorübergehender Widerruf:
- Sie können einen Schlüssel deaktivieren, ohne ihn zu löschen.
- Dies blockiert den Zugriff auf verschlüsselte Ressourcen, wirkt sich jedoch nicht auf den Verschlüsselungsstatus aus.
- Der Zugriff wird wiederhergestellt, wenn der Schlüssel erneut aktiviert wird.
- Wenn diese Option deaktiviert ist, geben Vorgänge den Fehler „403 Forbidden“ zurück.

In der folgenden Tabelle finden Sie Szenarien, in denen Sie Ihre Daten verlieren könnten, und Möglichkeiten, das Problem entweder zu verhindern oder zu verringern:

Tabelle 1. Mögliche Datenverlustszenarien
Problem	Auswirkungen	Vorbeugung	Schadensbegrenzung
AKV-Ressourcensperre entfernt	Es ist möglich, dass AKV/Schlüssel gelöscht wird. Wenn sie gelöscht werden, sind Ressourcen innerhalb von etwa 10 Minuten nicht mehr zugänglich.	Der vorläufige Lösch- und Bereinigungsschutz stellt sicher, dass der AKV/der Schlüssel innerhalb von 90 Tagen wiederhergestellt werden kann.	Stellen Sie AKV oder Schlüssel innerhalb von 90 Tagen wieder her.
AKV/Aktueller Schlüssel gelöscht	Ressourcen sind innerhalb von etwa 10 Minuten nicht mehr zugänglich.	Der vorläufige Lösch- und Bereinigungsschutz stellt sicher, dass der AKV/der Schlüssel innerhalb von 90 Tagen wiederhergestellt werden kann.	Stellen Sie AKV oder Schlüssel innerhalb von 90 Tagen wieder her.
Vorherige Schlüsselversion gelöscht	Unterbricht die Sicherungswiederherstellung	Der vorläufige Lösch- und Bereinigungsschutz stellt sicher, dass der AKV/der Schlüssel innerhalb von 90 Tagen wiederhergestellt werden kann.	Stellen Sie AKV oder Schlüssel innerhalb von 90 Tagen wieder her.
Schlüssel kompromittiert	Gefährdete Daten	Wenden Sie Netzwerkschutz auf AKV an.	Keine Angabe
Zugriff widerrufen (RBAC-/Firewalländerung) Zum Beispiel: Widerrufen der Berechtigungen `get`, `wrapKey`, `unwrapKey` des Schlüsseltresors vom Server oder Ändern der Firewallregeln des Schlüsseltresors.	Ressourcen sind innerhalb von etwa 10 Minuten nicht mehr zugänglich.	Verwenden Sie Ressourcensperren.	Stellen Sie Berechtigungen wieder her
Azure Key Vault-Ausfall	Ressourcen sind innerhalb von etwa 10 Minuten nicht mehr zugänglich.	Wir stellen keine Azure Key Vaults in Regionen bereit, in denen ein zwischenregionsübergreifendes Failover nicht unterstützt wird. Weitere Informationen finden Sie unter Zuverlässigkeit in Azure Key Vault.	Keine Aktion erforderlich