UiPath Documentation
test-cloud
latest
false
Wichtig :
Es kann 1–2 Wochen dauern, bis die Lokalisierung neu veröffentlichter Inhalte verfügbar ist.
UiPath logo, featuring letters U and I in white

Test Cloud-Administratorhandbuch

Letzte Aktualisierung 7. Apr. 2026

Kundenseitig verwaltete Schlüssel

Kundenseitig verwaltete Schlüssel für Test Cloud und Test Cloud – Öffentlicher Sektor

Dieses Verfahren gilt nur für Test Cloud und Test Cloud – Öffentlicher Sektor

Enterprise Abhängig von Ihrem Lizenzierungsplan ist diese Funktion wie folgt verfügbar:

  • Flex-Lizenzierung: Diese Funktion ist für die Plattformpläne Standard und Advanced verfügbar.
  • Unified Pricing-Lizenzierung: Diese Funktion ist nur für den Enterprise-Plattform-Tarif verfügbar.
    Warnung:

    Die Aktivierung dieser Funktion hat schwerwiegende Auswirkungen auf den Datenzugriff. Sollten Probleme mit dem Schlüssel auftreten, besteht die Gefahr, dass Sie den Zugriff auf Ihre Daten verlieren.

In der folgenden Tabelle werden häufige problematische Szenarien und deren Lösungen beschrieben.

Szenario

Lösung

Ihre Anmeldeinformationen für den Zugriff auf Azure Key Vault (AKV) sind abgelaufen oder wurden gelöscht.

Wenn Sie sich immer noch mit Ihrer E-Mail-Adresse und Ihrem Kennwort anmelden können (kein SSO) …

… und wenn Sie ein Organisationsadministrator sind , können Sie Ihre Anmeldeinformationen im Abschnitt Verschlüsselung auf der Administratorseite der Organisation aktualisieren.

… und wenn Sie kein Organisationsadministrator sind , können Sie über ein Support-Ticket darum bitten, in eine Administratorrolle befördert zu werden; dann können Sie Ihre Anmeldeinformationen im Abschnitt Verschlüsselung auf der Administratorseite der Organisation aktualisieren.

Wenn Sie sich nicht mehr anmelden können, geben Sie Ihre Organisations-ID über ein Supportticket an. Wir können Sie dann als Administrator einladen und befördern. Sie können dann Ihre Anmeldeinformationen im Abschnitt Verschlüsselung auf der Administratorseite der Organisation aktualisieren.

Sobald Sie wieder Zugang zu den Anmeldeinformationen haben, empfehlen wir Ihnen, einen neuen AKV-Schlüssel und Anmeldedatensatz zu erstellen. Anschließend konfigurieren Sie den kundenseitig verwalteten Schlüssel mit diesen neuen Informationen, um sicherzustellen, dass niemand sonst Zugriff auf Ihre Anmeldeinformationen hat.

Ihr AKV-Schlüssel ist abgelaufen.

Ihr kundenseitig verwalteter Schlüssel funktioniert weiterhin, aber wir empfehlen Ihnen, zu einem neuen Schlüssel zu wechseln.

Ihr AKV-Schlüssel wurde gelöscht.

Sie können Ihren AKV-Schlüssel während des Aufbewahrungszeitraums über das Azure-Portal wiederherstellen.

Ihr AKV-Schlüssel wurde entfernt, aber eine Sicherung war vorhanden.

Sie können den Schlüssel aus der Azure-Portalsicherung wiederherstellen. Standardmäßig hat der wiederhergestellte Schlüssel dieselbe ID wie der ursprüngliche Schlüssel, die Sie nicht ändern sollten.

Ihr AKV-Schlüssel wurde entfernt und es war keine Sicherung vorhanden.

Warnung:

Für dieses Szenario gibt es keine Lösung. In dieser Situation gehen Ihre UiPath®-Kundendaten verloren.

Überblick

Zusätzlich zur Standard-TDE auf Speicherebene verwenden bestimmte Dienste auch Implicit Application-Level Encryption (ALE). Die Daten werden also bereits auf der Anwendungsebene verschlüsselt, bevor sie gespeichert werden, was eine zusätzliche Sicherheitsebene darstellt.

Darüber hinaus bieten einige Dienste/Ressourcen eine optionale, benutzergesteuerte Verschlüsselung an, die als „Optional (Opt in) ALE“ bezeichnet wird. Dies gibt Ihnen die Möglichkeit, zu entscheiden, ob diese Dienste/Ressourcen ALE verwenden sollen oder nicht. Die Liste der Dienste oder Ressourcen und der für sie relevanten Verschlüsselungstypen finden Sie auf der Seite Verschlüsselte Daten in unserer Dokumentation.

Bei Diensten mit ALE, entweder implizit oder optional, haben Sie die Möglichkeit, auszuwählen, wer den Verschlüsselungsschlüssel verwaltet. Dies kann entweder von UiPath oder von Ihnen selbst verwaltet werden. Dazu unterstützt Azure Key Vault die Versionierung von Geheimnissen, sodass Sie ein Geheimnis generieren können, das Sie bei der Konfiguration Ihres Schlüssels auf Organisationsebene verwenden können.

Nachdem Sie den kundenseitig verwalteten Schlüssel aktiviert haben, werden zuvor gesicherte Daten nicht erneut verschlüsselt und alle vorhandenen Sicherungen werden nach ihrem Ablauf entfernt. Mit dieser Option werden nur neue Daten verschlüsselt.

Erläuterungen zu kundenverwalteten Schlüsseln

In der kundenseitig verwalteten Schlüsselarchitektur verschlüsseln UiPath-Produkte oder Plattformdienste (z. B. der UiPath Orchestrator oder UiPath Identity Service) im Allgemeinen sensible Kundendaten, bevor sie gespeichert werden. Wenn Datenzugriff erforderlich ist, ruft das Produkt oder der Dienst Ihre Schlüsselverwaltungsinfrastruktur auf, um den Entschlüsselungsschlüssel zu erhalten. Dadurch haben Sie die Kontrolle über die verschlüsselten Daten in UiPath, da Sie die Rückgabe des Schlüssels ablehnen können.

Dieser Prozess umfasst die folgenden Komponenten:

  • Der Schlüsselverwaltungsdienst (Key Management Service, KMS) – dies ist das interne Tool von UiPath, das für die Verschlüsselung von Schlüsseln entwickelt wurde.
  • Der Datenverschlüsselungsschlüssel (DEK oder KMS DEK) – wird zum Verschlüsseln von Klartextdaten verwendet. Im Allgemeinen wird der DEK vom KMS oder vom internen Schlüsseltresor von UiPath generiert und nirgendwo im Klartext gespeichert.
  • Der Schlüsselverschlüsselungsschlüssel (KEK) – wird zum Verschlüsseln des DEK verwendet. Das Verschlüsseln eines Schlüssels wird als Schlüsselverpackung bezeichnet. Im Allgemeinen wird der KEK von Ihnen generiert, in Ihrem Schlüsseltresor gespeichert und stellt den tatsächlichen kundenseitig verwalteten Schlüssel dar, der von Ihrem Schlüsselverwaltungsdienst gesteuert wird.
  • Der verschlüsselte Datenverschlüsselungsschlüssel (EDEK) – dies ist der DEK, der vom KEK verpackt wird. In der Regel wird dieser Schlüssel vom Dienstanbieter (z. B. dem Orchestrator) gespeichert; folglich ruft der Dienst immer dann, wenn er auf verschlüsselte Daten zugreifen muss, den Schlüsselverwaltungsdienst des Kunden auf, um den KEK zu erhalten, der zum Entschlüsseln des EDEK benötigt wird, und um den DEK zu erzeugen, der dann zum Entschlüsseln der Daten verwendet wird.
  • Der interne Schlüssel von UiPath – wird zum Verschlüsseln von Datenspalten verwendet, einschließlich des CMK und des KMS DEK.

Dieses Diagramm veranschaulicht, wie die verschiedenen Komponenten, die an der Aktivierung von kundenseitig verwalteten Schlüsseln beteiligt sind, zusammenarbeiten:

Aktivieren des kundenverwalteten Schlüssels

Hinweis:

Die Verfügbarkeit von Funktionen hängt von der Cloud-Plattform ab, die Sie verwenden. Weitere Informationen finden Sie auf der Seite Funktionsverfügbarkeit.

Wichtig:

Die Aktivierung von kundenseitig verwalteten Schlüsseln (CMK) hat erhebliche Auswirkungen auf den Datenzugriff. Wenn der Schlüssel nicht mehr verfügbar oder falsch konfiguriert ist, verlieren Sie möglicherweise den Zugriff auf Ihre Daten. Wenn Sie Ihren Schlüssel verlieren, können Sie keine Verbindung mehr zum Tresor herstellen. Sie sollten daher gemäß den Sicherheitsrichtlinien Ihrer Organisation immer eine Sicherung des Schlüssels im Azure-Portal oder in einem von Azure getrennten sicheren Schlüsseltresor erstellen. Je nach Cloud-Plattform muss der Azure Key Vault in der Microsoft Azure Government-Cloud gehostet werden, um die Anforderungen an die Cloudgrenzen zu erfüllen.

Um kundenseitig verwaltete Schlüssel zu aktivieren, müssen Sie die Microsoft Entra ID-Anwendung, die Test Cloud darstellt, für den Zugriff auf den Schlüsselverschlüsselungsschlüssel in Ihrem Azure Key Vault konfigurieren.

Je nach Ihrer Cloud-Plattform können Sie eine der folgenden Methoden auswählen, um die Microsoft Entra ID-Anwendung zu konfigurieren:

  • (Empfohlen) Automatisierte Einrichtung: Verwenden Sie die von UiPath verwaltete Microsoft Entra ID-Anwendung (Mehrmandantenmodell) für die folgenden Vorteile:
    • Keine geheimen Schlüssel oder Zertifikate zu verwalten.
    • Schnelle und zuverlässige Einrichtung.
    • UiPath verwaltet die Microsoft Entra ID-Anwendung für Sie.
  • Manuelle Einrichtung mit einer benutzerdefinierten Microsoft Entra ID-Anwendungsregistrierung: Verwenden Sie Ihre eigene Microsoft Entra ID-Anwendung und verwalten Sie deren Konfiguration manuell, mit den folgenden Überlegungen:
    • Sie müssen Anwendungsanmeldeinformationen erstellen und verwalten.
    • Anmeldeinformationen laufen ab und müssen regelmäßig aktualisiert werden.
    • Wenn die Anmeldeinformationen nicht vor ihrem Ablauf aktualisiert werden, wird die Anmeldung für Benutzer blockiert.

Verwenden Sie diese Methode, wenn Sie die Konfiguration vereinfachen und die Verwaltung von Geheimnissen oder Zertifikaten vermeiden möchten. UiPath empfiehlt diesen Ansatz für die meisten Organisationen.

Wenn Sie eine Microsoft Entra-ID und ein Organisationsadministrator sind

Wenn Sie sowohl ein Microsoft Entra ID-Administrator als auch ein Organisationsadministrator sind, führen Sie die folgenden Schritte aus, um die Integration mithilfe der von UiPath verwalteten Anwendung mit mehreren Mandanten zu konfigurieren:

  1. Wechseln Sie in der Organisation zu Administrator > Sicherheit > Verschlüsselung.
  2. Wählen Sie Kundenseitig verwalteter Schlüssel aus und bestätigen Sie die Auswahl, indem Sie den Namen Ihrer Organisation in das Bestätigungsdialogfeld eingeben.
  3. Wählen Sie Von UiPath verwaltete Anwendung mit mehreren Mandanten (Empfohlen) aus.
  4. Wählen Sie Zustimmung gewähren aus und melden Sie sich dann mit Ihrem Microsoft Entra ID-Konto an. Nachdem Sie Ihre Zustimmung erteilt haben, erstellt UiPath eine Microsoft Entra ID-Anwendung in Azure, die Ihre Organisation darstellt.
  5. Erstellen Sie Ihren Schlüsselverschlüsselungsschlüssel und richten Sie Azure Key Vault ein.
  6. Geben Sie den Azure Key Vault-Schlüssel-URI des Schlüsselverschlüsselungsschlüssels ein.
    • Wenn Sie einen URI für einen versionslosen Schlüssel angeben, verwendet UiPath automatisch die neueste Schlüsselversion (Schlüsselrotation aktiviert).
    • Wenn Sie einen URI für einen versionierten Schlüssel angeben, verschlüsselt UiPath alle Daten mit dieser spezifischen Schlüsselversion.
  7. Wählen Sie Testen und speichern aus , um die Integration zu aktivieren. Wenn ein Fehler auftritt, überprüfen Sie Ihre Anmeldeinformationen und versuchen Sie es erneut.
Wenn Sie nur ein Organisationsadministrator sind

Wenn Sie keine Administratorrechte in Microsoft Entra ID haben, aber ein Organisationsadministrator sind, führen Sie die folgenden Schritte aus, um die Administratorzustimmung anzufordern und die Integration abzuschließen:

  1. Wechseln Sie in der Organisation zu Administrator > Sicherheit > Verschlüsselung.
  2. Wählen Sie Customer managed key aus und bestätigen Sie die Auswahl, indem Sie Ihren Organisationsnamen in das Bestätigungsdialogfeld eingeben.
  3. Wählen Sie Von UiPath verwaltete Anwendung mit mehreren Mandanten (Empfohlen) aus.
  4. Wählen Sie Zustimmung gewähren aus und melden Sie sich dann mit Ihrem Microsoft Entra ID-Konto an. Da Sie keine Microsoft Entra ID-Administratorrechte haben, sollte eine der folgenden Eingabeaufforderungen angezeigt werden:
    1. Genehmigung anfordern, wie in der Microsoft-Dokumentation dargestellt : Administratorgenehmigung anfordern. Nachdem Ihr Microsoft Entra ID-Administrator die Anforderung genehmigt hat, fahren Sie mit dem nächsten Schritt fort.
    2. Erfordert die Administratorgenehmigung, wie in der Microsoft-Dokumentation dargestellt : Bitten Sie Ihren Microsoft Entra ID-Administrator, die folgenden Schritte auszuführen:
      1. Navigieren Sie zu dieser URL , um die Zustimmungsaufforderung für Microsoft Entra ID zu öffnen.
      2. Wählen Sie Zustimmung im Namen Ihrer Organisation und dann Akzeptieren aus.
  5. Nachdem Sie die Bestätigung erhalten haben, dass die Administratorzustimmung erteilt wurde, erstellen Sie Ihren Verschlüsselungsschlüssel und richten Sie Azure Key Vault ein. Kehren Sie dann zu UiPath zurück und wiederholen Sie die Schritte 1 bis 4.
    • Eine erfolgreiche Anmeldung zeigt an, dass die Integration korrekt konfiguriert ist.
    • Wenn die Anmeldung fehlschlägt, bitten Sie Ihren Microsoft Entra ID-Administrator, zu überprüfen, ob die Zustimmung ordnungsgemäß erteilt wurde.
  6. Geben Sie den Azure Key Vault-Schlüssel-URI des Schlüsselverschlüsselungsschlüssels ein.
    • Wenn Sie einen URI für einen versionslosen Schlüssel angeben, ist die automatische Schlüsselrotation aktiviert und Test Cloud verwendet die neueste Schlüsselversion.
    • Wenn Sie einen URI für einen versionierten Schlüssel angeben, verschlüsselt Test Cloud alle Daten mit dieser spezifischen Schlüsselversion.
  7. Wählen Sie Testen und speichern aus , um die Integration zu aktivieren. Wenn ein Fehler auftritt, überprüfen Sie Ihre Anmeldeinformationen und versuchen Sie es erneut.
Manuelles Setup mit benutzerdefinierter Microsoft Entra ID-Anwendungsregistrierung

Wenn Sie es vorziehen, Ihre eigene Microsoft Entra ID-Anwendung zu konfigurieren, anstatt die von UiPath verwaltete Mehrfach-Mandantenanwendung zu verwenden, führen Sie die folgenden Schritte aus. Diese Option erfordert die Verwaltung Ihrer eigenen Anmeldeinformationen und deren Pflege im Laufe der Zeit.

Wichtig:

Anmeldeinformationen, die über die manuelle Einrichtung erstellt wurden, laufen regelmäßig ab. Sie müssen sie vor ihrem Ablauf erneuern, um Dienstunterbrechungen zu vermeiden. Um diesen Betriebsaufwand zu reduzieren, sollten Sie die automatisierte Einrichtung mit der von UiPath verwalteten Entra ID-Anwendung verwenden .

  1. Erstellen Sie die Microsoft Entra ID-App-Registrierung.

    1. Wechseln Sie im Microsoft Entra Admin Center zu App-Registrierungen > Neue Registrierung.
    2. Geben Sie einen Namen Ihrer Wahl ein.
    3. Legen Sie Unterstützte Kontotypen auf Nur Konten in diesem Organisationsverzeichnis fest.
    4. Schließen Sie die Registrierung ab.

  2. Anmeldeinformationen erstellen.

    Gehen Sie in Ihrer App-Registrierung zu Zertifikate und Geheimnisse und wählen Sie eine der folgenden Methoden:

    • So verwenden Sie einen geheimen Clientschlüssel:
      1. Wählen Sie Neuer geheimer Clientschlüssel aus.
      2. Speichern Sie den generierten geheimen Wert. Sie werden sie später benötigen.
    • So verwenden Sie ein Zertifikat:
      1. Navigieren Sie in einer neuen Browser-Registerkarte zu Azure Key Vault.
      2. Erstellen eines Zertifikats:
        • Betreff: CN=uipath.com
        • Inhaltstyp: PEM
        • Maximale Größe: weniger als 10 KB
      3. Laden Sie das Zertifikat im Format .pem herunter.
      4. Öffnen Sie die Datei .pem in einem Texteditor. Es sollte die folgenden Abschnitte enthalten:
        • -----BEGIN PRIVATE KEY----- / -----END PRIVATE KEY-----
        • -----BEGIN CERTIFICATE----- / -----END CERTIFICATE-----
      5. Erstellen Sie eine neue .pem -Datei, die nur die Zeilen zwischen BEGIN CERTIFICATE und END CERTIFICATE enthält.
      6. Laden Sie im Abschnitt Zertifikate und Geheimschlüssel Ihrer App-Registrierung diese neue .pem -Datei hoch.
      7. Behalten Sie eine Kopie des Zertifikats bei. Sie benötigen sie später, um die Integration abzuschließen.
      Wichtig:

      Die meisten Anmeldeinformationstypen laufen irgendwann ab. Um Probleme bei der Benutzeranmeldung zu vermeiden, aktualisieren Sie die Konfiguration, bevor die Anmeldeinformationen ablaufen. Um diesen Mehraufwand zu vermeiden, verwenden Sie die automatisierte Einrichtung mit der von UiPath verwalteten Microsoft Entra ID-Anwendung.

  3. Sammeln Sie Integrationsdetails.

    Sammeln Sie die folgenden Werte und stellen Sie sie dem Organisationsadministrator zur Verfügung:

    • Anwendungs-ID (Client).
    • Verzeichnis-ID (Mandant)
    • Clientgeheimnis oder -zertifikat

  4. Erstellen Sie Ihren Schlüsselverschlüsselungsschlüssel und richten Sie Azure Key Vault ein.

    Bereiten Sie Ihren Verschlüsselungsschlüssel vor und notieren Sie sich den Azure Key Vault-Schlüsselbezeichner. Wählen Sie eines der folgenden Formate aus:

    • Versionsloser Schlüssel URI: Aktiviert die automatische Schlüsselrotation. UiPath verwendet immer die neueste Schlüsselversion.
    • Versionierter Schlüssel-URI: Sperrt die Verschlüsselung auf eine bestimmte Schlüsselversion. UiPath verschlüsselt alle Daten mit dieser Version.

  5. Aktivieren Sie die Integration in der Organisation.

    1. Melden Sie sich bei UiPath als Administrator an.
    2. Gehen Sie zu Administrator > Sicherheit > Verschlüsselung.
    3. Wählen Sie Kundenseitig verwalteter Schlüssel aus und bestätigen Sie die Auswahl, indem Sie den Namen Ihrer Organisation eingeben.
    4. Wählen Sie Benutzerdefinierte Anwendungsregistrierungs-ID und geheimer Schlüssel aus.
    5. Geben Sie die folgenden Details ein, die zuvor gesammelt wurden:
      • Verzeichnis-ID (Mandant)
      • Anwendungs-ID (Client).
      • Clientgeheimnis oder -zertifikat
      • Azure Key Vault-Schlüsselbezeichner
    6. Wählen Sie Testen und speichern aus , um die Integration zu aktivieren.

Wenn Sie eine Fehlermeldung erhalten, überprüfen Sie Ihre Anmeldeinformationen und versuchen Sie es erneut.

Erstellen des Schlüsselverschlüsselungsschlüssels und Einrichten von Azure Key Vault

Bevor Sie beginnen, lesen Sie die folgenden Anforderungen und Empfehlungen für die Verwendung von Azure Key Vault mit Test Cloud.

  • Sie können den Key Vault in jeder Region erstellen, aber wir empfehlen, dieselbe Region wie Ihre Test Cloud-Organisation zu verwenden.
  • UiPath erfordert Zugriff auf den Key Vault, der für den kundenseitig verwalteten Schlüssel verwendet wird. Um den Scope zu begrenzen, empfehlen wir, einen eigenen Tresor für diesen Zweck zu erstellen.
  • Die Funktion funktioniert mit jeder Schlüsselgröße, die von Azure Key Vault unterstützt wird.
  • Um kryptografische Vorgänge auszuführen, müssen Sie die Berechtigungen Schlüssel packen und Schlüssel entpacken erteilen. Diese Berechtigungen sind unabhängig davon erforderlich, ob Sie Azure RBAC- oder Key Vault-Zugriffsrichtlinien verwenden, um den Zugriff zu verwalten.

Führen Sie die folgenden Schritte aus, um einen Schlüsselverschlüsselungsschlüssel zu erstellen und Azure Key Vault zu konfigurieren:

  1. Wechseln Sie im Microsoft Azure-Portal zu Azure Key Vault und wählen Sie entweder einen vorhandenen Vault aus oder erstellen Sie einen neuen.

  2. Erstellen Sie einen neuen Schlüssel und kopieren Sie die Schlüssel-URI. Sie benötigen den URI, um ihn in Test Cloud zu konfigurieren.

    Wählen Sie eine der folgenden Optionen für den Schlüssel-URI:

    • Versionsloser Schlüssel URI: Aktiviert die automatische Schlüsselrotation. Test Cloud verwendet immer die neueste Version des Schlüssels.
    • Versionierter Schlüssel-URI: Sperrt die Verschlüsselung auf eine bestimmte Schlüsselversion. Test Cloud verschlüsselt alle Daten mit dieser Version.

  3. Gewähren Sie Zugriff auf die zuvor erstellte Microsoft Entra ID-Anwendung.

    Verwenden Sie entweder Azure RBAC- oder Key Vault-Zugriffsrichtlinien, um die erforderlichen Berechtigungen zu gewähren.

  4. Kehren Sie zu Test Cloud zurück, um die Konfiguration abzuschließen.

Bearbeiten des kundenverwalteten Schlüssels

Sobald Sie diese Option aktivieren, können Sie auch alle Details im Zusammenhang mit der Verbindung bearbeiten. Wählen Sie dazu unter der Option Kundenseitig verwalteter Schlüssel die Option Verbindung bearbeiten aus und ändern Sie alle Informationen nach Bedarf.

Schlüsselrotation

Es empfiehlt sich, Ihre Schlüssel routinemäßig zu rotieren, um den kontinuierlichen Schutz Ihrer verschlüsselten Daten vor möglichen Sicherheitsverletzungen zu gewährleisten.

Manuelle Schlüsselrotation

Bei der manuellen Schlüsselrotation muss die gesamte CMK-Konfiguration geändert werden. Sie können die gesamte Konfiguration ändern, es wird jedoch empfohlen, nur den Schlüsselbezeichner oder die Schlüsselversion zu ändern, um grundlegende Änderungen zu minimieren.

Führen Sie die folgenden Schritte aus, um die manuelle Schlüsselrotation durchzuführen:

  1. Erstellen Sie einen neuen Schlüssel in Azure Key Vault, den Sie zuvor konfiguriert haben.
  2. Wechseln Sie in Ihrer Organisation zu Admin > Sicherheit.
  3. Wählen Sie unter Kundenseitig verwalteter Schlüssel die Option Verbindung bearbeiten aus.
  4. Ersetzen Sie den vorhandenen Schlüsselbezeichner durch den neuen Schlüssel-URI.
    Hinweis:

    Die Schlüsselrotation funktioniert nur, wenn sowohl der alte als auch der neue Schlüssel gültig bleiben.

Automatische Schlüsselrotation

Die automatische Schlüsselrotation ermöglicht es UiPath, die neueste Version Ihres Schlüssels automatisch zu verwenden, basierend auf der in Azure Key Vault definierten Rotationsrichtlinie. Dieser Ansatz reduziert den manuellen Aufwand und verbessert die Sicherheit.

Führen Sie die folgenden Schritte aus, um die automatische Schlüsselrotation zu aktivieren:

  1. Erstellen Sie in Azure Key Vault eine Rotationsrichtlinie für Ihren Schlüssel.
  2. Wechseln Sie in Ihrer Organisation zur Konfiguration des kundenseitig verwalteten Schlüssels und geben Sie den Bezeichner des versionierten Schlüssels an . Konfigurationsschritte finden Sie unter Aktivieren des kundenseitig verwalteten Schlüssels.
  3. Nach jeder Schlüsselrotation in Azure Key Vault ruft UiPath automatisch die neueste Schlüsselversion ab und wendet sie an. UiPath sucht automatisch jede Stunde nach neuen Schlüsselversionen. Wenn eine neue Version verfügbar wird, wird sie abgerufen und angewendet, ohne dass manuelle Aktualisierungen erforderlich sind.
    Wichtig:
    • Deaktivieren oder ändern Sie keine Zugriffsberechtigungen für ältere Schlüsselversionen. Sowohl die vorherige als auch die aktuelle Schlüsselversion müssen zugänglich bleiben, um während des Rotationsprozesses einen ununterbrochenen Zugriff auf die verschlüsselten Daten aufrechtzuerhalten.
    • Sie können sowohl manuelle Änderungen an der kundenseitig verwalteten Schlüsselkonfiguration anzeigen, z. B. Aktualisierungen des Schlüsselbezeichners, als auch automatische Schlüsselrotationsereignisse im Abschnitt Prüfungsprotokolle unter Administrator in der Organisation .

Lizenz-Downgrade

Wenn Ihr Enterprise- Plan abläuft, werden Sie je nach Cloud-Plattform automatisch auf den Free -Plan herabgestuft oder Sie werden in einen Nur-Anzeigen-Status herabgestuft. Folgendes können Sie in Bezug auf die Datenverschlüsselung erwarten:

  • The Customer managed key option is still enabled for you, but it is greyed out in the interface. As such, you can no longer edit its values, such as changing key vault details.
  • You can switch to UiPath managed key (Default), but you will not be able to revert to Customer managed key until your plan is upgraded to Enterprise.

Best Practices für die Verwendung von kundenseitig verwalteten Schlüsseln

Bevor Sie mit der Verwendung von kundenseitig verwalteten Schlüsseln beginnen, müssen Sie einige wichtige Details beachten:

  • Sobald Sie im Rahmen der Schlüsselrotation einen neuen Schlüssel verwenden, kann der alte nicht mehr für den Zugriff und die Verschlüsselung von Daten verwendet werden. Daher ist es wichtig, alte Schlüssel im Schlüsseltresor aufzubewahren, d. h. sie zu deaktivieren, anstatt sie zu löschen. Dies ist besonders wichtig in Notfallwiederherstellungsszenarien, in denen UiPath möglicherweise zu einer Sicherung einer älteren Version der Datenbank zurückkehren muss. Wenn diese Sicherung einen Ihrer alten Schlüssel verwendet, können Sie zu diesem wechseln, um den Datenzugriff wiederherzustellen. Wenn Sie einen Schlüssel entfernen möchten, ist es wichtig, dass Sie die Funktion zum vorläufigen Löschen verwenden.

  • Wenn Sie Ihren Schlüssel verlieren, können Sie keine Verbindung mehr zum Tresor herstellen. Sie sollten daher gemäß den Sicherheitsrichtlinien Ihrer Organisation immer eine Sicherung des Schlüssels im Azure-Portal oder in einem von Azure getrennten sicheren Schlüsseltresor erstellen.

  • Wenn Sie Single Sign-On für den Zugriff auf UiPath-Dienste nutzen, können Sie erwägen, ein lokales Konto zu erstellen, das als Break-Glass-Konto fungiert. Da die Informationen des externen Identitätsanbieters in den Daten enthalten sind, die durch den kundenseitig verwalteten Schlüssel verschlüsselt werden, ist kein Zugriff auf SSO-Konten möglich, sollte Ihr Schlüsseltresor nicht mehr erreichbar sein.

  • Aus Sicherheitsgründen sollten Benutzer, die nicht über Administratorrechte auf oberster Ebene verfügen, keine Bereinigungsrechte für den kundenseitig verwalteten Schlüssel haben.

  • Wenn Sie nicht mehr möchten, dass UiPath auf Ihre Daten zugreifen kann, können Sie den Schlüssel aus dem Azure Key Vault deaktivieren, wie in der folgenden Abbildung gezeigt:

Erfahren Sie mehr über Azure Key Vault- Wiederherstellungsaktionen.

Kundenseitig verwaltete Schlüssel für Test Cloud Dedicated

Sie können Ihren eigenen Verschlüsselungsschlüssel verwenden, um Daten zu schützen, die in von UiPath verwalteten Azure-Ressourcen in Test Cloud Dedicated-Umgebungen gespeichert sind. Dadurch haben Sie volle Kontrolle über Schlüsselrotation, Zugriffsberechtigungen und Compliance-Anforderungen.

UiPath unterstützt mandantenübergreifende Konfigurationen mit kundenseitig verwalteten Schlüsseln (CMK). Ihr Schlüssel befindet sich in Ihrem eigenen Azure Key Vault, während die verschlüsselten Ressourcen im Mandanten von UiPath verbleiben.

Warnung:

Das Aktivieren von kundenseitig verwalteten Schlüsseln wirkt sich darauf aus, wie UiPath auf Ihre verschlüsselten Daten zugreift. Wenn der Schlüssel oder seine Zugriffskonfiguration nicht mehr verfügbar ist, verlieren Sie möglicherweise den Zugriff auf Ihre Daten.

Unterstützte Ressourcen

Sie können kundenseitig verwaltete Schlüssel verwenden, um die folgenden von UiPath verwalteten Ressourcen zu verschlüsseln:

  • Azure Storage-Konten
  • Azure SQL-Server
  • Azure-Datenträger
  • Snowflake
    Hinweis:

    Azure Databricks und Azure Event Hubs unterstützen keine mandantenübergreifenden kundenseitig verwalteten Schlüssel (CMK). Diese Dienste erfordern, dass sich der Key Vault im selben Microsoft Entra-Mandanten wie die zugehörigen Azure-Ressourcen befindet und kann daher nicht mit mandantenübergreifendem CMK verschlüsselt werden. Diese Dienste werden intern von Insights verwendet, um die Telemetrie und Analyseverarbeitung zu unterstützen:

    • Azure Event Hubs: Speichert Streaming-Telemetrie, wie Roboterprotokolle und Ausführungsereignisse, Auftragsausführungsdaten, Warteschlangenelementereignisse, Echtzeitüberwachung. Daten in Event Hubs sind temporär und werden nicht langfristig gespeichert.
    • Azure Databricks: Verarbeitet und speichert analytische Daten, einschließlich Echtzeitüberwachungsdaten, historische Aggregationen und verarbeitete Roboterausführungsmetriken. Diese Dienste verwenden von Microsoft verwaltete Schlüssel für die Verschlüsselung im Ruhezustand und können nicht mit kundenseitig verwalteten Schlüsseln konfiguriert werden.

Architektur

Wenn Sie kundenseitig verwaltete Schlüssel in einer dedizierten Umgebung aktivieren, verwendet UiPath ein mandantenübergreifendes Verschlüsselungsmodell mit Verbundidentität. Dadurch können Verschlüsselungsschlüssel vollständig von Ihnen kontrolliert werden, obwohl die Daten in von UiPath verwalteten Azure-Diensten gespeichert werden.

Die Architektur basiert auf dem Azure-Muster für die sichere Datenverschlüsselung im Ruhezustand mit CMK und der Verbundidentität.

Hauptkomponenten der Architektur der Funktion sind:

  1. UiPath-Mandant: Hostet die Azure-Ressourcen, die eine Verschlüsselung erfordern.

  2. Ihr Mandant: Hostet den Azure Key Vault und den kundenseitig verwalteten Schlüssel.

  3. Anwendung mit mehreren Mandanten: Von UiPath registriert und in Ihrem Mandanten installiert, um einen sicheren mandantenübergreifenden Zugriff zu aktivieren.

  4. Verwaltete Identität: Der UiPath-App zugewiesen, wird zur Authentifizierung bei Ihrem Key Vault verwendet.

  5. Verbundene Anmeldeinformationen: Erlauben Sie der UiPath-App, die verwaltete Identität zu verwenden, ohne geheime Schlüssel zu speichern.

  6. Azure Key Vault: Speichert Ihren kundenseitig verwalteten Schlüssel.

    Der Verschlüsselungsflow ist wie folgt:

  7. Sie erstellen ein Support-Ticket, um die Registrierungs-ID und den Namen der Anwendung zu erhalten.

  8. UiPath registriert eine Anwendung mit mehreren Mandanten und fügt eine vom Benutzer zugewiesene verwaltete Identität an.

  9. Sie installieren die Anwendung in Ihrem Azure-Mandanten.

  10. Sie erstellen den Schlüssel in Ihrem Key Vault und geben die Schlüssel-URI (mit Version) an UiPath weiter.

  11. Sie weisen der Anwendung die folgenden Berechtigungen über Azure RBAC zu: get, wrapKey, unwrapKey.

  12. UiPath konfiguriert die relevanten Azure-Ressourcen so, dass der Schlüssel für die Verschlüsselung und Entschlüsselung verwendet wird.

UiPath speichert niemals Ihren Schlüssel. Alle Vorgänge werden sicher mit Azure-APIs und Ihren eigenen Zugriffskontrollen ausgeführt.

Voraussetzungen

Bevor Sie kundenseitig verwaltete Schlüssel aktivieren, stellen Sie sicher, dass Sie die folgenden Anforderungen erfüllen:

  • Azure Key Vault -Anforderungen:
    • Vorläufiges Löschen und Bereinigungsschutz sind aktiviert.
    • Ressourcensperren werden für den Key Vault und die Schlüssel konfiguriert.
    • Schlüssel muss vom Typ RSA 2048-Bit sein. Diese Konfigurationen verhindern ein versehentliches Löschen und gewährleisten die Wiederherstellbarkeit.
  • Berechtigungen und Konfiguration:
    • Erstellen Sie ein Support-Ticket, um UiPath eine Registrierungs-ID und einen Namen für eine Anwendung mit mehreren Mandanten anzufordern.
    • Sie müssen den Schlüssel in Ihrem Mandanten erstellen und den Zugriff darauf für die Anwendung von UiPath autorisieren.
    • Die Schlüsselrotation wird unterstützt, wenn für Ihren Schlüssel die Versionsverwaltung aktiviert ist.

Schritte

  1. Erstellen oder wählen Sie einen Azure Key Vault in Ihrem Azure-Mandanten aus.

  2. Konfigurieren Sie den Key Vault und den Verschlüsselungsschlüssel gemäß den folgenden Anforderungen:

    • Aktivieren Sie vorläufiges Löschen und Bereinigungsschutz. Stellt sicher, dass gelöschte Schlüssel oder Vaults bis zu 90 Tage wiederhergestellt werden können.
    • Wenden Sie eine Ressourcensperre sowohl auf den Key Vault als auch auf den Schlüssel an. Verhindert versehentliches Löschen oder Änderungen.
    • Wählen Sie RSA 2048-Bit als Schlüsseltyp aus.
    • Stellen Sie sicher, dass sich der Key Vault in der gleichen Region wie Ihre Azure Disk-Ressourcen befindet (erforderlich für die Azure Disk-Verschlüsselung).
    • Wählen Sie unter Netzwerk die Option Vertrauenswürdige Microsoft-Dienste zur Umgehung dieser Firewall zulassen aus. Ausführliche Schritte finden Sie unter Konfigurieren von mandantenübergreifenden kundenseitig verwalteten Schlüsseln für ein neues Speicherkonto – Azure Storage. .

  3. Installieren Sie die UiPath-Anwendung mit mehreren Mandanten in Ihrem Azure-Mandanten mithilfe der vom Supportteam bereitgestellten Informationen.

  4. Weisen Sie die Azure RBAC-Rolle Key Vault Krypto Service Encryption User der UiPath-Anwendung zu, damit sie auf den Key Vault zugreifen kann.

    Alternativ können Sie der UiPath-Anwendung eine Key Vault-Zugriffsrichtlinie mit den folgenden Berechtigungen gewähren: get, wrapKey und unwrapKey.

  5. Teilen Sie den Schlüssel-URI mit UiPath über das zuvor erstellte Support-Ticket.

    Hinweis:

    Sie können einen einzelnen Schlüssel für alle unterstützten Ressourcen oder separate Schlüssel für jede Ressource verwenden, z. B. SQL, Speicher, Datenträger, Snowflake. Wenn Sie unterschiedliche Schlüssel verwenden möchten, geben Sie UiPath die entsprechenden Schlüssel-URIs über Ihr Support-Ticket an.

  6. Mithilfe der von Ihnen angegebenen Schlüssel-URIs konfiguriert UiPath die Verschlüsselung auf Ihren Azure-basierten Ressourcen und wendet kundenseitig verwaltete Schlüssel (CMK) auf unterstützte Komponenten an, einschließlich Speicher-, SQL-, Datenträger- und Snowflake-Ressourcen. Wenn Sie CMK auf Snowflake-Ressourcen anwenden möchten, müssen Sie die folgenden zusätzlichen Schritte ausführen:

    1. Führen Sie die Schritte 1 bis 2.5 in diesem Snowflake-Community-Handbuch aus .
    2. Stellen Sie die Ausgabe aus Schritt 2.5 über Ihr Support-Ticket zu UiPath bereit.
    3. UiPath führt die in Schritt 2.5 und 3.1 erwähnte Tri-Secret Secure-Selbstregistrierung mit Azure Key Vault durch.
    4. UiPath gibt den Azure-Zustimmungslink und den Snowflake-Prinzip frei.
    5. Setzen Sie das hier beschriebene Snowflake-Vorgang fort, beginnend mit Schritt 3.
    6. Wenn Sie in Schritt 4 öffentliche Zugriffskontrollen für den Key Vault benötigen (über bestimmte IPs oder virtuelle Netzwerke), wenden Sie sich an UiPath, um die Subnetzdetails zu erhalten.
    7. UiPath schließt Schritt 4.5 ab.

  7. Benachrichtigen, wenn die Verschlüsselung mit CMK aktiv ist.

Vermeidung von Datenverlusten

Um einen versehentlichen Datenverlust zu vermeiden, empfiehlt UiPath:

  • Schlüsselrotation:
    • Azure-Dienste prüfen einmal pro Tag auf eine neue Schlüsselversion. Das Ändern der Schlüsselversion verursacht keine Ausfallzeit. Weitere Informationen finden Sie unter Kundenseitig verwaltete Schlüssel für die Kontoverschlüsselung – Azure Storage.
    • Warten Sie nach der Rotation 24 Stunden, bevor Sie die vorherige Version deaktivieren.
    • Ältere Sicherungen werden nicht erneut verschlüsselt, sodass alte Schlüsselversionen für Wiederherstellungen verfügbar sind.
  • Vorübergehender Widerruf:
    • Sie können einen Schlüssel deaktivieren, ohne ihn zu löschen.
    • Dies blockiert den Zugriff auf verschlüsselte Ressourcen, wirkt sich jedoch nicht auf den Verschlüsselungsstatus aus.
    • Der Zugriff wird wiederhergestellt, wenn der Schlüssel erneut aktiviert wird.
    • Wenn diese Option deaktiviert ist, geben Vorgänge den Fehler „403 Forbidden“ zurück.

In der folgenden Tabelle finden Sie Szenarien, in denen Sie Ihre Daten verlieren könnten, und Möglichkeiten, das Problem entweder zu verhindern oder zu verringern:

Tabelle 1. Mögliche Datenverlustszenarien

ProblemAuswirkungenVorbeugungSchadensbegrenzung
AKV-Ressourcensperre entferntEs ist möglich, dass AKV/Schlüssel gelöscht wird. Wenn sie gelöscht werden, sind Ressourcen innerhalb von etwa 10 Minuten nicht mehr zugänglich.Der vorläufige Lösch- und Bereinigungsschutz stellt sicher, dass der AKV/der Schlüssel innerhalb von 90 Tagen wiederhergestellt werden kann.Stellen Sie AKV oder Schlüssel innerhalb von 90 Tagen wieder her.
AKV/Aktueller Schlüssel gelöschtRessourcen sind innerhalb von etwa 10 Minuten nicht mehr zugänglich.Der vorläufige Lösch- und Bereinigungsschutz stellt sicher, dass der AKV/der Schlüssel innerhalb von 90 Tagen wiederhergestellt werden kann.Stellen Sie AKV oder Schlüssel innerhalb von 90 Tagen wieder her.
Vorherige Schlüsselversion gelöschtUnterbricht die SicherungswiederherstellungDer vorläufige Lösch- und Bereinigungsschutz stellt sicher, dass der AKV/der Schlüssel innerhalb von 90 Tagen wiederhergestellt werden kann.Stellen Sie AKV oder Schlüssel innerhalb von 90 Tagen wieder her.
Schlüssel kompromittiertGefährdete DatenWenden Sie Netzwerkschutz auf AKV an.Keine Angabe
Zugriff widerrufen (RBAC-/Firewalländerung) Zum Beispiel: Widerrufen der Berechtigungen get, wrapKey, unwrapKey des Schlüsseltresors vom Server oder Ändern der Firewallregeln des Schlüsseltresors.Ressourcen sind innerhalb von etwa 10 Minuten nicht mehr zugänglich.Verwenden Sie Ressourcensperren.Stellen Sie Berechtigungen wieder her
Azure Key Vault-AusfallRessourcen sind innerhalb von etwa 10 Minuten nicht mehr zugänglich.Wir stellen keine Azure Key Vaults in Regionen bereit, in denen ein zwischenregionsübergreifendes Failover nicht unterstützt wird. Weitere Informationen finden Sie unter Zuverlässigkeit in Azure Key Vault.Keine Aktion erforderlich

War diese Seite hilfreich?

Verbinden

Benötigen Sie Hilfe? Support

Möchten Sie lernen? UiPath Academy

Haben Sie Fragen? UiPath-Forum

Auf dem neuesten Stand bleiben