automation-cloud
latest
false
重要 :
请注意此内容已使用机器翻译进行了部分本地化。 新发布内容的本地化可能需要 1-2 周的时间才能完成。
UiPath logo, featuring letters U and I in white

Automation Cloud admin guide

上次更新日期 2025年1月24日

具有客户管理的密钥的 ALE

此功能可用于企业版许可计划的所有层级,包括标准层级。

警告:

启用此功能会对数据访问产生严重影响。如果出现关键问题,您可能会失去对数据的访问权限。

Check the following table for some common problematic scenarios and their solutions.

场景

解决方案

用于访问 Azure 密钥保险库 (AKV) 的凭据已过期或已删除。

如果您仍然可以使用电子邮件和密码(非 SSO)登录…

…如果您 组织管理员,则可以在组织“ 管理员 ”页面的“ 加密 ”部分更新您的凭据。

…如果您 不是 组织管理员,可以通过支持工单申请提升为管理员角色;然后,您可以在组织“ 管理员 ”页面的“ 加密 ”部分更新您的凭据。

如果您无法再登录,请通过支持工单提供您的组织 ID,我们可以邀请您,并将您提升为管理员。 然后,您可以在组织“ 管理员 ”页面的“ 加密 ”部分更新凭据。

重新获得登录访问权限后,我们建议您创建新的 AKV 密钥和凭据集,然后使用此新信息配置客户管理的密钥,从而确保其他人无权访问您的凭据。

您的 AKV 密钥已过期。

您的客户管理的密钥仍然有效,但我们建议您切换到新密钥。

您的 AKV 密钥已删除。

您可以在保留期内在 Azure 门户还原 AKV 密钥。

系统已清除您的 AKV 密钥,但存有其备份。

您可以从 Azure 门户备份还原密钥。默认情况下,还原的密钥具有与原始密钥相同的 ID,不应更改。

系统已清除您的 AKV 密钥,且未存有备份。

警告:

此场景没有解决方案。在这种情况下,您的 UiPath™ 客户数据将丢失。

概述

除了存储级别的标准 TDE 外,某些服务还采用隐式应用程序级加密 (ALE)。 这意味着数据在存储之前会在应用程序层进行加密,从而提供了额外的安全层。

此外,某些服务/资源提供可选的、用户驱动的加密,称为可选(选择加入)ALE。您可借此选项决定是否应为这些服务/资源使用 ALE。有关服务或资源的列表,以及与其相关的加密类型,请参阅我们文档中的加密数据页面。

对于应用 ale 的服务,无论是隐式的还是可选的,您都可以选择由谁处理加密密钥。 可以由 UiPath 或您自己管理。 为协助执行此操作, Azure 密钥保险库支持密码版本控制,使您可以生成密码,以在组织级别配置密钥时使用。

启用客户管理的密钥后,以前备份的数据不会重新加密,并且系统会将任何现有备份在过期后都将被删除。使用此选项仅加密新数据。

客户管理密钥的说明

在客户管理的密钥架构中,UiPath 产品或平台服务(例如 UiPath Orchestrator 或 UiPath 身份服务)通常会在存储敏感的客户数据之前对其进行加密。当需要访问数据时,产品或服务会调用您的密钥管理基础架构以获取解密密钥。这使您可以控制 UiPath 中的加密数据,因为您可以拒绝返回密钥。

此流程涉及以下组件:

  • “密钥管理服务 (KMS)”- 这是 UiPath 的内部工具,专为密钥加密而开发。
  • “数据加密密钥(DEK 或 KMS DEK)”- 用于加密纯文本数据。通常,DEK 由 KMS 或 UiPath 的内部密钥保管库生成,并且永远不会以明文形式存储在任何位置。
  • 密钥加密密钥 (KEK) - 用于加密 DEK。加密密钥的过程称为密钥封装。通常,KEK 由您生成,存储在您的密钥保险库中,并且构成由密钥管理服务控制的实际客户管理密钥。
  • 加密数据加密密钥 (EDEK) - 这是由 KEK 封装的 DEK。通常,此密钥由服务提供商(例如 Orchestrator)存储;因此,每当服务需要访问加密数据时,该服务都会调用客户的密钥管理服务,以获取解密 EDEK 所需的 KEK,并生成用于解密数据的 DEK。
  • UiPath 内部密钥 - 用于加密数据列,包括 CMK 和 KMS DEK。

下图说明了启用客户管理的密钥所涉及的各种组件协同工作的方式:



启用客户管理的密钥

警告:

启用此功能会对数据访问产生严重影响。如果出现关键问题,您可能会失去对数据的访问权限。

To create the necessary credentials and enable customer-managed keys, take the following steps:

  1. 在 Azure 密钥保险库中创建所需的凭据
    备注:
    • 您可以在任意区域创建密钥保险库,但我们建议它与您的组织位于同一区域。
    • 对于客户管理的密钥,UiPath 已获权限访问该密钥的密钥保险库,因此我们建议您创建一个专门用于此目的的保险库。
    • 此功能支持可在密钥保险库中配置的任何密钥大小。
    • To perform Cryptographic Operations, you must configure Wrap Key and Unwrap Key permissions. These permissions are mandatory regardless of whether you use Azure RBAC (Role-Based Access Control) or key vault access policies to control access to Azure resources.
  2. 以组织管理员身份登录 Automation Cloud。
  3. Go to Admin, select the organization name in the left panel, then select Security.
    系统会显示“安全设置”页面。


  4. 在“加密”部分的“加密类型”下,选择“客户管理的密钥”。
    系统将显示“客户管理的密钥配置”窗口。
    docs image
  5. Fill in the following required details, as defined in the Azure portal:
    • Azure directory (tenant) ID

    • Azure application (client) ID, which is created as part of the app registration in Azure)

    • Client secret, which is created as part of the app registration in Azure, or Certificate, which is created in the Azure Key Vault and uploaded during the app registration in Azure

      If you opt for Certificate, ensure that it is set up correctly as described on Setting up an Azure Key Vault certificate.
    • Key identifier of the key to be used as the customer-managed key

      Important: Make sure you select the Wrap key and Unwrap key options to allow using this item as a customer-managed key.
  6. Select Test and save.
    系统将显示一条确认消息,通知您已配置自己的加密密钥。


    如果您收到错误消息,请检查您的凭据,然后重试。
备注:

新的客户管理的密钥可能需要在创建后 15 分钟才能传播。这是因为出于性能原因,我们的内部缓存会阻止重复传播相同的密钥。

使用 Orchestrator 后,外部密钥检索的缓存周期为一小时;更重要的是,内部使用的缓存周期还有另外 15 分钟。

为 UiPath 设置 Azure 密钥保险库证书

This section outlines the high-level steps for configuration with a certificate. You can also use a client secret. For more details about setting up certificates, check setting and retrieving a certificate from Azure Key Vault in the Microsoft documentation. Follow these high-level steps to set up a certificate:

  1. 登录到 Azure 密钥保险库,然后导航至“证书”部分。

  2. Create a certificate with the Subject as CN=uipath.com and Content Type as PEM .
    docs image
  3. After creation, download the certificate in PFX/PEM format.

  4. 使用文本编辑器打开.pem文件。 它应包含两个部分: BEGIN PRIVATE KEY/END PRIVATE KEYBEGIN CERTIFICATE/END CERTIFICATE
  5. 创建一个新的.pem文件,仅包含BEGIN CERTIFICATEEND CERTIFICATE.之间的行。
  6. 在 Azure 门户中,找到“应用注册”中的“证书和密码”选项卡,然后上传新的.pem文件。
  7. As part of the Automation CloudTM configuration, you need to add the entire content of the downloaded .pem certificate from Azure Key Vault in the Client secret or certificate field.
    备注:

    The maximum permitted size for certificates is 10KB.

编辑客户管理的密钥

Once you enable this option, you can also edit any details related to the connection. To that end, select Edit connection under the Customer managed key option, and change any information as needed.

密钥轮换

定期轮换密钥,以确保持续保护加密数据免受任何潜在的破坏,这是一种很好的做法。

可以在 Azure 密钥保险库中配置自动轮换,但您仍必须手动更新Automation Cloud TM组织的客户管理的密钥信息:

  1. 在当前的 Azure 密钥保险库或新保险库中创建新密钥
  2. 返回到 Automation Cloud TM 组织的“ 安全设置” 页面。
  3. Select Edit connection under Customer managed key, then add the details for the new key you created.

仅当旧密钥和新密钥仍然有效时,密钥轮换才有效。

Key rotation audit: You can notice any changes to customer managed keys in the Audit page in Orchestrator, at the tenant level.

许可降级

如果您的企业版计划已过期,系统会自动将您的计划降级为免费版计划。在数据加密方面,您可以拥有以下功能:

  • “客户托管的密钥”选项仍处于启用状态,但在界面中显示为灰色。因此,您无法再编辑其值,例如更改密钥保险库详细信息。
  • 您可以切换到“UiPath 管理的密钥(默认)”,但在将计划升级到企业版之前,您将无法选择还原为“客户管理的密钥”

使用客户管理密钥的最佳实践

在开始使用客户管理的密钥之前,请注意以下重要的详细信息:

  • 作为密钥轮换流程的一部分,开始使用新密钥后,您将无法再使用旧密钥访问和加密数据。因此,务必将任何旧密钥保留在密钥保险库中,即禁用它们而非删除它们。UiPath 可能需要在灾难恢复场景中恢复到旧版本数据库的备份,因此该操作尤其重要。如果完成该备份时使用的是您的某个旧密钥,则您可以轮换到该备份以重新获得数据访问权限。

    如果选择删除密钥,请务必使用“软删除”功能。

  • 如果您丢失了密钥,则无法再连接到保险库。因此,您应始终根据组织的安全策略,在 Azure 门户或独立于 Azure 的安全密钥保险库中创建密钥备份。
  • 如果您要利用单点登录来访问 UiPath 服务,则可以考虑创建一个本地帐户以用作紧急情况帐户。 由于外部身份提供程序信息包含在由客户管理的密钥所加密的数据中,因此如果无法访问您的密钥保管库,便也无法访问 SSO 帐户。
  • 出于安全考虑,未拥有顶级管理员权限的用户不应拥有清除客户管理密钥的权限。
  • If you no longer want UiPath to have access to your data, you can disable the key from the Azure Key Vault, as shown in the following image:



    详细了解 Azure 密钥保险库的恢复操作

此页面有帮助吗?

获取您需要的帮助
了解 RPA - 自动化课程
UiPath Community 论坛
Uipath Logo White
信任与安全
© 2005-2025 UiPath。保留所有权利。