Automation Cloud 管理员指南

客户管理的密钥

link

• Flex 许可：此功能适用于标准和高级平台计划。
• Unified Pricing许可：此功能仅适用于企业版平台计划。
  警告：

  启用此功能会对数据访问产生严重影响。如果出现关键问题，您可能会失去对数据的访问权限。

概述​

客户管理密钥的说明​

• “密钥管理服务 (KMS)”- 这是 UiPath 的内部工具，专为密钥加密而开发。
• “数据加密密钥（DEK 或 KMS DEK）”- 用于加密纯文本数据。通常，DEK 由 KMS 或 UiPath 的内部密钥保管库生成，并且永远不会以明文形式存储在任何位置。
• 密钥加密密钥 (KEK) - 用于加密 DEK。加密密钥的过程称为密钥封装。通常，KEK 由您生成，存储在您的密钥保险库中，并且构成由密钥管理服务控制的实际客户管理密钥。
• 加密数据加密密钥 (EDEK) - 这是由 KEK 封装的 DEK。通常，此密钥由服务提供商（例如 Orchestrator）存储；因此，每当服务需要访问加密数据时，该服务都会调用客户的密钥管理服务，以获取解密 EDEK 所需的 KEK，并生成用于解密数据的 DEK。
• UiPath 内部密钥 - 用于加密数据列，包括 CMK 和 KMS DEK。

启用客户管理的密钥​

• （推荐方案）自动设置：通过使用 UiPath 托管的 Microsoft Entra ID 应用程序（多租户模型），可获得以下优势：
  • 没有要管理的密码或证书。
  • 设置快速可靠。
  • UiPath 为您维护 Microsoft Entra ID 申请。
• 通过自定义 Microsoft Entra ID 应用程序注册进行手动设置：使用您自己的 Microsoft Entra ID 应用程序并手动管理其配置，但要注意以下事项：
  • 您必须创建和管理应用程序凭据。
  • 凭据会过期，需要定期更新。
  • 如果凭据未在过期前更新，系统将阻止用户登录。

使用 UiPath 管理的 Microsoft Entra ID 应用程序进行自动化设置（推荐）​

如果您同时是 Microsoft Entra ID 管理员和组织管理员​

1. 在组织中，前往管理员 > 安全 > 加密。
2. 选择客户托管密钥，并通过在确认对话框中输入您的组织名称来确认选择。
3. 选择“UiPath 托管的多租户应用程序（推荐）” 。
4. 选择“授予同意”，然后使用您的 Microsoft Entra ID 账户登录。授予同意后，UiPath 会在 Azure 中创建一个代表您组织的 Microsoft Entra ID 应用程序。
5. 创建密钥加密密钥并设置 Azure 密钥保险库。
6. 输入密钥加密密钥的 Azure 密钥保险库密钥 URI。
   • 如果您提供无版本密钥 URI，UiPath 将自动使用最新的密钥版本（启用密钥轮换）。
   • 如果您提供有版本密钥 URI，UiPath 会使用该特定密钥版本加密所有数据。
7. 选择“测试并保存”以激活集成。如果发生错误，请核验您的凭据，然后重试。

如果您仅是组织管理员​

1. 在组织中，前往管理员 > 安全 > 加密。
2. 选择Customer managed key ，然后在确认对话框中输入您的组织名称来确认选择。
3. 选择“UiPath 托管的多租户应用程序（推荐）” 。
4. 选择“授予同意”，然后使用您的 Microsoft Entra ID 账户登录。由于您没有 Microsoft Entra ID 管理权限，您应该会看到以下提示词之一：
   1. 请求批准，如 Microsoft 文档中所述：请求管理员批准。在 Microsoft Entra ID 管理员批准请求后，继续执行下一步。
   2. 需要管理员批准，如 Microsoft 文档所述：请要求您的 Microsoft Entra ID 管理员采取以下步骤：
      1. 访问此 URL，打开 Microsoft Entra ID 同意提示词。
      2. 选择“代表您的组织同意”，然后选择“接受”。
5. 在收到管理员已授予同意的确认后，创建加密密钥并设置 Azure 密钥保险库，然后返回 UiPath 并重复步骤 1 到步骤 4。
   • 如登录成功，则表示集成已正确配置。
   • 如果登录失败，请让您的 Microsoft Entra ID 管理员验证是否已正确授予同意。
6. 输入密钥加密密钥的 Azure 密钥保险库密钥 URI。
   • 如果提供无版本密钥 URI，则系统会启用自动密钥轮换，并且 Automation Cloud 会使用最新的密钥版本。
   • 如果您提供版本密钥 URI，则 Automation Cloud 将使用该特定密钥版本加密所有数据。
7. 选择“测试并保存”以激活集成。如果发生错误，请核验您的凭据，然后重试。

使用自定义 Microsoft Entra ID 应用程序注册进行手动设置​

1. 创建 Microsoft Entra ID 应用注册。

   1. 在Microsoft Entra 管理中心中，转到“应用程序注册” > “新建注册” 。
   2. 输入您自选的名称。
   3. 将“支持的帐户类型”设置为“仅此组织目录中的帐户” 。
   4. 完成注册。

2. 创建凭据。

   转到应用程序注册中的证书和密码，然后选择以下方法之一：

   • 要使用客户端密码，请执行以下操作：
     1. 选择“新建客户端密码”（“新建客户端密码”） 。
     2. 保存生成的密码值。稍后您将需要此信息。
   • 要使用证书：
     1. 在新的浏览器标签页中，前往 Azure 密钥保险库。
     2. 创建证书：
        • 主题: CN=uipath.com
        • 内容类型： PEM
        • 大小上限: 小于 10 KB
     3. 下载.pem格式的证书。
     4. 在文本编辑器中打开.pem文件。它应包含以下部分：
        • -----BEGIN PRIVATE KEY----- / -----END PRIVATE KEY-----
        • -----BEGIN CERTIFICATE----- / -----END CERTIFICATE-----
     5. 创建一个仅包含BEGIN CERTIFICATE和END CERTIFICATE之间行的新.pem文件。
     6. 在应用程序注册的“证书和密码”部分，上传此新的.pem文件。
     7. 保留证书的副本。稍后需要它来完成集成。
     重要提示：

     大多数凭据类型最终会过期。为避免用户登录出现问题，请在凭据过期之前更新配置。为避免此类开销，建议将自动设置与 UiPath 托管的 Microsoft Entra ID 应用程序配合使用。

3. 收集集成详细信息。

   收集以下值，并提供给组织管理员：

   • 应用程序 (客户端) ID
   • 目录 (租户) ID
   • 客户端密码或证书

4. 创建密钥加密密钥并设置 Azure 密钥保险库。

   准备加密密钥并记下 Azure 密钥保险库密钥标识符。选择以下其中一种格式：

   • 无版本密钥 URI：启用自动密钥轮换。UiPath 始终使用最新的密钥版本。
   • 版本密钥 URI：将加密锁定到特定密钥版本。UiPath 使用该版本加密所有数据。

5. 在组织中激活集成。

   1. 以管理员身份登录 UiPath。
   2. 前往管理 > 安全 > 加密。
   3. 选择客户托管密钥，然后输入您的组织名称，以确认选择。
   4. 选择“自定义应用程序注册 ID 和密码” 。
   5. 输入之前收集的以下详细信息：
      • 目录 (租户) ID
      • 应用程序 (客户端) ID
      • 客户端密码或证书
      • Azure 密钥保险库密钥标识符
   6. 选择“测试并保存”以激活集成。

创建密钥加密密钥并设置 Azure 密钥保险库​

• 您可以在任何区域创建密钥保险库，但我们建议使用与 Automation Cloud 组织相同的区域。
• UiPath 需要访问用于客户管理的密钥的密钥保险库。要限制范围，我们建议您为此创建专用的保险库。
• 该功能适用于 Azure 密钥保险库支持的任何密钥大小。
• 要执行加密操作，您必须授予“封装密钥”和“解封密钥”权限。无论您使用 Azure RBAC（基于角色的访问控制）还是密钥保险库访问策略来管理访问权限，均需授予上述权限。

1. 在 Microsoft Azure 门户中，前往 Azure 密钥保险库，然后选择现有保险库，或新建一个保险库。

2. 创建新密钥并复制密钥 URI。您需要 URI 才能在 Automation Cloud 中对其进行配置。

   作为密钥 URI，选择以下选项之一：

   • 无版本密钥 URI：启用自动密钥轮换。Automation Cloud 始终使用密钥的最新版本。
   • 版本密钥 URI：将加密锁定到特定密钥版本。Automation Cloud 使用该版本加密所有数据。

3. 授予对先前创建的 Microsoft Entra ID 应用程序的访问权限。

   使用 Azure RBAC 或密钥保险库访问策略授予所需权限。

4. 返回 Automation Cloud 以完成配置。

编辑客户管理的密钥​

密钥轮换​

手动密钥轮换​

1. 在之前配置的 Azure 密钥保险库中创建一个新密钥。
2. 在您的组织中，前往管理 > 安全。
3. 在“客户托管密钥”下，选择“编辑连接”。
4. 将现有密钥标识符替换为新的密钥 URI。
   备注：

   仅当旧密钥和新密钥均有效时，密钥轮换才会生效。

自动密钥轮换​

1. 在 Azure 密钥保险库中，为您的密钥创建轮换策略。
2. 在您的组织中，转到客户托管密钥配置，并提供无版本密钥标识符。有关配置步骤，请参阅“启用客户托管密钥”。
3. 每次在 Azure 密钥保险库中完成密钥轮换后，UiPath 会自动获取并应用最新的密钥版本。UiPath 会每小时自动检查是否有新的密钥版本。当有新版本可用时，会自动获取并应用，无需手动更新。
   重要提示：

   • 不要禁用或修改旧密钥版本的访问权限。先前和当前的密钥版本都必须保持可访问状态，以便在轮换过程中保持对加密数据的不间断访问。
   • 您可以在组织中“管理”下的“审核日志”部分查看对客户管理密钥配置的手动更改（例如密钥标识符的更新）以及自动密钥轮换事件。

许可降级​

• “客户托管的密钥”选项仍处于启用状态，但在界面中显示为灰色。因此，您无法再编辑其值，例如更改密钥保险库详细信息。
• 您可以切换到“UiPath 管理的密钥（默认）”，但在将计划升级到企业版之前，您将无法选择还原为“客户管理的密钥”。

使用客户管理密钥的最佳实践​

• 作为密钥轮换流程的一部分，开始使用新密钥后，您将无法再使用旧密钥访问和加密数据。因此，务必将任何旧密钥保留在密钥保险库中，即禁用它们而非删除它们。UiPath 可能需要在灾难恢复场景中恢复到旧版本数据库的备份，因此该操作尤其重要。如果完成该备份时使用的是您的某个旧密钥，则您可以轮换到该备份以重新获得数据访问权限。如果选择删除密钥，请务必使用“软删除”功能。

• 如果您丢失了密钥，则无法再连接到保险库。因此，您应始终根据组织的安全策略，在 Azure 门户或独立于 Azure 的安全密钥保险库中创建密钥备份。

• 如果您要利用单点登录来访问 UiPath 服务，则可以考虑创建一个本地帐户以用作紧急情况帐户。 由于外部身份提供程序信息包含在由客户管理的密钥所加密的数据中，因此如果无法访问您的密钥保管库，便也无法访问 SSO 帐户。

• 出于安全考虑，未拥有顶级管理员权限的用户不应拥有清除客户管理密钥的权限。

• 如果您不再希望 UiPath 访问您的数据，则可以禁用 Azure 密钥保险库中的密钥，如下图所示：

  

支持的资源​

• Azure 存储帐户
• Azure SQL 服务器
• Azure 磁盘
• Snowflake
  备注：

  Azure Databricks 和 Azure 事件中心不支持跨租户的客户管理密钥 (CMK)。这些服务需要密钥保险库与关联 Azure 资源处于同一个 Microsoft Entra 租户中，因此无法使用跨租户 CMK 进行加密。以下服务由 Insights 内部使用，用于支持遥测和分析处理：

  • Azure 事件中心：用于缓冲流式遥测数据，例如机器人日志和执行事件、作业执行数据、队列项目事件以及实时监控。事件中心中的数据是临时性的，不会长期留存。
  • Azure Databricks：用于处理和存储分析数据，包括实时监控数据、历史聚合以及已处理的机器人执行指标。这些服务使用 Microsoft 托管密钥进行静态加密，且无法配置为使用客户托管密钥。

架构​

1. UiPath 租户：托管需要加密的 Azure 资源。

2. 您的租户：托管 Azure 密钥保险库和客户托管密钥。

3. 多租户应用程序：由 UiPath 注册并安装在您的租户中，用于实现安全的跨租户访问。

4. 托管身份：分配给 UiPath 应用程序，用于对您的密钥保险库进行身份验证。

5. 联合凭据：允许 UiPath 应用程序在不存储密钥的情况下使用托管身份。

6. Azure 密钥保险库：用于存储您的客户托管密钥。

   加密流程如下：

7. 您提交支持工单以接收应用程序的注册 ID 和名称。

8. UiPath 注册多租户应用程序并附加用户分配的托管标识。

9. 您可以在 Azure 租户中安装应用程序。

10. 您在密钥保险库中创建密钥，并与 UiPath 共享密钥 URI（包含版本）。

11. 您可以通过 Azure RBAC 为应用程序分配以下权限： get 、 wrapKey 、 unwrapKey 。

12. UiPath 将相关 Azure 资源配置为使用密钥进行加密和解密。

先决条件​

• Azure 密钥保险库要求：
  • 已启用软删除和清除保护。
  • 资源锁针对密钥保险库和密钥进行配置。
  • 密钥必须为 RSA 2048 位类型。这些配置可以防止意外删除，并确保可恢复性。
• 权限和配置：
  • 提交支持工单以请求 UiPath 提供多租户应用程序注册 ID 和名称。
  • 您必须在租户中创建密钥，并授权 UiPath 的应用程序访问它。
  • 如果密钥已启用版本控制，则支持密钥轮换。

步骤​

1. 在 Azure 租户中创建或选择一个 Azure 密钥保管库。

2. 根据以下要求配置密钥保险库和加密密钥：

   • 启用软删除和清除保护。确保已删除的密钥或保险库可在长达 90 天的时间内进行恢复。
   • 对密钥保险库和密钥上同时应用“资源锁”，以防止意外删除或修改。
   • 选择 RSA 2048 位作为密钥类型。
   • 确保密钥保险库与 Azure 磁盘资源位于同一区域（Azure 磁盘加密必需）。
   • 在“网络”下，选择“允许受信任的 Microsoft 服务绕过此防火墙”。有关详细步骤，请参阅“为新的存储账户配置跨租户客户托管密钥 - Azure 存储”。

3. 使用支持团队提供的信息在 Azure 租户中安装 UiPath 多租户应用程序。

4. 将 Azure RBAC 角色 Key Vault Crypto Service Encryption User 分配给 UiPath 应用程序，以便其能够访问密钥保险库。

   或者，为 UiPath 应用程序授予密钥保险库访问策略，且具有以下权限：get、wrapKey和unwrapKey。

5. 通过先前创建的支持工单与 UiPath 共享密钥 URI。

   备注：

   您可以对所有受支持的资源使用一个密钥，也可以针对每个资源（例如 SQL、存储、磁盘、Snowflake）分别使用独立的密钥。如果您选择使用不同的密钥，请通过支持工单向 UiPath 提供相应的密钥 URI。

6. UiPath 会根据您提供的密钥 URI， 在基于 Azure 的资源上配置加密，并将客户托管密钥 (CMK) 应用于受支持的组件，包括存储、SQL、磁盘和 Snowflake 资源。如果您想将 CMK 应用于 Snowflake 资源，则必须执行以下额外步骤：

   1. 执行此 Snowflake 社区指南中的步骤 1 至 2.5。
   2. 通过支持票证向 UiPath 提供步骤 2.5 中的输出。
   3. UiPath 使用步骤 2.5 和步骤 3.1 中所述的 Azure 密钥保险库完成 Tri-Secret Secure 自助注册。
   4. UiPath 共享 Azure 同意链接和 Snowflake 主体名称。
   5. 继续此处所述的 Snowflake 过程，从第 3 步开始。
   6. 在第 4 步中，如果您（通过特定 IP 或虚拟网络）需要（通过特定 IP 或虚拟网络）的公共访问控制，请联系 UiPath 以获取子网详细信息。
   7. UiPath 完成步骤 4.5。

7. 启用使用 CMK 加密时发送通知。

数据丢失防护​

• 密钥轮换:
  • Azure 服务每天检查一次是否存在新的密钥版本。更改密钥版本不会导致服务中断。有关更多信息，请访问“客户托管密钥用于账户加密 - Azure 存储”。
  • 轮换后，请等待 24 小时，然后再禁用以前的版本。
  • 较旧的备份不会重新加密，因此请保留旧密钥版本以用于还原。
• 临时撤销：
  • 您可以禁用密钥而不删除它。
  • 这将阻止对加密资源的访问，但不影响加密状态。
  • 重新启用该密钥后，系统将恢复访问权限。
  • 禁用后，相关操作将返回 403 Forbidden 错误。