Test Cloud 管理员指南

客户管理的密钥

适用于 Test Cloud 和 Test Cloud 公共部门的客户管理密钥​

• Flex 许可：此功能适用于标准和高级平台计划。
• Unified Pricing许可：此功能仅适用于企业版平台计划。
  警告：

  启用此功能会对数据访问产生严重影响。如果出现关键问题，您可能会失去对数据的访问权限。

概述​

客户管理密钥的说明​

• “密钥管理服务 (KMS)”- 这是 UiPath 的内部工具，专为密钥加密而开发。
• “数据加密密钥（DEK 或 KMS DEK）”- 用于加密纯文本数据。通常，DEK 由 KMS 或 UiPath 的内部密钥保管库生成，并且永远不会以明文形式存储在任何位置。
• 密钥加密密钥 (KEK) - 用于加密 DEK。加密密钥的过程称为密钥封装。通常，KEK 由您生成，存储在您的密钥保险库中，并且构成由密钥管理服务控制的实际客户管理密钥。
• 加密数据加密密钥 (EDEK) - 这是由 KEK 封装的 DEK。通常，此密钥由服务提供商（例如 Orchestrator）存储；因此，每当服务需要访问加密数据时，该服务都会调用客户的密钥管理服务，以获取解密 EDEK 所需的 KEK，并生成用于解密数据的 DEK。
• UiPath 内部密钥 - 用于加密数据列，包括 CMK 和 KMS DEK。

启用客户管理的密钥​

• （推荐）自动化设置：使用 UiPath 管理的 Microsoft Entra ID 应用程序（多租户模型）的好处如下：
  • 没有要管理的密码或证书。
  • 设置快速可靠。
  • UiPath 为您维护 Microsoft Entra ID 申请。
• 通过自定义 Microsoft Entra ID 应用程序注册进行手动设置：使用您自己的 Microsoft Entra ID 应用程序并手动管理其配置，但要注意以下事项：
  • 您必须创建和管理应用程序凭据。
  • 凭据会过期，需要定期更新。
  • 如果凭据未在过期前更新，系统将阻止用户登录。

使用 UiPath 管理的 Microsoft Entra ID 应用程序进行自动化设置（推荐）​

如果您是 Microsoft Entra ID 和组织管理员​

1. 在组织中，转到“管理员” >“安全” >“加密” 。
2. 选择“客户管理的密钥” ，然后在确认对话框中输入您的组织名称以确认选择。
3. 选择“UiPath 托管的多租户应用程序（推荐）” 。
4. 选择“授予同意”（默认） ，然后使用您的 Microsoft Entra ID 帐户登录。在您授予同意后，UiPath 会在 Azure 中表示您组织的 Microsoft Entra ID 应用程序。
5. 创建密钥加密密钥并设置 Azure 密钥保险库。
6. 输入密钥加密密钥的 Azure 密钥保险库密钥 URI。
   • 如果您提供无版本密钥 URI，则 UiPath 将自动使用最新的密钥版本（已启用密钥轮换）。
   • 如果您提供有版本密钥 URI，则 UiPath 会使用该特定密钥版本加密所有数据。
7. 选择“测试并保存” ，以激活集成。如果发生错误，请验证您的凭据，然后重试。

如果您仅是组织管理员​

1. 在组织中，转到“管理员” >“安全” >“加密” 。
2. 选择Customer managed key ，然后在确认对话框中输入您的组织名称来确认选择。
3. 选择“UiPath 托管的多租户应用程序（推荐）” 。
4. 选择“授予同意”（默认） ，然后使用您的 Microsoft Entra ID 帐户登录。由于您没有 Microsoft Entra ID 管理员权限，因此您应该会看到以下提示之一：
   1. 请求批准，如Microsoft 文档：请求管理员批准中所述。在您的 Microsoft Entra ID 管理员批准请求后，继续执行下一步。
   2. 需要管理员批准，如Microsoft 文档中所述：请让您的 Microsoft Entra ID 管理员执行以下步骤：
      1. 导航到此URL以打开 Microsoft Entra ID 同意提示。
      2. 选择“代表您的组织同意” ，然后选择“接受” 。
5. 收到已授予管理员同意的确认信息后，创建加密密钥并设置 Azure 密钥保险库，然后返回 UiPath 并重复步骤 1 到 4。
   • 如登录成功，则表示集成已正确配置。
   • 如果登录失败，请让您的 Microsoft Entra ID 管理员验证是否已正确授予同意。
6. 输入密钥加密密钥的 Azure 密钥保险库密钥 URI。
   • 如果您提供无版本密钥 URI，则系统会启用自动密钥轮换，并且 Test Cloud 使用最新的密钥版本。
   • 如果您提供版本密钥 URI，则 Test Cloud 将使用该特定密钥版本加密所有数据。
7. 选择“测试并保存” ，以激活集成。如果发生错误，请验证您的凭据，然后重试。

使用自定义 Microsoft Entra ID 应用程序注册进行手动设置​

1. 创建 Microsoft Entra ID 应用注册。

   1. 在Microsoft Entra 管理中心中，转到“应用程序注册” > “新建注册” 。
   2. 输入您选择的名称。
   3. 将“支持的帐户类型”设置为“仅此组织目录中的帐户” 。
   4. 完成注册。

2. 创建凭据。

   转到应用注册中的“证书和密码” ，然后选择以下方法之一：

   • 要使用客户端密码，请执行以下操作：
     1. 选择“新建客户端密码”（“新建客户端密码”） 。
     2. 保存生成的密码值。稍后您将需要此信息。
   • 要使用证书：
     1. 在新的浏览器标签页中，导航到Azure 密钥保险库。
     2. 创建证书：
        • 主题: CN=uipath.com
        • 内容类型： PEM
        • 大小上限: 小于 10 KB
     3. 下载.pem格式的证书。
     4. 在文本编辑器中打开.pem文件。它应包含以下部分：
        • -----BEGIN PRIVATE KEY----- / -----END PRIVATE KEY-----
        • -----BEGIN CERTIFICATE----- / -----END CERTIFICATE-----
     5. 创建一个仅包含BEGIN CERTIFICATE和END CERTIFICATE之间行的新.pem文件。
     6. 在应用注册的“证书和密码”部分中，上传新的.pem文件。
     7. 保留证书的副本。稍后需要它来完成集成。
     重要提示：

     大多数凭据类型最终都会过期。为防止出现用户登录问题，请在凭据过期之前更新配置。为避免此类开销，请对 UiPath 管理的 Microsoft Entra ID 应用程序使用自动化设置。

3. 收集集成详细信息。

   收集以下值并将其提供给组织管理员：

   • 应用程序 (客户端) ID
   • 目录 (租户) ID
   • 客户端密码或证书

4. 创建密钥加密密钥并设置 Azure 密钥保险库。

   准备加密密钥并记下 Azure 密钥保险库密钥标识符。选择以下其中一种格式：

   • 无版本密钥 URI：启用自动密钥轮换。UiPath 始终使用最新的密钥版本。
   • 版本密钥 URI：将加密锁定到特定密钥版本。UiPath 使用该版本加密所有数据。

5. 在组织中激活集成。

   1. 以管理员身份登录 UiPath。
   2. 转到“管理” > “安全” > “加密” 。
   3. 选择“客户管理的密钥” ，然后输入您的组织名称以确认选择。
   4. 选择“自定义应用程序注册 ID 和密码” 。
   5. 输入之前收集的以下详细信息：
      • 目录 (租户) ID
      • 应用程序 (客户端) ID
      • 客户端密码或证书
      • Azure 密钥保险库密钥标识符
   6. 选择“测试并保存” ，以激活集成。

创建密钥加密密钥并设置 Azure 密钥保险库​

• 您可以在任何区域创建密钥保险库，但我们建议使用与Test Cloud组织相同的区域。
• UiPath 需要访问用于客户管理的密钥的密钥保险库。要限制范围，我们建议您为此创建专用的保险库。
• 该功能适用于 Azure 密钥保险库支持的任何密钥大小。
• 要执行加密操作，您必须授予“封装密钥”和“解封密钥”权限。无论使用Azure RBAC （基于角色的访问控制）还是密钥保险库访问策略来管理访问，这些权限都是必需的。

1. 在Microsoft Azure 门户中，转到Azure 密钥保险库，然后选择现有保险库或创建一个新保险库。

2. 创建新密钥并复制密钥 URI。您需要 URI 才能在 Test Cloud 中对其进行配置。

   作为密钥 URI，选择以下选项之一：

   • 无版本密钥 URI：启用自动密钥轮换。Test Cloud 始终使用最新版本的密钥。
   • 版本密钥 URI：将加密锁定到特定密钥版本。Test Cloud 会使用该版本加密所有数据。

3. 授予对先前创建的 Microsoft Entra ID 应用程序的访问权限。

   使用 Azure RBAC 或密钥保险库访问策略授予所需权限。

4. 返回 Test Cloud 以完成配置。

编辑客户管理的密钥​

密钥轮换​

手动密钥轮换​

1. 在之前配置的 Azure 密钥保险库中创建一个新密钥。
2. 在您的组织中，转到“管理员” > “安全” 。
3. 在“客户管理的密钥”下，选择“编辑连接” 。
4. 将现有密钥标识符替换为新的密钥 URI。
   备注：

   仅当旧密钥和新密钥都保持有效时，密钥轮换才有效。

自动密钥轮换​

1. 在 Azure 密钥保险库中，为密钥创建轮换策略。
2. 在您的组织中，转到客户管理的密钥配置，并提供无版本密钥标识符 (ID) 。有关配置步骤，请参阅启用客户管理的密钥。
3. 每次在 Azure 密钥保险库中进行密钥轮换后，UiPath 都会自动获取并应用最新的密钥版本。UiPath 每小时自动检查一次新的密钥版本。当有新版本可用时，系统会检索并应用该版本，而无需手动更新。
   重要提示：

   • 不要禁用或修改旧密钥版本的访问权限。先前和当前的密钥版本都必须保持可访问状态，以便在轮换过程中保持对加密数据的不间断访问。
   • 您可以在组织的“管理员”下的“审核日志”部分中查看对客户管理的密钥配置的手动更改（例如对密钥标识符的更新，例如对密钥标识符）和自动密钥轮换事件。

许可降级​

• The Customer managed key option is still enabled for you, but it is greyed out in the interface. As such, you can no longer edit its values, such as changing key vault details.
• You can switch to UiPath managed key (Default), but you will not be able to revert to Customer managed key until your plan is upgraded to Enterprise.

使用客户管理密钥的最佳实践​

• 作为密钥轮换流程的一部分，开始使用新密钥后，您将无法再使用旧密钥访问和加密数据。因此，务必将任何旧密钥保留在密钥保险库中，即禁用它们而非删除它们。UiPath 可能需要在灾难恢复场景中恢复到旧版本数据库的备份，因此该操作尤其重要。如果完成该备份时使用的是您的某个旧密钥，则您可以轮换到该备份以重新获得数据访问权限。如果选择删除密钥，请务必使用“软删除”功能。

• 如果您丢失了密钥，则无法再连接到保险库。因此，您应始终根据组织的安全策略，在 Azure 门户或独立于 Azure 的安全密钥保险库中创建密钥备份。

• 如果您要利用单点登录来访问 UiPath 服务，则可以考虑创建一个本地帐户以用作紧急情况帐户。 由于外部身份提供程序信息包含在由客户管理的密钥所加密的数据中，因此如果无法访问您的密钥保管库，便也无法访问 SSO 帐户。

• 出于安全考虑，未拥有顶级管理员权限的用户不应拥有清除客户管理密钥的权限。

• 如果您不再希望 UiPath 访问您的数据，则可以禁用 Azure 密钥保险库中的密钥，如下图所示：

  

用于 Test Cloud 专属的客户管理密钥​

支持的资源​

• Azure 存储帐户
• Azure SQL 服务器
• Azure 磁盘
• Snowflake
  备注：

  Azure Databricks 和 Azure 事件中心不支持跨租户客户管理的密钥 (CMK)。这些服务要求密钥保险库与关联的 Azure 资源驻留在相同的 Microsoft Entra 租户中，因此无法使用跨租户 CMK 加密。这些服务由 Insights 在内部使用以支持遥测和分析处理：

  • Azure 事件中心: 缓冲区流式传输遥测数据，例如机器人日志和执行事件、作业执行数据、队列项目事件、实时监控。事件中心中的数据是暂态数据，不会长期存储。
  • Azure Databricks ：处理和存储分析数据，包括实时监控数据、历史汇总数据和已处理的机器人执行指标。这些服务使用 Microsoft 管理的密钥进行静态加密，无法使用客户管理的密钥进行配置。

架构​

1. UiPath 租户（租户） ：托管需要加密的 Azure 资源。

2. 您的租户：托管 Azure 密钥保险库和客户管理的密钥。

3. 多租户应用程序：由 UiPath 注册并安装在您的租户中，以启用安全的跨租户访问。

4. 托管身份：分配给 UiPath 应用，用于对您的密钥保险库进行身份验证。

5. 联合凭据: 允许 UiPath 应用程序使用托管标识而不存储密码。

6. Azure 密钥保险库：存储客户管理的密钥。

   加密流程如下：

7. 您提交支持工单以接收应用程序的注册 ID 和名称。

8. UiPath 注册多租户应用程序并附加用户分配的托管标识。

9. 您可以在 Azure 租户中安装应用程序。

10. 您在密钥保险库中创建密钥，并与 UiPath 共享密钥 URI（包含版本）。

11. 您可以通过 Azure RBAC 为应用程序分配以下权限： get 、 wrapKey 、 unwrapKey 。

12. UiPath 将相关 Azure 资源配置为使用密钥进行加密和解密。

先决条件​

• Azure 密钥保险库要求：
  • 已启用软删除和清除保护。
  • 资源锁针对密钥保险库和密钥进行配置。
  • 密钥的类型必须为 RSA 2048 位。这些配置可防止意外删除并确保可恢复性。
• 权限和配置：
  • 提交支持工单以请求 UiPath 提供多租户应用程序注册 ID 和名称。
  • 您必须在租户中创建密钥，并授权 UiPath 的应用程序访问它。
  • 如果密钥已启用版本控制，则支持密钥轮换。

步骤​

1. 在 Azure 租户中创建或选择一个 Azure 密钥保管库。

2. 根据以下要求配置密钥保险库和加密密钥：

   • 启用软删除和清除保护。确保已删除的密钥或保险库可以在长达 90 天的时间内还原。
   • 在密钥保险库和密钥上应用资源锁防止意外删除或更改。
   • 选择“RSA 2048 位”作为密钥类型。
   • 确保密钥保险库与 Azure 磁盘资源位于同一区域（Azure 磁盘加密必需）。
   • 在“网络”下，选择“允许受信任的 Microsoft 服务绕过此防火墙” 。有关详细步骤，请参阅为新的存储帐户 - Azure 存储配置跨租户客户管理的密钥。 。

3. 使用支持团队提供的信息在 Azure 租户中安装 UiPath 多租户应用程序。

4. 将 Azure RBAC 角色“密钥保险库加密服务加密用户”分配给 UiPath 应用程序，以便其可以访问密钥保险库（只读）。

   或者，向 UiPath 应用程序授予包含以下权限的密钥保险库访问策略： get 、 wrapKey和unwrapKey 。

5. 通过先前创建的支持工单与 UiPath 共享密钥 URI。

   备注：

   您可以对所有受支持的资源使用单个密钥，也可以对每个资源使用单独的密钥，例如 SQL、存储、磁盘、Snowflake。如果您选择使用其他密钥，请通过支持票证向 UiPath 提供相应的密钥 URI。

6. 使用您提供的密钥 URI，UiPath 在基于 Azure 的资源上配置加密，并将客户管理的密钥 (CMK) 应用于支持的组件，包括存储、SQL、磁盘和 Snowflake 资源。如果要将 CMK 应用于 Snowflake 资源，则必须按照以下其他步骤操作：

   1. 执行此Snowflake 社区指南中的步骤 1 到 2.5。
   2. 通过支持票证向 UiPath 提供步骤 2.5 中的输出。
   3. UiPath 使用在步骤 2.5 和步骤 3.1 中提到的Azure 密钥保险库完成 Tri-Secret Secure 自注册。
   4. UiPath 共享 Azure 同意链接和 Snowflake 主体名称。
   5. 从步骤 3 开始，继续此处描述的 Snowflake 过程。
   6. 在第 4 步中，如果您（通过特定 IP 或虚拟网络）需要（通过特定 IP 或虚拟网络）的公共访问控制，请联系 UiPath 以获取子网详细信息。
   7. UiPath 完成步骤 4.5。

7. 启用使用 CMK 加密时发送通知。

数据丢失防护​

• 密钥轮换:
  • Azure 服务每天检查一次新的密钥版本。更改密钥版本不会导致停机。有关详细信息，请访问用于帐户加密的客户管理密钥 - Azure 存储。
  • 轮换后，请等待 24 小时，然后再禁用以前的版本。
  • 较旧的备份不会重新加密，因此请保留旧密钥版本以用于还原。
• 临时撤销：
  • 您可以禁用密钥而不删除它。
  • 这将阻止对加密资源的访问，但不影响加密状态。
  • 重新启用该密钥后，系统将恢复访问权限。
  • 禁用后，相关操作将返回 403 Forbidden 错误。