无法用“客户”托管加密密钥选项在Azure认知搜索中创建索引/同义词地图

Question

我试图使用"Customer“托管密钥选项创建带有加密的索引/同义词映射，但我无法这样做。

我不断地从服务中得到以下错误：

Failed to verify account key (HTTP Status Code: 403).

下面是我对同义词地图的请求正文：

{
    "name":"test",
    "format":"solr",
    "synonyms":"",
    "encryptionKey":
    {
        "keyVaultKeyName":"AzSearchKey2",
        "keyVaultKeyVersion":"02cc721e41654f079c173744313f24b0",
        "keyVaultUri":"https://mykeyvault.vault.azure.net"
    }
}

我完全遵循了这里指定的说明：https://learn.microsoft.com/en-gb/azure/search/search-security-manage-encryption-keys。

以下是我迄今所做的工作：

• I创建了一个带有“基本”SKU的搜索服务(因为这个功能在“免费”层中不可用)。
• I转到我的搜索服务的“标识”部分，并将其指定为托管标识。

​

​

• I创建了一个具有“标准”层的全新密钥库，并为上述标识定义了访问策略。我授予了必要的“密钥”权限("Get"，"Wrap“，”解包键“)，就像上面提到的搜索服务文档链接中提到的那样。此密钥库与搜索服务所在的区域和资源组相同。密钥库还启用了“软删除”和“清除保护”。

​

​

• I创建了一个密钥并复制了详细信息(URI、密钥名和密钥版本)。

​

​

我相信我正在做文档中提到的所有事情，所以我不知道我做错了什么。

有趣的是，昨天我在另一个搜索服务和密钥库中能够做到这一点，没有任何问题。

我猜我漏掉了一些小细节。如果有人能帮我指出的话会很感激的。

更新

非常感谢认知搜索团队在这方面与我合作。我收到的错误消息是因为代码有问题(每当服务返回403状态代码时，我都会返回一条标准消息)。

服务仍在返回错误。服务返回的实际错误消息是：

Could not use key vault key https://mykeyvault.vault.azure.net:443/keys/AzSearchKey2/02cc721e41654f079c173744313f24b0 
to wrap/unwrap the encryption key. The key vault key deletion-recovery level is insufficient. 
Soft-Delete and Purge Protection must be enabled on Key vault, see: https://aka.ms/key-vault-soft-delete

Answer 1

与Gaurav私自跟进后，我们得出结论，这是由于关键的保留期太短(7天，而不是90天)。我们刚刚更新了产品代码以支持更短的保留期(减少到7天)，并且该补丁将在接下来的几周内在全球范围内部署。同时，如果您遇到相同的问题，请将您的密钥保留政策更新到90天。如果在创建加密索引或同义词映射时从Azure搜索收到以下消息，则可以识别此错误状态：

DataPlaneApiException :无法使用密钥库密钥(YOUR_KEY_URL)包装/解除加密密钥。密钥库密钥删除-恢复级别不足。软-删除和清除保护必须启用在密钥库，见：https://aka.ms/key-vault-soft-delete.

谢谢