Upravit

Sdílet prostřednictvím

Použití webu Azure Portal k povolení šifrování na straně serveru s využitím klíčů spravovaných zákazníkem pro spravované disky

  • Postupy

Platí pro: ✔️ Virtuální počítače s Windows s Linuxem ✔️ ✔️

Azure Disk Storage umožňuje spravovat vlastní klíče při použití šifrování na straně serveru (SSE) pro spravované disky, pokud se rozhodnete. Koncepční informace o službě SSE s klíči spravovanými zákazníkem a dalších typech šifrování spravovaných disků najdete v části Klíče spravované zákazníkem v článku o šifrování disků: Klíče spravované zákazníkem

Požadavky

Nic

Omezení

Klíče spravované zákazníkem mají prozatím následující omezení:

  • Pokud je tato funkce povolená pro disk s přírůstkovými snímky, není možné ji na tomto disku ani jeho snímky zakázat. Pokud chcete tento problém obejít, zkopírujte všechna data na zcela jiný spravovaný disk, který nepoužívá klíče spravované zákazníkem. Můžete to udělat pomocí Azure CLI nebo modulu Azure PowerShellu.
  • Podporují se pouze klíče RSA softwaru a HSM o velikosti 2 048 bitů, 3 072bitové a 4 096bitové verze, žádné jiné klíče ani velikosti.
    • Klíče HSM vyžadují úroveň Premium trezorů klíčů Azure.
  • Pouze pro disky Úrovně Ultra a disky SSD úrovně Premium v2:
    • Snímky vytvořené z disků, které jsou šifrované pomocí šifrování na straně serveru a klíčů spravovaných zákazníkem, musí být šifrované pomocí stejných klíčů spravovaných zákazníkem.
    • Spravované identity přiřazené uživatelem se nepodporují pro disky Úrovně Ultra a disky SSD úrovně Premium v2 šifrované pomocí klíčů spravovaných zákazníkem.
    • Azure Government nebo Azure China se v současné době nepodporuje.
  • Většina prostředků souvisejících s klíči spravovanými zákazníkem (sady šifrování disků, virtuální počítače, disky a snímky) musí být ve stejném předplatném a oblasti.
    • Služby Azure Key Vault se můžou používat z jiného předplatného, ale musí být ve stejné oblasti jako vaše sada šifrování disků. Ve verzi Preview můžete používat služby Azure Key Vault z různých tenantů Microsoft Entra.
  • Disky šifrované pomocí klíčů spravovaných zákazníkem se můžou přesunout jenom do jiné skupiny prostředků, pokud je virtuální počítač, ke kterému jsou připojeni, uvolněný.
  • Disky, snímky a image šifrované pomocí klíčů spravovaných zákazníkem se mezi předplatnými nedají přesouvat.
  • Spravované disky aktuálně nebo dříve šifrované pomocí služby Azure Disk Encryption se nedají šifrovat pomocí klíčů spravovaných zákazníkem.
  • Může vytvořit až 5 000 sad šifrování disků pro každou oblast na předplatné.
  • Informace o používání klíčů spravovaných zákazníkem se sdílenými galeriemi imagí najdete v tématu Preview: Použití klíčů spravovaných zákazníkem pro šifrování imagí.

V následujících částech se dozvíte, jak povolit a používat klíče spravované zákazníkem pro spravované disky:

Nastavení klíčů spravovaných zákazníkem pro vaše disky vyžaduje, abyste vytvořili prostředky v určitém pořadí, pokud to děláte poprvé. Nejprve budete muset vytvořit a nastavit Azure Key Vault.

Nastavení služby Azure Key Vault

  1. Přihlaste se k portálu Azure.

  2. Vyhledejte a vyberte trezory klíčů.

    Snímek obrazovky webu Azure Portal s rozbaleným dialogovým oknem hledání

    Důležité

    Aby bylo nasazení úspěšné, musí být vaše sada šifrování disků, virtuální počítač, disky a snímky ve stejné oblasti a předplatné. Služby Azure Key Vault se můžou používat z jiného předplatného, ale musí být ve stejné oblasti a tenantovi jako vaše sada šifrování disků.

  3. Vyberte +Vytvořit a vytvořte novou službu Key Vault.

  4. Vytvoříte novou skupinu prostředků.

  5. Zadejte název trezoru klíčů, vyberte oblast a vyberte cenovou úroveň.

    Poznámka:

    Při vytváření instance služby Key Vault musíte povolit ochranu obnovitelného odstranění a vymazání. Obnovitelné odstranění zajišťuje, že služba Key Vault uchovává odstraněný klíč pro danou dobu uchovávání (výchozí nastavení 90 dnů). Ochrana před vymazáním zajistí, že odstraněný klíč nebude možné trvale odstranit, dokud doba uchovávání nepřesběne. Tato nastavení chrání před ztrátou dat z důvodu náhodného odstranění. Tato nastavení jsou povinná při použití služby Key Vault pro šifrování spravovaných disků.

  6. Vyberte Zkontrolovat a vytvořit, ověřte své volby a pak vyberte Vytvořit.

    Snímek obrazovky s prostředím pro vytváření služby Azure Key Vault zobrazující konkrétní hodnoty, které vytvoříte

  7. Jakmile trezor klíčů dokončí nasazení, vyberte ho.

  8. V části Objekty vyberte klíče.

  9. Vyberte Generovat/importovat.

    Snímek obrazovky s podoknem nastavení prostředků služby Key Vault a tlačítkem generovat/importovat uvnitř nastavení

  10. U obou typů klíčů ponechte nastavenou hodnotu RSA a velikost klíče RSA nastavenou na hodnotu 2048.

  11. Vyplňte zbývající výběry podle potřeby a pak vyberte Vytvořit.

    Snímek obrazovky s podoknem vytvořit klíč, které se zobrazí po výběru tlačítka vygenerovat/importovat

Přidání role Azure RBAC

Teď, když jste vytvořili trezor klíčů Azure a klíč, musíte přidat roli Azure RBAC, abyste mohli použít trezor klíčů Azure se sadou šifrování disků.

  1. Vyberte Řízení přístupu (IAM) a přidejte roli.
  2. Přidejte role správce, vlastníka nebo přispěvatele služby Key Vault.

Nastavení sady šifrování disku

  1. Vyhledejte sady šifrování disků a vyberte ji.

  2. V podokně Sady šifrování disků vyberte +Vytvořit.

  3. Vyberte skupinu prostředků, pojmenujte sadu šifrování a vyberte stejnou oblast jako trezor klíčů.

  4. Jako typ šifrování vyberte Šifrování neaktivních uložených uložených dat pomocí klíče spravovaného zákazníkem.

    Poznámka:

    Jakmile vytvoříte sadu šifrování disku s určitým typem šifrování, nedá se změnit. Pokud chcete použít jiný typ šifrování, musíte vytvořit novou sadu šifrování disku.

  5. Ujistěte se, že je vybraná možnost Vybrat trezor klíčů Azure a klíč .

  6. Vyberte trezor klíčů a klíč, který jste vytvořili dříve, a verzi.

  7. Pokud chcete povolit automatickou obměnu klíčů spravovaných zákazníkem, vyberte Automatické obměně klíčů.

  8. Vyberte Zkontrolovat a vytvořit a pak Vytvořit.

    Snímek obrazovky s podoknem vytvoření šifrování disku Zobrazuje se předplatné, skupina prostředků, název sady šifrování disků, oblast a trezor klíčů + selektor klíčů.

  9. Po nasazení přejděte na sadu šifrování disku a vyberte zobrazenou výstrahu.

    Snímek obrazovky uživatele, který vybere upozornění

  10. Tím udělíte vašemu trezoru klíčů oprávnění k sadě šifrování disku.

    Snímek obrazovky s potvrzením, že byla udělena oprávnění

Nasazení virtuálního počítače

Teď, když jste vytvořili a nastavili trezor klíčů a sadu šifrování disků, můžete virtuální počítač nasadit pomocí šifrování. Proces nasazení virtuálního počítače se podobá standardnímu procesu nasazení. Jedinými rozdíly jsou, že virtuální počítač musíte nasadit ve stejné oblasti jako ostatní prostředky a rozhodnete se použít klíč spravovaný zákazníkem.

  1. Vyhledejte virtuální počítače a vyberte + Vytvořit a vytvořte virtuální počítač.

  2. V podokně Basic vyberte stejnou oblast jako vaše sada šifrování disků a Azure Key Vault.

  3. Vyplňte další hodnoty v podokně Základní podle potřeby.

    Snímek obrazovky s prostředím pro vytváření virtuálních počítačů se zvýrazněnou hodnotou oblasti

  4. V podokně Disky pro správu klíčů vyberte v rozevíracím seznamu sadu šifrování disků, trezor klíčů a klíč.

  5. Proveďte zbývající výběry podle potřeby.

    Snímek obrazovky s prostředím pro vytváření virtuálních počítačů, podoknem disků a vybraným klíčem spravovaným zákazníkem

Povolení na existujícím disku

Upozornění

Povolení šifrování disků na všech discích připojených k virtuálnímu počítači vyžaduje zastavení virtuálního počítače.

  1. Přejděte na virtuální počítač, který je ve stejné oblasti jako jedna ze sad šifrování disků.

  2. Otevřete virtuální počítač a vyberte Zastavit.

Snímek obrazovky s hlavním překryvem vašeho ukázkového virtuálního počítače se zvýrazněným tlačítkem Zastavit

  1. Jakmile se virtuální počítač zastaví, vyberte Disky a pak vyberte disk, který chcete šifrovat.

Snímek obrazovky s ukázkovým virtuálním počítačem s otevřeným podoknem Disky je disk s operačním systémem zvýrazněný jako ukázkový disk, který můžete vybrat.

  1. Vyberte Šifrování a v části Správa klíčů vyberte trezor klíčů a klíč v rozevíracím seznamu v části Klíč spravovaný zákazníkem.

  2. Zvolte Uložit.

Snímek obrazovky s vaším ukázkovým diskem s operačním systémem, je otevřené podokno šifrování, šifrování neaktivních uložených dat s klíčem spravovaným zákazníkem a také ukázková služba Azure Key Vault.

  1. Tento postup opakujte pro všechny ostatní disky připojené k virtuálnímu počítači, který chcete šifrovat.

  2. Po dokončení přechodu disků na klíče spravované zákazníkem spusťte virtuální počítač, pokud neexistují žádné další připojené disky, které byste chtěli zašifrovat.

Důležité

Klíče spravované zákazníkem spoléhají na spravované identity pro prostředky Azure, a to je funkce Microsoft Entra ID. Při konfiguraci klíčů spravovaných zákazníkem se spravovaná identita automaticky přiřadí vašim prostředkům v rámci krytů. Pokud následně přesunete předplatné, skupinu prostředků nebo spravovaný disk z jednoho adresáře Microsoft Entra do jiného, spravovaná identita přidružená ke spravovaným diskům se nepřenese do nového tenanta, takže klíče spravované zákazníkem už nemusí fungovat. Další informace naleznete v tématu Převod předplatného mezi adresáři Microsoft Entra.

Povolení automatické obměně klíčů u existující sady šifrování disku

  1. Přejděte na sadu šifrování disku, u které chcete povolit automatické obměně klíčů.

  2. V části Nastavení vyberte Klíč.

  3. Vyberte Automatické otáčení klíčů a vyberte Uložit.

Související obsah