Uso de Azure Portal para habilitar el cifrado del lado servidor con claves administradas por el cliente para los discos administrados

  • Artículo

Se aplica a: ✔️ Máquinas virtuales Linux ✔️ Máquinas virtuales Windows ✔️

Azure Disk Storage le permite administrar sus propias claves al usar el cifrado del lado servidor (SSE) para discos administrados, si así lo decide. Para información conceptual sobre SSE con claves administradas por el cliente, así como otros tipos de cifrado de discos administrados, consulte la sección Claves administradas por el cliente de nuestro artículo sobre el cifrado de discos Claves administradas por el cliente.

Restricciones

Por ahora, las claves administradas por el cliente tienen las siguientes restricciones:

  • Si esta característica está habilitada para un disco con instantáneas incrementales, no se puede deshabilitar en ese disco ni en sus instantáneas. Para encontrar una solución alternativa, copie todos los datos en un disco administrado totalmente diferente que no use claves administradas por el cliente. Puede hacerlo con la CLI de Azure o el módulo de Azure PowerShell.
  • Solo se admiten software y claves RSA de HSM con un tamaño de 2048 bits, 3072 bits y 4096 bits, ninguna otra clave o tamaño.
    • Las claves de HSM requieren el nivel premium de los almacenes Azure Key Vault.
  • Solo para Ultra Disks y discos SSD prémium v2:
    • Las instantáneas creadas a partir de discos que están cifrados con cifrado del lado servidor y claves administradas por el cliente deben cifrarse con las mismas claves administradas por el cliente.
    • Las identidades administradas asignadas por el usuario no se admiten para Ultra Disks y discos SSD prémium v2 cifrados con claves administradas por el cliente.
  • La mayoría de los recursos relacionados con las claves administradas por el cliente (conjuntos de cifrado de disco, máquinas virtuales, discos e instantáneas) deben estar en la misma suscripción y región.
    • Las instancias de Azure Key Vault se puede usar desde otra suscripción, pero deben encontrarse en la misma región que el conjunto de cifrado de disco. Como versión preliminar, puede usar instancias de Azure Key Vault en distintos inquilinos de Microsoft Entra.
  • Los discos cifrados con claves administradas por el cliente solo pueden moverse a otro grupo de recursos si la máquina virtual a la que están conectados está desasignada.
  • Los discos, instantáneas e imágenes cifrados con claves administradas por el cliente no se pueden trasladar entre suscripciones.
  • Los discos administrados cifrados actual o anteriormente mediante Azure Disk Encryption no se pueden cifrar mediante claves administradas por el cliente.
  • Solo puede crear hasta 5000 conjuntos de cifrado de disco por región y por suscripción.
  • Para obtener información sobre el uso de claves administradas por el cliente con galerías de imágenes compartidas, consulte Versión preliminar: uso de claves administradas por el cliente para el cifrado de imágenes.

En las secciones siguientes se explica cómo habilitar y usar las claves administradas por el cliente para discos administrados:

Para configurar claves administradas por el cliente para los discos, es necesario crear recursos en un orden determinado, si lo va a hacer por primera vez. En primer lugar, tendrá que crear y configurar una instancia de Azure Key Vault.

Configuración de Azure Key Vault

  1. Inicie sesión en Azure Portal.

  2. Busque y seleccione Key Vaults.

    Screenshot of the Azure portal with the search dialog box expanded.

    Importante

    El conjunto de cifrado de disco, la VM, los discos y las instantáneas deben estar en la misma región y suscripción para que la implementación se realice correctamente. Las instancias de Azure Key Vault se puede usar desde otra suscripción, pero deben encontrarse en la misma región e inquilino que el conjunto de cifrado de disco.

  3. Seleccione +Crear para crear una instancia de Key Vault.

  4. Cree un nuevo grupo de recursos.

  5. Escriba un nombre de almacén de claves, seleccione una región y seleccione un plan de tarifa.

    Nota:

    Al crear la instancia de Key Vault, debe habilitar la eliminación temporal y la protección de purgas. La eliminación temporal garantiza que la instancia de Key Vault conserva una clave eliminada durante un período de retención determinado (valor predeterminado de 90 días). La protección de purgas garantiza que una clave eliminada no se puede eliminar permanentemente hasta que transcurra el período de retención. Esta configuración le protege contra la pérdida de datos debido a la eliminación accidental. Estos valores son obligatorios cuando se usa una instancia de Key Vault para cifrar discos administrados.

  6. Seleccione Revisar y crear, compruebe las opciones y, a continuación, seleccione Crear.

    Screenshot of the Azure Key Vault creation experience, showing the particular values you create.

  7. Una vez que el almacén de claves termine de implementarse, selecciónelo.

  8. Selecciona Claves en Objetos.

  9. Seleccione Generar o importar.

    Screenshot of the Key Vault resource settings pane, shows the generate/import button inside settings.

  10. Deje Tipo de clave establecido en RSA y Tamaño de la clave RSA establecido en 2048.

  11. Rellene las selecciones restantes como desee y, a continuación, seleccione Crear.

    Screenshot of the create a key pane that appears once generate/import button is selected.

Adición de un rol RBAC de Azure

Ahora que ha creado el almacén de Azure Key Vault y una clave, debe agregar un rol RBAC de Azure para poder usar la instancia de Azure Key Vault con el conjunto de cifrado de disco.

  1. Seleccione Control de acceso (IAM) y agregue un rol.
  2. Agregue los roles Administrador de Key Vault, Propietario o Colaborador.

Configuración del conjunto de cifrado de disco

  1. Busque conjuntos de cifrado de disco y seleccione la opción.

  2. En el panel Conjuntos de cifrado de disco, seleccione +Crear.

  3. Seleccione el grupo de recursos, asigne un nombre al conjunto de cifrado y seleccione la misma región que el almacén de claves.

  4. En Tipo de cifrado, seleccione Cifrado en reposo con una clave administrada por el cliente.

    Nota

    Una vez que cree un conjunto de cifrado de disco con un tipo de cifrado en particular, no se puede cambiar. Si desea usar otro tipo de cifrado, debe crear un nuevo conjunto de cifrado de disco.

  5. Asegúrese de elegir la opción Seleccionar el almacén de claves y la clave de Azure.

  6. Seleccione el almacén de claves y la clave que creó anteriormente, así como la versión.

  7. Si quiere habilitar la rotación automática de claves administradas por el cliente, seleccione Auto key rotation (Rotación automática de claves).

  8. Seleccione Revisar y crear y, a continuación, Crear.

    Screenshot of the disk encryption creation pane. Showing the subscription, resource group, disk encryption set name, region, and key vault + key selector.

  9. Una vez implementado, vaya al conjunto de cifrado de disco y seleccione la alerta mostrada.

    Screenshot of user selecting the 'To associate a disk, image, or snapshot with this disk encryption set, you must grant permissions to the key vault' alert.

  10. Esto concederá al almacén de claves permisos para el conjunto de cifrado de disco.

    Screenshot of confirmation that permissions have been granted.

Implementación de una máquina virtual

Ahora que ha creado y configurado el almacén de claves y el conjunto de cifrado de disco, puede implementar una VM mediante el cifrado. El proceso de implementación de VM es similar al proceso de implementación estándar, las únicas diferencias son que debe implementar la VM en la misma región que los demás recursos y optar por usar una clave administrada por el cliente.

  1. Busque Máquinas virtuales y seleccione +Crear para crear una máquina virtual.

  2. En la pestaña Básico, seleccione la misma región que la del conjunto de cifrado de disco y Azure Key Vault.

  3. Rellene los demás valores del panel Básico como prefiera.

    Screenshot of the VM creation experience, with the region value highlighted.

  4. En el panel Discos, en Administración de claves, seleccione el conjunto de cifrado de disco, el almacén de claves y la clave en la lista desplegable.

  5. Realice las selecciones restantes como desee.

    Screenshot of the VM creation experience, the disks pane, customer-managed key selected.

Habilitación en un disco existente

Precaución

Para habilitar el cifrado de disco en los discos conectados a una máquina virtual, es necesario detener esta.

  1. Vaya a una VM que esté en la misma región que uno de los conjuntos de cifrado de disco.

  2. Abra la VM y seleccione Detener.

    Screenshot of the main overlay for your example VM, with the Stop button highlighted.

  3. Una vez que se ha detenido la máquina virtual, seleccione Discos y, después, elija el disco que quiere cifrar.

    Screenshot of your example VM, with the Disks pane open, the OS disk is highlighted, as an example disk for you to select.

  4. Seleccione Cifrado y, en Administración de claves, en Clave administrada por el cliente, seleccione el almacén de claves y la clave en la lista desplegable.

  5. Seleccione Guardar.

    Screenshot of your example OS disk, the encryption pane is open, encryption at rest with a customer-managed key is selected, as well as your example Azure Key Vault.

  6. Repita este proceso para todos los demás discos conectados a la VM que desea cifrar.

  7. Cuando los discos terminen de cambiar a las claves administradas por el cliente, si no hay ningún otro disco conectado que quiera cifrar, inicie la máquina virtual.

Importante

Las claves administradas por el cliente dependen de identidades administradas para los recursos de Azure, una característica de Microsoft Entra ID. Al configurar claves administradas por el cliente, se asigna automáticamente una identidad administrada a los recursos en segundo plano. Si posteriormente mueve la suscripción, el grupo de recursos o el disco administrado de un directorio de Microsoft Entra a otro, la identidad administrada asociada a los discos administrados no se transfiere al nuevo inquilino, por lo que es posible que las claves administradas por el cliente dejen de funcionar. Para más información, consulte Transferencia de una suscripción entre directorios de Microsoft Entra.

Habilitación de la rotación automática de claves en un conjunto de cifrado de disco existente

  1. Vaya al conjunto de cifrado de disco en el que desee habilitar la rotación automática de claves.
  2. En Configuración, seleccione Clave.
  3. Seleccione Rotación automática de claves y, a continuación, Guardar.

Pasos siguientes