Remarque
L’accès à cette page requiert une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page requiert une autorisation. Vous pouvez essayer de modifier des répertoires.
Important
Azure Backup pour machines virtuelles confidentielles est actuellement en préversion. Consultez les Conditions d’utilisation supplémentaires pour les préversions Microsoft Azure pour les conditions légales qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou qui ne sont pas encore publiées en disponibilité générale.
Sauvegarde Azure prend en charge les machines virtuelles confidentielles qui fournissent une sauvegarde et une restauration sécurisées pour les charges de travail sensibles. Cette fonctionnalité utilise azure Disk Encryption Sets (DES) avec des clés managées de plateforme (PMK) ou des clés gérées par le client (CMK) pour maintenir la confidentialité des données tout au long du cycle de vie de la sauvegarde. Les machines virtuelles confidentielles offrent une sécurité forte en créant une limite matérielle appliquée entre votre application et la pile de virtualisation.
Cet article explique comment configurer et sauvegarder une machine virtuelle confidentielle (CVM) avec une clé gérée par la plateforme ou le client (PMK ou CMK).
Scénarios pris en charge pour la sauvegarde de machine virtuelle confidentielle
Le tableau suivant répertorie les scénarios pris en charge pour la sauvegarde de machine virtuelle confidentielle :
| Scénario | Prise en charge |
|---|---|
| Taille de la machine virtuelle |
La série v6 est prise en charge. La série v5 n’est pas prise en charge. |
| Disponibilité de la région | Prise en charge aux Émirats arabes unis Nord, Corée Centre. |
| Rotation des clés pour les sauvegardes | Lorsque la rotation des clés se produit sur une machine virtuelle confidentielle, les clés des disques de machine virtuelle, les points de restauration associés et les captures instantanées sont mises à jour automatiquement. Problème connu : La rotation des clés dans cette préversion peut rencontrer des problèmes de performances ou échouer dans les scénarios suivants : - Plus de 40 disques sont attachés à un DES lorsque (uniquement) les points de restauration sont associés à ces disques. - Si vous créez également directement des captures instantanées de disque en dehors de la sauvegarde Azure pour ces disques connectés au même DES, cela réduit le seuil de sécurité de 40 disques au mappage DES. Recommandation : Conservez le nombre de disques connectés à chaque DES à un minimum tant que le problème n'est pas résolu. |
| Fonctionnalités de sauvegarde | - Vous pouvez sauvegarder des machines virtuelles confidentielles avec le chiffrement de disque du système d’exploitation uniquement. - La sauvegarde et la restauration échouent si l’indicateur de fonctionnalité de désactivation de CVM v2 est activé pour votre abonnement. - La sauvegarde cohérente en cas de panne sur plusieurs disques n’est pas prise en charge. - La restauration inter-régions n’est actuellement pas prise en charge, car la taille de machine virtuelle CVM v6 n’est pas généralement disponible dans les régions jumelées Azure. |
Prerequisites
Avant de configurer la sauvegarde de la machine virtuelle CVM avec CMK, vérifiez que les conditions préalables suivantes sont remplies :
Inscrivez-vous à la fonctionnalité en préversion dans votre abonnement Azure - Nom :
RestorePointSupportForConfidentialVMV2Fournisseur :Microsoft.Compute. Vous pouvez suivre les étapes ci-dessous pour ce faire sur le portail. Vous pouvez également exécuter l’applet de commande PowerShell suivante. L’inscription est approuvée automatiquement.Register-AzProviderFeature -FeatureName "RestorePointSupportForConfidentialVMV2" -ProviderNamespace "Microsoft.Compute"Identifiez ou créez une machine virtuelle confidentielle (CVM) dans une région prise en charge. Consultez les régions prises en charge.
Identifiez ou créez un coffre Recovery Services dans la même région que la machine virtuelle.
Créer une machine virtuelle confidentielle avec PMK ou CMK
Pour sauvegarder une machine virtuelle confidentielle à l’aide de sauvegarde Azure, vous devez disposer d’une machine virtuelle confidentielle configurée avec le chiffrement PMK ou CMK. Sauvegarde Azure utilise le jeu de chiffrement de disque (DES) associé à votre machine virtuelle pour maintenir le chiffrement tout au long du processus de sauvegarde et de restauration.
Découvrez comment créer une machine virtuelle confidentielle avec PMK ou CMK, si nécessaire.
Attribuer des autorisations pour la sauvegarde de machine virtuelle confidentielle
Sauvegarde Azure nécessite l’accès au coffre de clés ou au module de sécurité matériel managé (HSM) qui stocke vos clés. Cet accès garantit que le service peut sauvegarder des clés et les récupérer s’ils sont supprimés. Lorsque vous configurez la sauvegarde dans le portail Azure, Sauvegarde Azure obtient automatiquement les autorisations requises. Si vous utilisez d’autres clients, tels que PowerShell, CLI ou l’API REST, vous devez attribuer ces autorisations manuellement.
Si vous utilisez un coffre de clés pour stocker des clés, accordez l’autorisation au service Sauvegarde Azure pour les opérations de sauvegarde.
Pour attribuer des autorisations pour MHSM, procédez comme suit :
Dans le portail Azure, accédez à HSM managé, puis sélectionnez RBAC local dans Paramètres.
Sélectionnez Ajouter pour ajouter une nouvelle attribution de rôle.
Sélectionnez l’un des rôles suivants :
Rôles intégrés : si vous souhaitez utiliser un rôle intégré, sélectionnez le rôle Utilisateur de chiffrement HSM managé .
Rôles personnalisés : si vous souhaitez utiliser un rôle personnalisé, les dataActions de ce rôle doivent avoir ces valeurs :
- Microsoft.KeyVault/managedHsm/keys/read/action
- Microsoft.KeyVault/managedHsm/keys/backup/action
Vous pouvez créer un rôle personnalisé à l’aide de la gestion des rôles du plan de données HSM géré.
Pour Scope, sélectionnez la clé spécifique utilisée pour créer une machine virtuelle confidentielle avec une clé gérée par le client.
Vous pouvez également sélectionner Toutes les clés.
Sur le principal de sécurité, sélectionnez Service de gestion des sauvegardes.
Configurer la sauvegarde pour une machine virtuelle confidentielle
Une fois que Sauvegarde Azure dispose des autorisations nécessaires, vous pouvez continuer à configurer la sauvegarde. Découvrez comment configurer la sauvegarde de machine virtuelle Azure.
Étape suivante
Restaurez la machine virtuelle CVM à l’aide de Sauvegarde Azure (préversion).