Szerkesztés

Megosztás a következőn keresztül:


A kiszolgálóoldali titkosítás engedélyezése az Azure Portal használatával felügyelt lemezek ügyfél által felügyelt kulcsaival

A következőkre vonatkozik: ✔️ Linux rendszerű virtuális gépek ✔️ Windows rendszerű virtuális gépekre ✔️

Az Azure Disk Storage lehetővé teszi saját kulcsok kezelését, ha kiszolgálóoldali titkosítást (SSE) használ felügyelt lemezekhez, ha úgy dönt. Az ügyfél által felügyelt kulcsokkal és más felügyelt lemeztitkosítási típusokkal rendelkező SSE-vel kapcsolatos elméleti információkért tekintse meg a lemeztitkosítási cikk ügyfél által felügyelt kulcsokkal foglalkozó szakaszát.

Előfeltételek

Egyik sem

Korlátozások

Az ügyfél által felügyelt kulcsok jelenleg a következő korlátozásokkal rendelkeznek:

  • Ha ez a funkció növekményes pillanatképeket tartalmazó lemezek esetében engedélyezve van, akkor nem tiltható le a lemezen vagy a pillanatképeken. Ennek megkerüléséhez másolja az összes adatot egy teljesen más felügyelt lemezre, amely nem ügyfél által felügyelt kulcsokat használ. Ezt az Azure CLI-vel vagy az Azure PowerShell-modullal teheti meg.
  • Csak a 2048 bites, 3072 bites és 4096 bites szoftver- és HSM RSA-kulcsok támogatottak, más kulcsok és méretek nélkül.
  • Csak ultralemezekhez és prémium SSD v2-lemezekhez:
    • A kiszolgálóoldali titkosítással és az ügyfél által felügyelt kulcsokkal titkosított lemezekről létrehozott pillanatképeket ugyanazokkal az ügyfél által felügyelt kulcsokkal kell titkosítani.
    • A felhasználó által hozzárendelt felügyelt identitások nem támogatottak az ügyfelek által felügyelt kulcsokkal titkosított Ultra Disks és Premium SSD v2 lemezek esetében.
    • Az Azure Government vagy az Azure China jelenleg nem támogatott.
  • Az ügyfél által felügyelt kulcsokhoz (lemeztitkosítási csoportokhoz, virtuális gépekhez, lemezekhez és pillanatképekhez) kapcsolódó legtöbb erőforrásnak ugyanabban az előfizetésben és régióban kell lennie.
    • Az Azure Key Vaultok egy másik előfizetésből is használhatók, de ugyanabban a régióban kell lenniük, mint a lemeztitkosítási csoportnak. Előzetes verzióként különböző Microsoft Entra-bérlők Azure Key Vaultjait használhatja.
  • Az ügyfél által felügyelt kulcsokkal titkosított lemezek csak akkor léphetnek át egy másik erőforráscsoportba, ha a hozzájuk csatolt virtuális gép felszabadítva van.
  • Az ügyfél által felügyelt kulcsokkal titkosított lemezek, pillanatképek és képek nem helyezhetők át az előfizetések között.
  • Az Azure Disk Encryption használatával jelenleg vagy korábban titkosított felügyelt lemezek nem titkosíthatók ügyfél által felügyelt kulcsokkal.
  • Előfizetésenként régiónként legfeljebb 5000 lemeztitkosítási csoport hozható létre.
  • Az ügyfél által felügyelt kulcsok megosztott képtárakkal való használatával kapcsolatos információkért lásd : Előzetes verzió: Ügyfél által felügyelt kulcsok használata a képek titkosításához.

Az alábbi szakaszok az ügyfél által felügyelt kulcsok felügyelt lemezekhez való engedélyezését és használatát ismertetik:

A lemezek ügyfél által felügyelt kulcsainak beállításához adott sorrendben kell létrehoznia az erőforrásokat, ha első alkalommal végzi el. Először létre kell hoznia és be kell állítania egy Azure Key Vaultot.

Az Azure Key Vault beállítása

  1. Jelentkezzen be az Azure Portalra.

  2. Keresse meg és válassza ki a Key Vaultokat.

    Képernyőkép az Azure Portalról a keresőmező kibontása mellett.

    Fontos

    A sikeres üzembe helyezéshez a lemeztitkosítási csoportnak, a virtuális gépnek, a lemezeknek és a pillanatképeknek ugyanabban a régióban és előfizetésben kell lenniük. Az Azure Key Vaultok más előfizetésből is használhatók, de ugyanabban a régióban és bérlőben kell lenniük, mint a lemeztitkosítási csoport.

  3. Új Key Vault létrehozásához válassza a +Létrehozás lehetőséget.

  4. Új erőforráscsoport létrehozása.

  5. Adja meg a kulcstartó nevét, válasszon ki egy régiót, és válasszon egy tarifacsomagot.

    Feljegyzés

    A Key Vault-példány létrehozásakor engedélyeznie kell a helyreállítható törlési és törlési védelmet. A helyreállítható törlés biztosítja, hogy a Key Vault egy adott megőrzési időszakra (alapértelmezés szerint 90 napos) törölt kulcsot tároljon. A törlés elleni védelem biztosítja, hogy a törölt kulcsok nem törölhetők véglegesen, amíg a megőrzési időszak el nem telik. Ezek a beállítások védelmet nyújtanak a véletlen törlés miatti adatvesztéstől. Ezek a beállítások kötelezőek, ha key vaultot használnak a felügyelt lemezek titkosításához.

  6. Válassza a Véleményezés + Létrehozás lehetőséget, ellenőrizze a lehetőségeket, majd válassza a Létrehozás lehetőséget.

    Képernyőkép az Azure Key Vault létrehozási felületéről, amelyen a létrehozott értékek láthatók.

  7. Ha a kulcstartó üzembe helyezése befejeződött, jelölje ki.

  8. Az Objektumok területen válassza a Kulcsok lehetőséget.

  9. Válassza a Generálás/importálás lehetőséget.

    Képernyőkép a Key Vault erőforrás-beállítások paneljéről, amelyen a beállítások között látható a Létrehozás/importálás gomb.

  10. Hagyja a kulcstípust RSA- és RSA-kulcsméretre 2048-ra.

  11. Töltse ki a többi kijelölést tetszés szerint, majd válassza a Létrehozás lehetőséget.

    Képernyőkép a létrehozási/importálási gomb kiválasztása után megjelenő kulcspanelről.

Azure RBAC-szerepkör hozzáadása

Most, hogy létrehozta az Azure Key Vaultot és egy kulcsot, hozzá kell adnia egy Azure RBAC-szerepkört, hogy az Azure-kulcstartót a lemeztitkosítási csoporttal együtt használhassa.

  1. Válassza a Hozzáférés-vezérlés (IAM) lehetőséget, és adjon hozzá egy szerepkört.
  2. Adja hozzá a Key Vault rendszergazdai, tulajdonosi vagy közreműködői szerepkörét.

A lemeztitkosítási csoport beállítása

  1. Keresse meg a lemeztitkosítási csoportokat , és jelölje ki.

  2. A Lemeztitkosítási csoportok panelen válassza a +Létrehozás lehetőséget.

  3. Válassza ki az erőforráscsoportot, nevezze el a titkosítási csoportot, és válassza ki ugyanazt a régiót, mint a kulcstartó.

  4. Titkosítási típus esetén válassza a Inaktív titkosítás lehetőséget egy ügyfél által felügyelt kulccsal.

    Feljegyzés

    Miután létrehozott egy lemeztitkosítási csoportot egy adott titkosítási típussal, az nem módosítható. Ha más titkosítási típust szeretne használni, létre kell hoznia egy új lemeztitkosítási csoportot.

  5. Győződjön meg arról, hogy az Azure Key Vault és a key kiválasztása be van jelölve.

  6. Válassza ki a korábban létrehozott kulcstartót és kulcsot, valamint a verziót.

  7. Ha engedélyezni szeretné az ügyfél által kezelt kulcsok automatikus elforgatását, válassza az Automatikus kulcsváltás lehetőséget.

  8. Válassza az Áttekintés és létrehozás, majd a Létrehozás lehetőséget.

    Képernyőkép a lemeztitkosítás létrehozási paneljéről. Az előfizetés, az erőforráscsoport, a lemeztitkosítási csoport neve, a régió és a kulcstartó + kulcsválasztó megjelenítése.

  9. Az üzembe helyezés után keresse meg a lemeztitkosítási csoportot, és válassza ki a megjelenített riasztást.

    Képernyőkép arról, hogy a felhasználó a

  10. Ez engedélyeket ad a kulcstartónak a lemeztitkosítási csoport számára.

    Képernyőkép az engedélyek megadásának megerősítéséről.

Virtuális gép üzembe helyezése

Most, hogy létrehozta és beállította a kulcstartót és a lemeztitkosítási csoportot, üzembe helyezhet egy virtuális gépet a titkosítás használatával. A virtuális gép üzembe helyezési folyamata hasonló a szokásos üzembehelyezési folyamathoz, az egyetlen különbség az, hogy a virtuális gépet ugyanabban a régióban kell üzembe helyeznie, mint a többi erőforrás, és ön egy ügyfél által felügyelt kulcsot használ.

  1. Keressen rá a virtuális gépekre, és válassza a + Létrehozás lehetőséget a virtuális gép létrehozásához.

  2. Az Alapszintű panelen válassza ki ugyanazt a régiót, mint a lemeztitkosítási csoport és az Azure Key Vault.

  3. Töltse ki a többi értéket az Alapszintű panelen tetszés szerint.

    Képernyőkép a virtuális gép létrehozási felületéről, kiemelve a régió értékét.

  4. A Lemezek panel kulcskezeléséhez válassza ki a lemeztitkosítási csoportot, a kulcstartót és a kulcsot a legördülő menüben.

  5. Végezze el a többi kijelölést tetszés szerint.

    Képernyőkép a virtuális gép létrehozási felületéről, a lemezek panelről, az ügyfél által felügyelt kulcs kiválasztásáról.

Engedélyezés meglévő lemezen

Figyelemfelhívás

A virtuális géphez csatlakoztatott lemezek lemeztitkosításának engedélyezéséhez le kell állítania a virtuális gépet.

  1. Lépjen egy olyan virtuális gépre, amely ugyanabban a régióban található, mint az egyik lemeztitkosítási csoport.

  2. Nyissa meg a virtuális gépet, és válassza a Leállítás lehetőséget.

Képernyőkép a példa virtuális gép fő átfedéséről, kiemelve a Stop gombot.

  1. Miután a virtuális gép leállt, válassza a Lemezek lehetőséget, majd válassza ki a titkosítandó lemezt.

Képernyőkép a példa virtuális gépről, amelyen meg van nyitva a Lemezek panel, az operációsrendszer-lemez ki van emelve, mint egy kijelölendő példalemez.

  1. Válassza a Titkosítás lehetőséget, majd a Kulcskezelés területen válassza ki a kulcstartót és a kulcsot a legördülő listában, az Ügyfél által felügyelt kulcs területen.

  2. Válassza a Mentés lehetőséget.

Képernyőkép a példa operációsrendszer-lemezről, a titkosítási ablaktábla meg van nyitva, a titkosítást az ügyfél által felügyelt kulccsal, valamint a példa Azure Key Vaultot választja ki.

  1. Ismételje meg ezt a folyamatot a titkosítandó virtuális géphez csatlakoztatott többi lemez esetében.

  2. Ha a lemezek befejezik a váltást az ügyfél által felügyelt kulcsokra, ha nincs más csatlakoztatott lemez, amelyet titkosítani szeretne, indítsa el a virtuális gépet.

Fontos

Az ügyfél által felügyelt kulcsok az Azure-erőforrások felügyelt identitásaira támaszkodnak, amely a Microsoft Entra ID egyik funkciója. Az ügyfél által felügyelt kulcsok konfigurálásakor a rendszer automatikusan hozzárendel egy felügyelt identitást az erőforrásokhoz a fedelek alatt. Ha ezt követően áthelyezi az előfizetést, az erőforráscsoportot vagy a felügyelt lemezt egy Microsoft Entra-címtárból egy másikba, a felügyelt lemezekhez társított felügyelt identitás nem lesz átadva az új bérlőnek, így előfordulhat, hogy az ügyfél által felügyelt kulcsok már nem működnek. További információ: Előfizetés átadása a Microsoft Entra-címtárak között.

Az automatikus kulcsváltás engedélyezése meglévő lemeztitkosítási csoportban

  1. Keresse meg azt a lemeztitkosítási csoportot, amelyen engedélyezni szeretné az automatikus kulcsváltást .

  2. A Beállítások területen válassza a Kulcs lehetőséget.

  3. Válassza az Automatikus kulcsváltás lehetőséget, majd a Mentés lehetőséget.