Szyfrowanie danych kopii zapasowej przy użyciu kluczy zarządzanych przez klienta

Azure Backup umożliwia szyfrowanie danych kopii zapasowej przy użyciu kluczy zarządzanych przez klienta zamiast kluczy zarządzanych przez platformę, które są domyślnie włączone. Klucze szyfrujące dane kopii zapasowej muszą być przechowywane w usłudze Azure Key Vault.

Klucz szyfrowania używany do szyfrowania kopii zapasowych może różnić się od klucza używanego dla źródła. Dane są chronione przy użyciu klucza szyfrowania danych opartego na algorytmie AES 256 (DEK), który z kolei jest chroniony przy użyciu kluczy szyfrowania kluczy (KEK). Zapewnia to pełną kontrolę nad danymi i kluczami. Aby zezwolić na szyfrowanie, musisz przyznać magazynowi usługi Recovery Services uprawnienia dostępu do klucza szyfrowania w usłudze Azure Key Vault. Klucz można zmienić, jeśli jest to wymagane.

Ten artykuł obejmuje następujące zagadnienia:

• Tworzenie magazynu usługi Recovery Services
• Konfigurowanie magazynu usługi Recovery Services w celu szyfrowania danych kopii zapasowej przy użyciu kluczy zarządzanych przez klienta (CMK)
• Tworzenie kopii zapasowej magazynów zaszyfrowanych przy użyciu kluczy zarządzanych przez klienta
• Przywracanie danych z kopii zapasowych

Przed rozpoczęciem

• Ta funkcja umożliwia szyfrowanie tylko nowych magazynów usługi Recovery Services. Wszystkie magazyny zawierające istniejące elementy zarejestrowane lub próbujące zostać zarejestrowane w nim nie są obsługiwane.

• Po włączeniu go dla magazynu usługi Recovery Services szyfrowanie przy użyciu kluczy zarządzanych przez klienta nie może zostać przywrócone do używania kluczy zarządzanych przez platformę (ustawienie domyślne). Klucze szyfrowania można zmienić zgodnie z wymaganiami.

• Ta funkcja obecnie nie obsługuje tworzenia kopii zapasowych przy użyciu agenta MARS i może nie być w stanie użyć magazynu szyfrowanego kluczem cmK dla tego samego. Agent MARS używa szyfrowania opartego na hasłach użytkownika. Ta funkcja nie obsługuje również tworzenia kopii zapasowych klasycznych maszyn wirtualnych.

• Ta funkcja nie jest powiązana z usługą Azure Disk Encryption, która korzysta z szyfrowania opartego na gościu dysku maszyny wirtualnej przy użyciu funkcji BitLocker (dla systemu Windows) i DM-Crypt (dla systemu Linux).

• Magazyn usługi Recovery Services można zaszyfrować tylko przy użyciu kluczy przechowywanych w usłudze Azure Key Vault znajdujących się w tym samym regionie. Ponadto klucze muszą być obsługiwane tylko klucze RSA i powinny być w stanie włączonym.

• Przenoszenie magazynu usługi Recovery Services szyfrowanego kluczem cmK między grupami zasobów i subskrypcjami nie jest obecnie obsługiwane.

• Po przeniesieniu magazynu usługi Recovery Services już zaszyfrowanego przy użyciu kluczy zarządzanych przez klienta do nowej dzierżawy należy zaktualizować magazyn usługi Recovery Services, aby ponownie utworzyć i ponownie skonfigurować tożsamość zarządzaną magazynu i klucz zarządzany przez klienta (który powinien znajdować się w nowej dzierżawie). Jeśli nie zostanie to zrobione, operacje tworzenia kopii zapasowej i przywracania zakończy się niepowodzeniem. Ponadto wszystkie uprawnienia kontroli dostępu opartej na rolach (RBAC) platformy Azure skonfigurowane w ramach subskrypcji będą musiały zostać ponownie skonfigurowane.

• Tę funkcję można skonfigurować za pomocą Azure Portal i programu PowerShell.

  Uwaga

  Użyj modułu Az w wersji 5.3.0 lub nowszej, aby używać kluczy zarządzanych przez klienta do tworzenia kopii zapasowych w magazynie usługi Recovery Services.

  Ostrzeżenie

  Jeśli używasz programu PowerShell do zarządzania kluczami szyfrowania dla usługi Backup, nie zalecamy aktualizowania kluczy z portalu.
  Jeśli zaktualizujesz klucz z portalu, nie możesz użyć programu PowerShell do dalszej aktualizacji klucza szyfrowania do momentu udostępnienia aktualizacji programu PowerShell w celu obsługi nowego modelu. Można jednak kontynuować aktualizowanie klucza z Azure Portal.

Jeśli magazyn usługi Recovery Services nie został utworzony i skonfigurowany, zobacz , jak to zrobić tutaj.

Konfigurowanie magazynu do szyfrowania przy użyciu kluczy zarządzanych przez klienta

Aby skonfigurować magazyn, wykonaj następujące akcje w danej sekwencji, aby osiągnąć zamierzone wyniki. Każda akcja jest szczegółowo omawiana w poniższych sekcjach:

1. Włącz tożsamość zarządzaną dla magazynu usługi Recovery Services.

2. Przypisz uprawnienia do magazynu, aby uzyskać dostęp do klucza szyfrowania w usłudze Azure Key Vault.

3. Włącz ochronę przed usuwaniem nietrwałym i przeczyszczaniem na platformie Azure Key Vault.

4. Przypisz klucz szyfrowania do magazynu usługi Recovery Services.

Włączanie tożsamości zarządzanej dla magazynu usługi Recovery Services

Azure Backup używa tożsamości zarządzanych przypisanych przez system i tożsamości zarządzanych przypisanych przez użytkownika do uwierzytelniania magazynu usługi Recovery Services w celu uzyskania dostępu do kluczy szyfrowania przechowywanych w usłudze Azure Key Vault. Aby włączyć tożsamość zarządzaną dla magazynu usługi Recovery Services, wykonaj następujące kroki:

Uwaga

Po włączeniu tej opcji nie można wyłączyć tożsamości zarządzanej (nawet tymczasowo). Wyłączenie tożsamości zarządzanej może prowadzić do niespójnego zachowania.

Włączanie tożsamości zarządzanej przypisanej przez system dla magazynu

Wybierz klienta:

Witryna Azure Portal

1. Przejdź do magazynu usługi Recovery Services —>tożsamość.

   

2. Przejdź do karty Przypisane przez system .

3. Zmień stan na Wł.

4. Wybierz pozycję Zapisz , aby włączyć tożsamość magazynu.

Zostanie wygenerowany identyfikator obiektu, który jest przypisaną przez system tożsamością zarządzaną magazynu.

Uwaga

Po włączeniu tej tożsamości zarządzanej nie można wyłączyć (nawet tymczasowo). Wyłączenie tożsamości zarządzanej może prowadzić do niespójnego zachowania.

Program PowerShell

Użyj polecenia Update-AzRecoveryServicesVault , aby włączyć tożsamość zarządzaną przypisaną przez system dla magazynu usługi Recovery Services.

Przykład:

$vault=Get-AzRecoveryServicesVault -ResourceGroupName "testrg" -Name "testvault"

Update-AzRecoveryServicesVault -IdentityType SystemAssigned -ResourceGroupName TestRG -Name TestVault

$vault.Identity | fl

Dane wyjściowe:

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : SystemAssigned

Interfejs wiersza polecenia

Użyj polecenia az backup vault identity assign , aby włączyć tożsamość zarządzaną przypisaną przez system dla magazynu usługi Recovery Services.

Przykład:

az backup vault identity assign --system-assigned --resource-group MyResourceGroup --name MyVault

Dane wyjściowe:

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : SystemAssigned

Przypisywanie tożsamości zarządzanej przypisanej przez użytkownika do magazynu (w wersji zapoznawczej)

Uwaga

• Magazyny korzystające z tożsamości zarządzanych przypisanych przez użytkownika na potrzeby szyfrowania CMK nie obsługują używania prywatnych punktów końcowych do tworzenia kopii zapasowych.
• Usługa Azure Key Vault ograniczająca dostęp do określonych sieci nie jest jeszcze obsługiwana do użycia wraz z tożsamościami zarządzanymi przypisanymi przez użytkownika na potrzeby szyfrowania cmK.

Aby przypisać tożsamość zarządzaną przypisaną przez użytkownika dla magazynu usługi Recovery Services, wybierz klienta:

Witryna Azure Portal

1. Przejdź do magazynu usługi Recovery Services —>tożsamość.

   

2. Przejdź do karty Przypisane przez użytkownika .

3. Wybierz pozycję +Dodaj , aby dodać tożsamość zarządzaną przypisaną przez użytkownika.

4. W wyświetlonym bloku Dodawanie tożsamości zarządzanej przypisanej przez użytkownika wybierz subskrypcję tożsamości.

5. Wybierz tożsamość z listy. Możesz również filtrować według nazwy tożsamości lub grupy zasobów.

6. Po zakończeniu wybierz pozycję Dodaj , aby zakończyć przypisywanie tożsamości.

Program PowerShell

Użyj polecenia Update-AzRecoveryServicesVault , aby włączyć tożsamość zarządzaną przypisaną przez użytkownika dla magazynu usługi Recovery Services.

Przykład:

$vault = Get-AzRecoveryServicesVault -Name "vaultName" -ResourceGroupName "resourceGroupName"
$identity1 = Get-AzUserAssignedIdentity -ResourceGroupName "resourceGroupName" -Name "UserIdentity1"
$identity2 = Get-AzUserAssignedIdentity -ResourceGroupName "resourceGroupName" -Name "UserIdentity2"
$updatedVault = Update-AzRecoveryServicesVault -ResourceGroupName $vault.ResourceGroupName -Name $vault.Name -IdentityType UserAssigned -IdentityId $identity1.Id, $identity2.Id

$updatedVault.Identity | fl

Dane wyjściowe:

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : UserAssigned
UserAssignedIdentities : {[/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/UserIdentity1, Microsoft.Azure.Management.RecoveryServices.Models.UserIdentity],[/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/UserIdentity2,Microsoft.Azure.Management.RecoveryServices.Models.UserIdentity]}

Interfejs wiersza polecenia

Użyj polecenia az backup vault identity assign , aby włączyć tożsamość zarządzaną przypisaną przez system dla magazynu usługi Recovery Services.

Przykład:

az backup vault identity assign --user-assigned MyIdentityId1 --resource-group MyResourceGroup --name MyVault

Dane wyjściowe:

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : UserAssigned
UserAssignedIdentities : {[/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/MyIdentityId1,Microsoft.Azure.Management.RecoveryServices.Models.UserIdentity]}

Przypisywanie uprawnień do magazynu usługi Recovery Services w celu uzyskania dostępu do klucza szyfrowania w usłudze Azure Key Vault

Uwaga

Jeśli używasz tożsamości przypisanych przez użytkownika, te same uprawnienia muszą być przypisane do tożsamości przypisanej przez użytkownika.

Teraz musisz zezwolić magazynowi usługi Recovery Services na dostęp do usługi Azure Key Vault, która zawiera klucz szyfrowania. W tym celu można zezwolić tożsamości zarządzanej magazynu usługi Recovery Services na dostęp do Key Vault.

Wybierz klienta:

Witryna Azure Portal

1. Przejdź do Key Vault Azure —>zasady dostępu. Przejdź do +Dodaj zasady dostępu.

   

2. W obszarze Uprawnienia klucza wybierz pozycję Pobierz, Lista, Odpakuj klucz i Opakuj operacje klucza. Określa akcje klucza, które będą dozwolone.

   

3. Przejdź do pozycji Wybierz podmiot zabezpieczeń i wyszukaj magazyn w polu wyszukiwania przy użyciu jego nazwy lub tożsamości zarządzanej. Po jego utworzeniu wybierz magazyn i wybierz pozycję Wybierz w dolnej części okienka.

   

4. Po zakończeniu wybierz pozycję Dodaj , aby dodać nowe zasady dostępu.

5. Wybierz pozycję Zapisz, aby zapisać zmiany wprowadzone w zasadach dostępu w usłudze Azure Key Vault.

Uwaga

Rolę RBAC można również przypisać do magazynu usługi Recovery Services, który zawiera wymienione powyżej uprawnienia, takie jak rola Key Vault Crypto Officer.

Te role mogą zawierać dodatkowe uprawnienia inne niż omówione powyżej.

Program PowerShell

Użyj polecenia Get-AzADServicePrincipal , aby uzyskać identyfikator podmiotu zabezpieczeń magazynu usługi Recovery Services, a następnie użyj tego identyfikatora w poleceniu Get-AzADServicePrincipal , aby ustawić zasady dostępu dla magazynu kluczy.

Przykład:

$sp = Get-AzADServicePrincipal -DisplayName MyVault
$Set-AzKeyVaultAccessPolicy -VaultName myKeyVault -ObjectId $sp.Id -PermissionsToKeys get,list,unwrapkey,wrapkey

Interfejs wiersza polecenia

Użyj polecenia az ad sp list , aby uzyskać identyfikator podmiotu zabezpieczeń magazynu usługi Recovery Services, a następnie użyj tego identyfikatora w poleceniu az keyvault set-policy , aby ustawić zasady dostępu dla magazynu kluczy.

Przykład:

az ad sp list --display-name MyVault
az keyvault set-policy --name myKeyVault --object-id <object-id> --key-permissions get,list,unwrapkey,wrapkey

Włączanie ochrony przed usuwaniem nietrwałym i przeczyszczanie w usłudze Azure Key Vault

Należy włączyć ochronę usuwania nietrwałego i przeczyszczania na platformie Azure Key Vault, która przechowuje klucz szyfrowania.

Aby włączyć usuwanie nietrwałe i ochronę przed przeczyszczeniem, wybierz klienta:

Witryna Azure Portal

Możesz to zrobić w interfejsie użytkownika usługi Azure Key Vault, jak pokazano poniżej. Alternatywnie można ustawić te właściwości podczas tworzenia Key Vault. Dowiedz się więcej o tych Key Vault właściwościach.

Program PowerShell

1. Zaloguj się do konta platformy Azure.

   Login-AzAccount
   

2. Wybierz subskrypcję zawierającą magazyn.

   Set-AzContext -SubscriptionId SubscriptionId
   

3. Włącz usuwanie nietrwałe.

   ($resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "AzureKeyVaultName").ResourceId).Properties | Add-Member -MemberType "NoteProperty" -Name "enableSoftDelete" -Value "true"
   

   Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
   

4. Włącz ochronę przed przeczyszczaniem.

   ($resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "AzureKeyVaultName").ResourceId).Properties | Add-Member -MemberType "NoteProperty" -Name "enablePurgeProtection" -Value "true"
   

   Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
   

Interfejs wiersza polecenia

1. Zaloguj się do konta platformy Azure.

   az login
   

2. Wybierz subskrypcję zawierającą magazyn.

   az account set --subscription "Subscription1"
   

3. Włącz usuwanie nietrwałe.

   az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-soft-delete true
   

4. Włącz ochronę przed przeczyszczaniem.

   az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-purge-protection true
   
   

Przypisywanie klucza szyfrowania do magazynu usługi Recovery Services

Uwaga

Przed kontynuowaniem upewnij się, że:

• Wszystkie kroki wymienione powyżej zostały ukończone pomyślnie:
  • Tożsamość zarządzana magazynu usługi Recovery Services została włączona i przypisano wymagane uprawnienia.
  • Usługa Azure Key Vault ma włączoną ochronę przed usuwaniem nietrwałym i przeczyszczaniem.
• Magazyn usługi Recovery Services, dla którego chcesz włączyć szyfrowanie CMK , nie ma żadnych elementów chronionych ani zarejestrowanych w nim.

Po upewnieniu się, że powyższe ustawienia zostaną spełnione, kontynuuj wybieranie klucza szyfrowania dla magazynu.

Aby przypisać klucz i wykonać kroki, wybierz klienta:

Witryna Azure Portal

1. Przejdź do magazynu usługi Recovery Services —>właściwości.

   

2. Wybierz pozycję Aktualizuj w obszarze Ustawienia szyfrowania.

3. W okienku Ustawienia szyfrowania wybierz pozycję Użyj własnego klucza i kontynuuj określanie klucza przy użyciu jednego z następujących sposobów.

   Upewnij się, że używasz klucza RSA, który jest w stanie włączonym.

   1. Wprowadź identyfikator URI klucza , za pomocą którego chcesz zaszyfrować dane w tym magazynie usługi Recovery Services. Należy również określić subskrypcję, w której znajduje się Key Vault platformy Azure (która zawiera ten klucz). Ten identyfikator URI klucza można uzyskać z odpowiedniego klucza w usłudze Azure Key Vault. Upewnij się, że identyfikator URI klucza został skopiowany poprawnie. Zaleca się użycie przycisku Kopiuj do schowka dostarczonego z identyfikatorem klucza.

      Uwaga

      Podczas określania klucza szyfrowania przy użyciu pełnego identyfikatora URI klucza klucz nie zostanie automatycznieotyzowany i należy ręcznie wykonać aktualizacje klucza, określając nowy klucz, jeśli jest to wymagane. Możesz też usunąć składnik Version identyfikatora URI klucza, aby uzyskać automatyczną rotację.

      

   2. Przeglądaj i wybierz klucz z Key Vault w okienku selektora kluczy.

      Uwaga

      Podczas określania klucza szyfrowania przy użyciu okienka selektora kluczy klucz zostanie automatycznie za każdym razem, gdy zostanie włączona nowa wersja klucza. Dowiedz się więcej na temat włączania autorotacji kluczy szyfrowania.

      

4. Wybierz pozycję Zapisz.

5. Śledzenie postępu i stanu aktualizacji klucza szyfrowania: możesz śledzić postęp i stan przypisania klucza szyfrowania przy użyciu widoku Zadania kopii zapasowej na pasku nawigacyjnym po lewej stronie. Stan powinien wkrótce ulec zmianie na Ukończono. Magazyn będzie teraz szyfrować wszystkie dane przy użyciu określonego klucza jako klucza KEK.

   

   Aktualizacje klucza szyfrowania są również rejestrowane w dzienniku aktywności magazynu.

   

Program PowerShell

Użyj polecenia Set-AzRecoveryServicesVaultProperty , aby włączyć szyfrowanie przy użyciu kluczy zarządzanych przez klienta oraz przypisać lub zaktualizować klucz szyfrowania do użycia.

Przykład:

$keyVault = Get-AzKeyVault -VaultName "testkeyvault" -ResourceGroupName "testrg" 
$key = Get-AzKeyVaultKey -VaultName $keyVault -Name "testkey" 
Set-AzRecoveryServicesVaultProperty -EncryptionKeyId $key.ID -KeyVaultSubscriptionId "xxxx-yyyy-zzzz"  -VaultId $vault.ID


$enc=Get-AzRecoveryServicesVaultProperty -VaultId $vault.ID
$enc.encryptionProperties | fl

Dane wyjściowe:

EncryptionAtRestType          : CustomerManaged
KeyUri                        : testkey
SubscriptionId                : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 
LastUpdateStatus              : Succeeded
InfrastructureEncryptionState : Disabled

Interfejs wiersza polecenia

Użyj polecenia az backup vault encryption update , aby włączyć szyfrowanie przy użyciu kluczy zarządzanych przez klienta i przypisać lub zaktualizować klucz szyfrowania do użycia.

Przykład:

az backup vault encryption update --encryption-key-id MyEncryptionKeyId --mi-system-assigned --resource-group MyResourceGroup --name MyVault

Dane wyjściowe:

EncryptionAtRestType          : CustomerManaged
KeyUri                        : testkey
SubscriptionId                : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 
LastUpdateStatus              : Succeeded
InfrastructureEncryptionState : Disabled

Uwaga

Ten proces pozostaje taki sam, gdy chcesz zaktualizować lub zmienić klucz szyfrowania. Jeśli chcesz zaktualizować i użyć klucza z innej Key Vault (innej niż ta, która jest obecnie używana), upewnij się, że:

• Magazyn kluczy znajduje się w tym samym regionie co magazyn usługi Recovery Services.

• Magazyn kluczy ma włączoną ochronę przed usuwaniem nietrwałym i przeczyszczaniem.

• Magazyn usługi Recovery Services ma wymagane uprawnienia dostępu do magazynu kluczy.

Tworzenie kopii zapasowej magazynu zaszyfrowanego przy użyciu kluczy zarządzanych przez klienta

Przed kontynuowaniem konfigurowania ochrony zdecydowanie zalecamy przestrzeganie poniższej listy kontrolnej. Jest to ważne, ponieważ po skonfigurowaniu elementu do utworzenia kopii zapasowej (lub próby skonfigurowania) w magazynie niezaszyfrowanym za pomocą klucza zarządzanego przez klienta nie można włączyć szyfrowania przy użyciu kluczy zarządzanych przez klienta i będzie nadal używać kluczy zarządzanych przez platformę.

Ważne

Przed kontynuowaniem konfigurowania ochrony należy pomyślnie wykonać następujące kroki:

1. Tworzenie magazynu usługi Recovery Services
2. Włączono tożsamość zarządzaną przypisaną przez system magazynu usługi Recovery Services lub przypisano tożsamość zarządzaną przypisaną przez użytkownika do magazynu
3. Przypisane uprawnienia do magazynu usługi Recovery Services (lub tożsamości zarządzanej przypisanej przez użytkownika) w celu uzyskania dostępu do kluczy szyfrowania z Key Vault
4. Włączono usuwanie nietrwałe i ochronę przed przeczyszczaniem Key Vault
5. Przypisano prawidłowy klucz szyfrowania dla magazynu usługi Recovery Services

Jeśli wszystkie powyższe kroki zostały potwierdzone, przejdź tylko do konfigurowania kopii zapasowej.

Proces konfigurowania i wykonywania kopii zapasowych w magazynie usługi Recovery Services zaszyfrowanym przy użyciu kluczy zarządzanych przez klienta jest taki sam jak magazyn, który używa kluczy zarządzanych przez platformę bez zmian w środowisku. Dotyczy to tworzenia kopii zapasowych maszyn wirtualnych platformy Azure, a także tworzenia kopii zapasowych obciążeń uruchomionych na maszynie wirtualnej (na przykład SAP HANA, SQL Server baz danych).

Przywracanie danych z kopii zapasowej

Kopia zapasowa maszyny wirtualnej

Dane przechowywane w magazynie usługi Recovery Services można przywrócić zgodnie z krokami opisanymi tutaj. Podczas przywracania z magazynu usługi Recovery Services zaszyfrowanego przy użyciu kluczy zarządzanych przez klienta można wybrać szyfrowanie przywróconych danych przy użyciu zestawu szyfrowania dysków (DES).

Uwaga

Środowisko opisane w tej sekcji ma zastosowanie tylko w przypadku przywracania danych z magazynów zaszyfrowanych za pomocą klucza zarządzanego przez klienta. Podczas przywracania danych z magazynu, który nie korzysta z szyfrowania CMK, przywrócone dane będą szyfrowane przy użyciu kluczy zarządzanych platformy. W przypadku przywrócenia z migawki natychmiastowego odzyskiwania będzie ona szyfrowana przy użyciu mechanizmu używanego do szyfrowania dysku źródłowego.

Przywracanie maszyny wirtualnej/dysku

1. Po odzyskaniu dysku/maszyny wirtualnej z punktu odzyskiwania migawki przywrócone dane zostaną zaszyfrowane przy użyciu des używanego do szyfrowania dysków źródłowej maszyny wirtualnej.

2. Podczas przywracania dysku/maszyny wirtualnej z punktu odzyskiwania z typem odzyskiwania jako magazynem można wybrać zaszyfrowanie przywróconych danych przy użyciu des określonego w czasie przywracania. Alternatywnie możesz kontynuować przywracanie danych bez określania des, w którym przypadku zostanie zastosowane ustawienie szyfrowania na maszynie wirtualnej.

3. Podczas przywracania między regionami maszyny wirtualne platformy Azure z włączoną obsługą klucza zarządzanego przez klienta(CMK), których kopie zapasowe nie są tworzone w magazynie usługi Recovery Services z włączoną obsługą klucza zarządzanego przez klienta, są przywracane jako maszyny wirtualne z włączoną obsługą klucza zarządzanego przez klienta w regionie pomocniczym.

Przywrócony dysk/maszyna wirtualna można zaszyfrować po zakończeniu przywracania, niezależnie od wyboru dokonanego podczas inicjowania przywracania.

Wybieranie zestawu szyfrowania dysków podczas przywracania z punktu odzyskiwania magazynu

Wybierz klienta:

Witryna Azure Portal

Aby określić zestaw szyfrowania dysków w obszarze Ustawienia szyfrowania w okienku przywracania, wykonaj następujące kroki:

1. W obszarze Szyfruj dyski przy użyciu klucza wybierz pozycję Tak.

2. Z listy rozwijanej wybierz des, którego chcesz użyć dla przywróconych dysków. Upewnij się, że masz dostęp do DES.

Uwaga

Możliwość wybrania funkcji przywracania w DES czasie jest teraz obsługiwana, jeśli wykonujesz przywracanie między regionami. Jednak obecnie nie jest obsługiwana, jeśli przywracasz maszynę wirtualną korzystającą z usługi Azure Disk Encryption.

Program PowerShell

Użyj polecenia Get-AzRecoveryServicesBackupItem z parametrem [-DiskEncryptionSetId <string>], aby określić des , który ma być używany do szyfrowania przywróconego dysku. Aby uzyskać więcej informacji na temat przywracania dysków z kopii zapasowej maszyny wirtualnej, zobacz ten artykuł.

Przykład:

$namedContainer = Get-AzRecoveryServicesBackupContainer  -ContainerType "AzureVM" -Status "Registered" -FriendlyName "V2VM" -VaultId $vault.ID
$backupitem = Get-AzRecoveryServicesBackupItem -Container $namedContainer  -WorkloadType "AzureVM" -VaultId $vault.ID
$startDate = (Get-Date).AddDays(-7)
$endDate = Get-Date
$rp = Get-AzRecoveryServicesBackupRecoveryPoint -Item $backupitem -StartDate $startdate.ToUniversalTime() -EndDate $enddate.ToUniversalTime() -VaultId $vault.ID
$restorejob = Restore-AzRecoveryServicesBackupItem -RecoveryPoint $rp[0] -StorageAccountName "DestAccount" -StorageAccountResourceGroupName "DestRG" -TargetResourceGroupName "DestRGforManagedDisks" -DiskEncryptionSetId "testdes1" -VaultId $vault.ID

Interfejs wiersza polecenia

Użyj polecenia az backup restore-disks z parametrem [-DiskEncryptionSetId <string>], aby określić des , który ma być używany do szyfrowania przywróconego dysku.

Przykład:

az backup recoverypoint list --container-name MyContainer --item-name MyItem --resource-group MyResourceGroup --vault-name MyVault
az backup restore restore-disks --container-name MyContainer --disk-encryption-set-id testdes1 --item-name MyItem --resource-group MyResourceGroup --rp-name MyRp --storage-account mystorageaccount --vault-name MyVault

Przywracanie plików

Podczas przywracania pliku przywrócone dane zostaną zaszyfrowane przy użyciu klucza używanego do szyfrowania lokalizacji docelowej.

Przywracanie baz danych SAP HANA/SQL na maszynach wirtualnych platformy Azure

Po przywróceniu z kopii zapasowej bazy danych SAP HANA/SQL działającej na maszynie wirtualnej platformy Azure przywrócone dane zostaną zaszyfrowane przy użyciu klucza szyfrowania używanego w docelowej lokalizacji magazynu. Może to być klucz zarządzany przez klienta lub klucz zarządzany przez platformę używany do szyfrowania dysków maszyny wirtualnej.

Tematy dodatkowe

Włączanie szyfrowania przy użyciu kluczy zarządzanych przez klienta podczas tworzenia magazynu (w wersji zapoznawczej)

Uwaga

Włączenie szyfrowania podczas tworzenia magazynu przy użyciu kluczy zarządzanych przez klienta jest dostępne w ograniczonej publicznej wersji zapoznawczej i wymaga listy dozwolonych subskrypcji. Aby zarejestrować się w celu uzyskania wersji zapoznawczej, wypełnij formularz i napisz do nas pod adresem AskAzureBackupTeam@microsoft.com.

Po wyświetleniu listy dozwolonych subskrypcji zostanie wyświetlona karta Szyfrowanie kopii zapasowych . Umożliwia to włączenie szyfrowania kopii zapasowej przy użyciu kluczy zarządzanych przez klienta podczas tworzenia nowego magazynu usługi Recovery Services. Aby włączyć szyfrowanie, wykonaj następujące kroki:

1. Obok karty Podstawowe na karcie Szyfrowanie kopii zapasowej określ klucz szyfrowania i tożsamość do użycia na potrzeby szyfrowania.

   

   Uwaga

   Ustawienia dotyczą tylko kopii zapasowej i są opcjonalne.

2. Wybierz pozycję Użyj klucza zarządzanego przez klienta jako typu szyfrowania.

3. Aby określić klucz, który ma być używany do szyfrowania, wybierz odpowiednią opcję.

   Możesz podać identyfikator URI klucza szyfrowania lub przejrzeć i wybrać klucz. Po określeniu klucza przy użyciu opcji Wybierz Key Vault automatyczne włączenie autorotacji klucza szyfrowania. Dowiedz się więcej na temat autorotacji.

4. Określ tożsamość zarządzaną przypisaną przez użytkownika, aby zarządzać szyfrowaniem przy użyciu kluczy zarządzanych przez klienta. Kliknij pozycję Wybierz , aby przeglądać i wybrać wymaganą tożsamość.

5. Przejdź do dodawania tagów (opcjonalnie) i kontynuuj tworzenie magazynu.

Włączanie autorotacji kluczy szyfrowania

Po określeniu klucza zarządzanego przez klienta, który musi być używany do szyfrowania kopii zapasowych, użyj następujących metod, aby go określić:

• Wprowadź identyfikator URI klucza
• Wybierz z Key Vault

Użycie opcji Wybierz z Key Vault ułatwia włączenie autorotacji dla wybranego klucza. Eliminuje to ręczne wysiłki w celu zaktualizowania do następnej wersji. Jednak przy użyciu tej opcji:

• Zastosowanie aktualizacji wersji klucza może potrwać do godziny.
• Gdy nowa wersja klucza zostanie wprowadzona, stara wersja powinna być również dostępna (w stanie włączonym) dla co najmniej jednego kolejnego zadania tworzenia kopii zapasowej po wprowadzeniu aktualizacji klucza.

Uwaga

Podczas określania klucza szyfrowania przy użyciu pełnego identyfikatora URI klucza klucz nie zostanie automatycznie obrócony i należy ręcznie wykonać aktualizacje klucza, określając nowy klucz w razie potrzeby. Aby włączyć rotację automatyczną, usuń składnik Version identyfikatora URI klucza.

Używanie zasad platformy Azure do przeprowadzania inspekcji i wymuszania szyfrowania za pomocą kluczy zarządzanych przez klienta (w wersji zapoznawczej)

Azure Backup umożliwia używanie usługi Azure Polices do przeprowadzania inspekcji i wymuszania szyfrowania przy użyciu kluczy zarządzanych przez klienta danych w magazynie usługi Recovery Services. Korzystanie z zasad platformy Azure:

• Zasady inspekcji mogą służyć do inspekcji magazynów z szyfrowaniem przy użyciu kluczy zarządzanych przez klienta, które są włączone po 04.04.01.2021. W przypadku magazynów z włączonym szyfrowaniem CMK przed tą datą zasady mogą nie zostać zastosowane lub mogą pokazywać wyniki fałszywie ujemne (oznacza to, że te magazyny mogą być zgłaszane jako niezgodne, mimo włączenia szyfrowania CMK ).

• Aby użyć zasad inspekcji dla magazynów inspekcji z włączonym szyfrowaniem CMK przed 04.01.2021 r., użyj Azure Portal, aby zaktualizować klucz szyfrowania. Ułatwia to uaktualnienie do nowego modelu. Jeśli nie chcesz zmieniać klucza szyfrowania, ponownie podaj ten sam klucz za pomocą identyfikatora URI klucza lub opcji wyboru klucza.

  Ostrzeżenie

  Jeśli używasz programu PowerShell do zarządzania kluczami szyfrowania dla kopii zapasowej, nie zalecamy aktualizowania kluczy z portalu.
  Jeśli zaktualizujesz klucz z portalu, nie możesz użyć programu PowerShell do dalszej aktualizacji klucza szyfrowania, dopóki nie będzie dostępna aktualizacja programu PowerShell do obsługi nowego modelu. Można jednak kontynuować aktualizowanie klucza z Azure Portal.

Często zadawane pytania

Czy mogę zaszyfrować istniejący magazyn usługi Backup przy użyciu kluczy zarządzanych przez klienta?

Nie, szyfrowanie CMK można włączyć tylko dla nowych magazynów. Dlatego magazyn nigdy nie może mieć chronionych elementów. W rzeczywistości przed włączeniem szyfrowania przy użyciu kluczy zarządzanych przez klienta nie trzeba podejmować żadnych prób ochrony elementów w magazynie.

Próbowałem chronić element w magazynie, ale nie powiodło się, a magazyn nadal nie zawiera żadnych elementów chronionych. Czy mogę włączyć szyfrowanie CMK dla tego magazynu?

Nie, magazyn nie może mieć żadnych prób ochrony żadnych elementów w przeszłości.

Mam magazyn korzystający z szyfrowania CMK. Czy można później przywrócić szyfrowanie przy użyciu kluczy zarządzanych przez platformę, nawet jeśli mam elementy kopii zapasowej chronione w magazynie?

Nie, po włączeniu szyfrowania CMK nie można przywrócić go do używania kluczy zarządzanych przez platformę. Klucze używane zgodnie z wymaganiami można zmienić.

Czy szyfrowanie klucza zarządzanego przez klienta dla Azure Backup dotyczy również usługi Azure Site Recovery?

Nie, w tym artykule omówiono szyfrowanie tylko danych kopii zapasowej. W przypadku usługi Azure Site Recovery należy ustawić właściwość oddzielnie jako dostępną od usługi.

Brakowało mi jednego z kroków w tym artykule i włączono ochronę mojego źródła danych. Czy nadal mogę używać szyfrowania CMK?

Wykonanie kroków opisanych w artykule i kontynuowanie ochrony elementów może prowadzić do tego, że magazyn nie może używać szyfrowania przy użyciu kluczy zarządzanych przez klienta. Dlatego zaleca się odwoływanie się do tej listy kontrolnej przed kontynuowaniem ochrony elementów.

Czy użycie klucza zarządzanego przez klienta powoduje dodanie kosztu tworzenia kopii zapasowych?

Korzystanie z szyfrowania CMK dla kopii zapasowej nie wiąże się z żadnymi dodatkowymi kosztami. Możesz jednak nadal ponosić koszty korzystania z usługi Azure Key Vault, w której jest przechowywany klucz.

Następne kroki

Omówienie funkcji zabezpieczeń w Azure Backup.