Szyfrowanie danych kopii zapasowej przy użyciu kluczy zarządzanych przez klienta

Azure Backup umożliwia szyfrowanie danych kopii zapasowej przy użyciu kluczy zarządzanych przez klienta zamiast kluczy zarządzanych przez platformę, które są domyślnie włączone. Klucze szyfrują dane kopii zapasowej muszą być przechowywane w usłudze Azure Key Vault.

Klucz szyfrowania używany do szyfrowania kopii zapasowych może różnić się od klucza używanego dla źródła. Dane są chronione przy użyciu klucza szyfrowania danych opartego na algorytmie AES 256 (DEK), który z kolei jest chroniony przy użyciu kluczy szyfrowania kluczy (KEK). Zapewnia to pełną kontrolę nad danymi i kluczami. Aby zezwolić na szyfrowanie, musisz przyznać magazynowi usługi Recovery Services uprawnienia dostępu do klucza szyfrowania w usłudze Azure Key Vault. Klucz można zmienić, jeśli jest to wymagane.

W tym artykule omówiono następujące zagadnienia:

  • Tworzenie magazynu usługi Recovery Services
  • Konfigurowanie magazynu usługi Recovery Services w celu szyfrowania danych kopii zapasowej przy użyciu kluczy zarządzanych przez klienta (CMK)
  • Tworzenie kopii zapasowej magazynów zaszyfrowanych przy użyciu kluczy zarządzanych przez klienta
  • Przywracanie danych z kopii zapasowych

Przed rozpoczęciem

  • Ta funkcja umożliwia szyfrowanie tylko nowych magazynów usługi Recovery Services. Wszystkie magazyny zawierające istniejące elementy zarejestrowane lub próbujące zostać zarejestrowane w nim nie są obsługiwane.

  • Po włączeniu dla magazynu usługi Recovery Services szyfrowanie przy użyciu kluczy zarządzanych przez klienta nie może zostać przywrócone do używania kluczy zarządzanych przez platformę (ustawienie domyślne). Klucze szyfrowania można zmienić zgodnie z wymaganiami.

  • Ta funkcja obecnie nie obsługuje tworzenia kopii zapasowych przy użyciu agenta MARS i może nie być w stanie użyć magazynu szyfrowanego kluczem cmK dla tego samego. Agent MARS używa szyfrowania opartego na hasłach użytkownika. Ta funkcja nie obsługuje również tworzenia kopii zapasowych klasycznych maszyn wirtualnych.

  • Ta funkcja nie jest powiązana z usługą Azure Disk Encryption, która korzysta z szyfrowania opartego na gościu dysku maszyny wirtualnej przy użyciu funkcji BitLocker (dla systemu Windows) i DM-Crypt (dla systemu Linux).

  • Magazyn usługi Recovery Services można zaszyfrować tylko przy użyciu kluczy przechowywanych w usłudze Azure Key Vault znajdujących się w tym samym regionie. Ponadto klucze muszą być tylko kluczami RSA i powinny być w stanie włączonym .

  • Przenoszenie magazynu usługi Recovery Services szyfrowanego kluczem cmK między grupami zasobów i subskrypcjami nie jest obecnie obsługiwane.

  • Magazyny usługi Recovery Services zaszyfrowane za pomocą kluczy zarządzanych przez klienta nie obsługują obecnie przywracania wystąpień kopii zapasowych między regionami.

  • Po przeniesieniu magazynu usługi Recovery Services już zaszyfrowanego przy użyciu kluczy zarządzanych przez klienta do nowej dzierżawy należy zaktualizować magazyn usługi Recovery Services, aby ponownie utworzyć i ponownie skonfigurować tożsamość zarządzaną magazynu i klucz zarządzany przez klienta (który powinien znajdować się w nowej dzierżawie). Jeśli nie zostanie to zrobione, operacje tworzenia kopii zapasowej i przywracania zakończy się niepowodzeniem. Ponadto wszystkie uprawnienia kontroli dostępu opartej na rolach (RBAC) platformy Azure skonfigurowane w ramach subskrypcji będą musiały zostać ponownie skonfigurowane.

  • Tę funkcję można skonfigurować za pomocą Azure Portal i programu PowerShell.

    Uwaga

    Użyj modułu Az w wersji 5.3.0 lub nowszej, aby używać kluczy zarządzanych przez klienta do tworzenia kopii zapasowych w magazynie usługi Recovery Services.

    Ostrzeżenie

    Jeśli używasz programu PowerShell do zarządzania kluczami szyfrowania dla usługi Backup, nie zalecamy aktualizowania kluczy z portalu.
    Jeśli zaktualizujesz klucz z portalu, nie możesz użyć programu PowerShell do dalszej aktualizacji klucza szyfrowania, dopóki nie będzie dostępna aktualizacja programu PowerShell do obsługi nowego modelu. Można jednak kontynuować aktualizowanie klucza z Azure Portal.

Jeśli magazyn usługi Recovery Services nie został utworzony i skonfigurowany, zobacz , jak to zrobić tutaj.

Konfigurowanie magazynu do szyfrowania przy użyciu kluczy zarządzanych przez klienta

Aby skonfigurować magazyn, wykonaj następujące akcje w danej sekwencji, aby osiągnąć zamierzone wyniki. Każda akcja jest szczegółowo omawiana w poniższych sekcjach:

  1. Włącz tożsamość zarządzaną dla magazynu usługi Recovery Services.

  2. Przypisz uprawnienia do magazynu, aby uzyskać dostęp do klucza szyfrowania w usłudze Azure Key Vault.

  3. Włącz ochronę przed usuwaniem nietrwałym i przeczyszczaniem na platformie Azure Key Vault.

  4. Przypisz klucz szyfrowania do magazynu usługi Recovery Services.

Włączanie tożsamości zarządzanej dla magazynu usługi Recovery Services

Azure Backup używa tożsamości zarządzanych przypisanych przez system i tożsamości zarządzanych przypisanych przez użytkownika do uwierzytelniania magazynu usługi Recovery Services w celu uzyskania dostępu do kluczy szyfrowania przechowywanych w usłudze Azure Key Vault. Aby włączyć tożsamość zarządzaną dla magazynu usługi Recovery Services, wykonaj następujące kroki:

Uwaga

Po włączeniu tej opcji nie można wyłączyć tożsamości zarządzanej (nawet tymczasowo). Wyłączenie tożsamości zarządzanej może prowadzić do niespójnego zachowania.

Włączanie tożsamości zarządzanej przypisanej przez system dla magazynu

Wybierz klienta:

  1. Przejdź do magazynu usługi Recovery Services —>Tożsamość

    Ustawienia tożsamości

  2. Przejdź do karty Przypisane przez system .

  3. Zmień stan na .

  4. Kliknij przycisk Zapisz , aby włączyć tożsamość magazynu.

Zostanie wygenerowany identyfikator obiektu, który jest przypisaną przez system tożsamością zarządzaną magazynu.

Uwaga

Po włączeniu tej tożsamości zarządzanej nie można wyłączyć (nawet tymczasowo). Wyłączenie tożsamości zarządzanej może prowadzić do niespójnego zachowania.

Przypisywanie tożsamości zarządzanej przypisanej przez użytkownika do magazynu (w wersji zapoznawczej)

Uwaga

  • Magazyny korzystające z tożsamości zarządzanych przypisanych przez użytkownika na potrzeby szyfrowania CMK nie obsługują używania prywatnych punktów końcowych do tworzenia kopii zapasowych.
  • Usługa Azure Key Vault ograniczająca dostęp do określonych sieci nie jest jeszcze obsługiwana do użycia wraz z tożsamościami zarządzanymi przypisanymi przez użytkownika na potrzeby szyfrowania cmK.

Aby przypisać tożsamość zarządzaną przypisaną przez użytkownika dla magazynu usługi Recovery Services, wybierz klienta:

  1. Przejdź do magazynu usługi Recovery Services —>Tożsamość

    Przypisywanie tożsamości zarządzanej przypisanej przez użytkownika do magazynu

  2. Przejdź do karty Przypisane przez użytkownika .

  3. Kliknij pozycję +Dodaj , aby dodać tożsamość zarządzaną przypisaną przez użytkownika.

  4. W wyświetlonym bloku Dodawanie tożsamości zarządzanej przypisanej przez użytkownika wybierz subskrypcję tożsamości.

  5. Wybierz tożsamość z listy. Możesz również filtrować według nazwy tożsamości lub grupy zasobów.

  6. Po zakończeniu kliknij przycisk Dodaj , aby zakończyć przypisywanie tożsamości.

Przypisywanie uprawnień do magazynu usługi Recovery Services w celu uzyskania dostępu do klucza szyfrowania w usłudze Azure Key Vault

Uwaga

Jeśli używasz tożsamości przypisanych przez użytkownika, te same uprawnienia muszą być przypisane do tożsamości przypisanej przez użytkownika.

Teraz musisz zezwolić magazynowi usługi Recovery Services na dostęp do usługi Azure Key Vault, która zawiera klucz szyfrowania. W tym celu można zezwolić tożsamości zarządzanej magazynu usługi Recovery Services na dostęp do Key Vault.

Wybierz klienta:

  1. Przejdź do Key Vault Azure —>zasady dostępu. Przejdź do +Dodaj zasady dostępu.

    Dodawanie zasad dostępu

  2. W obszarze Uprawnienia klucza wybierz pozycję Pobierz, Wyświetl, Odpakuj klucz i Opakuj operacje klucza . Określa to akcje klucza, które będą dozwolone.

    Przypisywanie uprawnień klucza

  3. Przejdź do pozycji Wybierz jednostkę i wyszukaj magazyn w polu wyszukiwania przy użyciu jego nazwy lub tożsamości zarządzanej. Gdy zostanie wyświetlony magazyn, wybierz magazyn i wybierz pozycję Wybierz w dolnej części okienka.

    Wybieranie podmiotu zabezpieczeń

  4. Po zakończeniu wybierz pozycję Dodaj , aby dodać nowe zasady dostępu.

  5. Wybierz pozycję Zapisz, aby zapisać zmiany wprowadzone w zasadach dostępu w usłudze Azure Key Vault.

Uwaga

Rolę RBAC można również przypisać do magazynu usługi Recovery Services, który zawiera wymienione powyżej uprawnienia, takie jak rola Key Vault Crypto Officer.

Te role mogą zawierać dodatkowe uprawnienia inne niż wymienione powyżej.

Włączanie ochrony przed usuwaniem nietrwałym i przeczyszczanie na platformie Azure Key Vault

Należy włączyć ochronę usuwania nietrwałego i przeczyszczania w usłudze Azure Key Vault, która przechowuje klucz szyfrowania.

Aby włączyć ochronę przed usuwaniem nietrwałym i przeczyszczaniem, wybierz klienta:

Możesz to zrobić w interfejsie użytkownika usługi Azure Key Vault, jak pokazano poniżej. Alternatywnie można ustawić te właściwości podczas tworzenia Key Vault. Dowiedz się więcej o tych właściwościach Key Vault.

Włączanie usuwania nietrwałego i ochrony przed przeczyszczaniem

Przypisywanie klucza szyfrowania do magazynu usługi Recovery Services

Uwaga

Przed kontynuowaniem upewnij się, że:

  • Wszystkie kroki wymienione powyżej zostały ukończone pomyślnie:
    • Tożsamość zarządzana magazynu usługi Recovery Services została włączona i przypisano wymagane uprawnienia
    • Usługa Azure Key Vault ma włączoną ochronę przed usuwaniem nietrwałym i przeczyszczaniem
  • Magazyn usługi Recovery Services, dla którego chcesz włączyć szyfrowanie CMK , nie ma żadnych elementów chronionych ani zarejestrowanych w nim

Po upewnieniu się, że powyższe informacje zostaną spełnione, kontynuuj wybieranie klucza szyfrowania dla magazynu.

Aby przypisać klucz i wykonać kroki, wybierz klienta:

  1. Przejdź do magazynu usługi Recovery Services —>właściwości

    Ustawienia szyfrowania

  2. Wybierz pozycję Aktualizuj w obszarze Ustawienia szyfrowania.

  3. W okienku Ustawienia szyfrowania wybierz pozycję Użyj własnego klucza i kontynuuj określanie klucza przy użyciu jednego z następujących sposobów. Upewnij się, że klucz, którego chcesz użyć, to klucz RSA 2048, który jest w stanie włączonym.

    1. Wprowadź identyfikator URI klucza , za pomocą którego chcesz zaszyfrować dane w tym magazynie usługi Recovery Services. Należy również określić subskrypcję, w której znajduje się usługa Azure Key Vault (która zawiera ten klucz). Ten identyfikator URI klucza można uzyskać z odpowiedniego klucza w usłudze Azure Key Vault. Upewnij się, że identyfikator URI klucza został skopiowany poprawnie. Zaleca się użycie przycisku Kopiuj do schowka dostarczonego za pomocą identyfikatora klucza.

      Uwaga

      Podczas określania klucza szyfrowania przy użyciu identyfikatora URI klucza klucz nie zostanie automatycznie obrócony. W związku z tym należy ręcznie wykonać kluczowe aktualizacje, określając nowy klucz w razie potrzeby.

      Wprowadź identyfikator URI klucza

    2. Przeglądaj i wybierz klucz z Key Vault w okienku selektora kluczy.

      Uwaga

      Podczas określania klucza szyfrowania przy użyciu okienka selektora kluczy klucz będzie obracany automatycznie po włączeniu nowej wersji klucza. Dowiedz się więcej na temat włączania automatycznego obrotu kluczy szyfrowania.

      Wybieranie klucza z magazynu kluczy

  4. Wybierz pozycję Zapisz.

  5. Śledzenie postępu i stanu aktualizacji klucza szyfrowania: możesz śledzić postęp i stan przypisania klucza szyfrowania przy użyciu widoku Zadania kopii zapasowej na pasku nawigacyjnym po lewej stronie. Stan powinien wkrótce ulec zmianie na Ukończono. Magazyn będzie teraz szyfrować wszystkie dane przy użyciu określonego klucza jako klucza KEK.

    Stan ukończony

    Aktualizacje klucza szyfrowania są również rejestrowane w dzienniku aktywności magazynu.

    Dziennik aktywności

Tworzenie kopii zapasowej magazynu zaszyfrowanego przy użyciu kluczy zarządzanych przez klienta

Przed kontynuowaniem konfigurowania ochrony zdecydowanie zalecamy przestrzeganie poniższej listy kontrolnej. Jest to ważne, ponieważ po skonfigurowaniu kopii zapasowej elementu (lub próby skonfigurowania) w magazynie zaszyfrowanym bez klucza CMK szyfrowanie przy użyciu kluczy zarządzanych przez klienta nie może być włączone i będzie nadal używać kluczy zarządzanych przez platformę.

Ważne

Przed kontynuowaniem konfigurowania ochrony należy pomyślnie wykonać następujące kroki:

  1. Utworzono magazyn usługi Recovery Services
  2. Włączono tożsamość zarządzaną przypisaną przez system magazynu usługi Recovery Services lub przypisano tożsamość zarządzaną przypisaną przez użytkownika do magazynu
  3. Przypisane uprawnienia do magazynu usługi Recovery Services (lub przypisanej przez użytkownika tożsamości zarządzanej) w celu uzyskania dostępu do kluczy szyfrowania z Key Vault
  4. Włączono ochronę usuwania nietrwałego i przeczyszczania Key Vault
  5. Przypisano prawidłowy klucz szyfrowania dla magazynu usługi Recovery Services

Jeśli wszystkie powyższe kroki zostały potwierdzone, dopiero wtedy kontynuuj konfigurowanie kopii zapasowej.

Proces konfigurowania i wykonywania kopii zapasowych w magazynie usługi Recovery Services zaszyfrowanym przy użyciu kluczy zarządzanych przez klienta jest taki sam jak w magazynie korzystającym z kluczy zarządzanych przez platformę, bez zmian w środowisku. Dotyczy to tworzenia kopii zapasowych maszyn wirtualnych platformy Azure oraz tworzenia kopii zapasowych obciążeń działających na maszynie wirtualnej (na przykład sap HANA, SQL Server baz danych).

Przywracanie danych z kopii zapasowej

Kopia zapasowa maszyny wirtualnej

Dane przechowywane w magazynie usługi Recovery Services można przywrócić zgodnie z instrukcjami opisanymi tutaj. Podczas przywracania z magazynu usługi Recovery Services zaszyfrowanego przy użyciu kluczy zarządzanych przez klienta można wybrać szyfrowanie przywróconych danych przy użyciu zestawu szyfrowania dysków (DES).

Przywracanie maszyny wirtualnej/dysku

  1. Podczas odzyskiwania dysku/maszyny wirtualnej z punktu odzyskiwania "Migawka" przywrócone dane zostaną zaszyfrowane przy użyciu des używanego do szyfrowania źródłowych dysków maszyny wirtualnej.

  2. Podczas przywracania dysku/maszyny wirtualnej z punktu odzyskiwania z typem odzyskiwania jako "Vault" można wybrać, czy przywrócone dane są szyfrowane przy użyciu des określonego w momencie przywracania. Alternatywnie możesz kontynuować przywracanie danych bez określania des, w którym przypadku będzie ona szyfrowana przy użyciu kluczy zarządzanych przez firmę Microsoft.

  3. Podczas przywracania między regionami klucz cmK (klucze zarządzane przez klienta) włączył maszyny wirtualne platformy Azure, które nie są kopiami zapasowymi w magazynie usługi Recovery Services z włączoną obsługą klucza zarządzanego przez klienta, są przywracane jako maszyny wirtualne z włączoną obsługą klucza cmK w regionie pomocniczym.

Przywrócony dysk/maszyna wirtualna można zaszyfrować po zakończeniu przywracania, niezależnie od wyboru dokonanego podczas inicjowania przywracania.

Punkty przywracania

Wybierz zestaw szyfrowania dysków podczas przywracania z punktu odzyskiwania magazynu

Wybierz klienta:

Aby określić zestaw szyfrowania dysków w obszarze Ustawienia szyfrowania w okienku przywracania, wykonaj następujące kroki:

  1. W obszarze Szyfruj dyski przy użyciu klucza wybierz pozycję Tak.

  2. Z listy rozwijanej wybierz des, którego chcesz użyć dla przywróconych dysków. Upewnij się, że masz dostęp do DES.

Uwaga

Możliwość wybrania des podczas przywracania nie jest dostępna, jeśli przywracasz maszynę wirtualną korzystającą z usługi Azure Disk Encryption.

Szyfrowanie dysku przy użyciu klucza

Przywracanie plików

Podczas przywracania pliku przywrócone dane zostaną zaszyfrowane przy użyciu klucza używanego do szyfrowania lokalizacji docelowej.

Przywracanie baz danych SAP HANA/SQL na maszynach wirtualnych platformy Azure

Podczas przywracania z kopii zapasowej bazy danych SAP HANA/SQL działającej na maszynie wirtualnej platformy Azure przywrócone dane zostaną zaszyfrowane przy użyciu klucza szyfrowania używanego w docelowej lokalizacji magazynu. Może to być klucz zarządzany przez klienta lub klucz zarządzany przez platformę używany do szyfrowania dysków maszyny wirtualnej.

Tematy dodatkowe

Włączanie szyfrowania przy użyciu kluczy zarządzanych przez klienta podczas tworzenia magazynu (w wersji zapoznawczej)

Uwaga

Włączenie szyfrowania podczas tworzenia magazynu przy użyciu kluczy zarządzanych przez klienta jest w ograniczonej publicznej wersji zapoznawczej i wymaga listy dozwolonych subskrypcji. Aby zarejestrować się w celu uzyskania wersji zapoznawczej, wypełnij formularz i napisz do nas pod adresem AskAzureBackupTeam@microsoft.com.

Gdy subskrypcja jest wyświetlana na liście dozwolonych, zostanie wyświetlona karta Szyfrowanie kopii zapasowych . Umożliwia to włączenie szyfrowania kopii zapasowej przy użyciu kluczy zarządzanych przez klienta podczas tworzenia nowego magazynu usługi Recovery Services. Aby włączyć szyfrowanie, wykonaj następujące kroki:

  1. Obok karty Podstawowe na karcie Szyfrowanie kopii zapasowej określ klucz szyfrowania i tożsamość do użycia na potrzeby szyfrowania.

    Włączanie szyfrowania na poziomie magazynu

    Uwaga

    Ustawienia dotyczą tylko kopii zapasowej i są opcjonalne.

  2. Wybierz pozycję Użyj klucza zarządzanego przez klienta jako typ szyfrowania.

  3. Aby określić klucz do użycia do szyfrowania, wybierz odpowiednią opcję.

    Możesz podać identyfikator URI klucza szyfrowania lub przejść i wybrać klucz. Po określeniu klucza przy użyciu opcji Wybierz Key Vault automatycznie włączy się automatyczne obracanie klucza szyfrowania. Dowiedz się więcej na temat automatycznego obracania.

  4. Określ tożsamość zarządzaną przypisaną przez użytkownika do zarządzania szyfrowaniem przy użyciu kluczy zarządzanych przez klienta. Kliknij pozycję Wybierz , aby przeglądać i wybrać wymaganą tożsamość.

  5. Po zakończeniu przejdź do sekcji Tagi (opcjonalnie) i kontynuuj tworzenie magazynu.

Włączanie automatycznego obrotu kluczy szyfrowania

Po określeniu klucza zarządzanego przez klienta, który musi być używany do szyfrowania kopii zapasowych, użyj następujących metod, aby go określić:

  • Wprowadź identyfikator URI klucza
  • Wybierz z Key Vault

Użycie opcji Wybierz z Key Vault ułatwia włączenie automatycznego obrotu dla wybranego klucza. Eliminuje to ręczne nakłady pracy w celu zaktualizowania do następnej wersji. Jednak przy użyciu tej opcji:

  • Zastosowanie aktualizacji wersji klucza może potrwać do godziny.
  • Gdy nowa wersja klucza zostanie w życie, stara wersja powinna być również dostępna (w stanie włączonym) dla co najmniej jednego kolejnego zadania tworzenia kopii zapasowej po wprowadzeniu aktualizacji klucza.

Używanie zasad platformy Azure do przeprowadzania inspekcji i wymuszania szyfrowania przy użyciu kluczy zarządzanych przez klienta (w wersji zapoznawczej)

Azure Backup umożliwia korzystanie z usługi Azure Polices do przeprowadzania inspekcji i wymuszania szyfrowania przy użyciu kluczy zarządzanych przez klienta danych w magazynie usługi Recovery Services. Korzystanie z zasad platformy Azure:

  • Zasady inspekcji mogą służyć do inspekcji magazynów z szyfrowaniem przy użyciu kluczy zarządzanych przez klienta, które są włączone po 04.01.2021. W przypadku magazynów z włączonym szyfrowaniem CMK przed tą datą zasady mogą nie mieć zastosowania lub mogą pokazywać wyniki fałszywie ujemne (oznacza to, że te magazyny mogą być zgłaszane jako niezgodne, mimo włączenia szyfrowania CMK ).

  • Aby użyć zasad inspekcji do inspekcji magazynów z włączonym szyfrowaniem CMK przed 04.01.2021 r., użyj Azure Portal, aby zaktualizować klucz szyfrowania. Ułatwia to uaktualnienie do nowego modelu. Jeśli nie chcesz zmieniać klucza szyfrowania, podaj ten sam klucz ponownie za pomocą identyfikatora URI klucza lub opcji wyboru klucza.

    Ostrzeżenie

    Jeśli używasz programu PowerShell do zarządzania kluczami szyfrowania dla usługi Backup, nie zalecamy aktualizowania kluczy z portalu.
    Jeśli zaktualizujesz klucz z portalu, nie możesz użyć programu PowerShell do dalszej aktualizacji klucza szyfrowania do momentu udostępnienia aktualizacji programu PowerShell do obsługi nowego modelu. Można jednak kontynuować aktualizowanie klucza z Azure Portal.

Często zadawane pytania

Czy mogę zaszyfrować istniejący magazyn kopii zapasowych przy użyciu kluczy zarządzanych przez klienta?

Nie. Szyfrowanie klucza cmK można włączyć tylko dla nowych magazynów. Dlatego magazyn nigdy nie musi mieć żadnych chronionych elementów. W rzeczywistości przed włączeniem szyfrowania przy użyciu kluczy zarządzanych przez klienta nie trzeba podejmować żadnych prób ochrony elementów w magazynie.

Próbowałem chronić element w magazynie, ale nie powiodło się, a magazyn nadal nie zawiera żadnych elementów chronionych. Czy mogę włączyć szyfrowanie cmK dla tego magazynu?

Nie, magazyn nie może mieć żadnych prób ochrony żadnych elementów w przeszłości.

Mam magazyn korzystający z szyfrowania CMK. Czy mogę później przywrócić szyfrowanie przy użyciu kluczy zarządzanych przez platformę, nawet jeśli mam elementy kopii zapasowej chronione w magazynie?

Nie, po włączeniu szyfrowania cmK nie można go przywrócić do używania kluczy zarządzanych przez platformę. Klucze używane zgodnie z wymaganiami można zmienić.

Czy szyfrowanie cmK dla Azure Backup ma zastosowanie również do usługi Azure Site Recovery?

Nie, w tym artykule omówiono szyfrowanie tylko danych kopii zapasowej. W przypadku usługi Azure Site Recovery należy ustawić właściwość oddzielnie jako dostępną z usługi.

Brakowało mi jednego z kroków w tym artykule i włączono ochronę mojego źródła danych. Czy nadal mogę używać szyfrowania CMK?

Nie można wykonać kroków opisanych w artykule i kontynuowania ochrony elementów, co może prowadzić do braku możliwości użycia szyfrowania przy użyciu kluczy zarządzanych przez klienta. Dlatego zaleca się odwoływanie się do tej listy kontrolnej przed kontynuowaniem ochrony elementów.

Czy użycie szyfrowania CMK zwiększa koszt tworzenia kopii zapasowych?

Korzystanie z szyfrowania CMK dla kopii zapasowej nie wiąże się z żadnymi dodatkowymi kosztami. Możesz jednak nadal ponosić koszty korzystania z usługi Azure Key Vault, w której jest przechowywany klucz.

Następne kroki