Używanie witryny Azure Portal do włączania szyfrowania po stronie serwera przy użyciu kluczy zarządzanych przez klienta dla dysków zarządzanych

  • Artykuł

Dotyczy: ✔️ Maszyny wirtualne z systemem Linux maszyny ✔️ wirtualne z ✔️ systemem Windows

Usługa Azure Disk Storage umożliwia zarządzanie własnymi kluczami podczas korzystania z szyfrowania po stronie serwera (SSE) dla dysków zarządzanych, jeśli wybierzesz. Aby uzyskać informacje koncepcyjne dotyczące SSE z kluczami zarządzanymi przez klienta i innymi typami szyfrowania dysków zarządzanych przez klienta, zobacz sekcję Klucze zarządzane przez klienta w artykule Dotyczącym szyfrowania dysków: Klucze zarządzane przez klienta

Ograniczenia

Na razie klucze zarządzane przez klienta mają następujące ograniczenia:

  • Jeśli ta funkcja jest włączona dla dysku z migawkami przyrostowymi, nie można jej wyłączyć na tym dysku ani jego migawkach. Aby obejść ten problem, skopiuj wszystkie dane na zupełnie inny dysk zarządzany, który nie korzysta z kluczy zarządzanych przez klienta. Można to zrobić za pomocą interfejsu wiersza polecenia platformy Azure lub modułu Azure PowerShell.
  • Obsługiwane są tylko klucze oprogramowania i modułu HSM RSA o rozmiarach 2048-bitowych, 3072-bitowych i 4096-bitowych, bez innych kluczy ani rozmiarów.
    • Klucze HSM wymagają warstwy Premium usługi Azure Key Vault.
  • Tylko w przypadku dysków w warstwie Ultra Disk i SSD w warstwie Premium w wersji 2:
    • Migawki utworzone na podstawie dysków zaszyfrowanych za pomocą szyfrowania po stronie serwera i kluczy zarządzanych przez klienta muszą być szyfrowane przy użyciu tych samych kluczy zarządzanych przez klienta.
    • Tożsamości zarządzane przypisane przez użytkownika nie są obsługiwane w przypadku dysków w warstwie Ultra i dysków SSD w warstwie Premium w wersji 2 zaszyfrowanych przy użyciu kluczy zarządzanych przez klienta.
  • Większość zasobów związanych z kluczami zarządzanymi przez klienta (zestawy szyfrowania dysków, maszyny wirtualne, dyski i migawki) musi znajdować się w tej samej subskrypcji i regionie.
    • Usługi Azure Key Vault mogą być używane z innej subskrypcji, ale muszą znajdować się w tym samym regionie co zestaw szyfrowania dysków. Jako wersja zapoznawcza możesz używać usługi Azure Key Vault z różnych dzierżaw firmy Microsoft Entra.
  • Dyski zaszyfrowane za pomocą kluczy zarządzanych przez klienta mogą być przenoszone tylko do innej grupy zasobów, jeśli maszyna wirtualna, do której są dołączone, zostanie cofnięto przydział.
  • Dysków, migawek i obrazów zaszyfrowanych przy użyciu kluczy zarządzanych przez klienta nie można przenosić między subskrypcjami.
  • Dyski zarządzane obecnie lub wcześniej zaszyfrowane przy użyciu usługi Azure Disk Encryption nie mogą być szyfrowane przy użyciu kluczy zarządzanych przez klienta.
  • Można utworzyć maksymalnie 5000 zestawów szyfrowania dysków na region na subskrypcję.
  • Aby uzyskać informacje na temat używania kluczy zarządzanych przez klienta z galeriami obrazów udostępnionych, zobacz Wersja zapoznawcza: używanie kluczy zarządzanych przez klienta do szyfrowania obrazów.

W poniższych sekcjach opisano sposób włączania i używania kluczy zarządzanych przez klienta dla dysków zarządzanych:

Skonfigurowanie kluczy zarządzanych przez klienta dla dysków wymaga utworzenia zasobów w określonej kolejności, jeśli wykonujesz je po raz pierwszy. Najpierw należy utworzyć i skonfigurować usługę Azure Key Vault.

Konfigurowanie usługi Azure Key Vault

  1. Zaloguj się w witrynie Azure Portal.

  2. Wyszukaj i wybierz pozycję Magazyny kluczy.

    Screenshot of the Azure portal with the search dialog box expanded.

    Ważne

    Zestaw szyfrowania dysków, maszyna wirtualna, dyski i migawki muszą znajdować się w tym samym regionie i subskrypcji, aby wdrożenie powiodło się. Usługi Azure Key Vault mogą być używane z innej subskrypcji, ale muszą znajdować się w tym samym regionie i dzierżawie co zestaw szyfrowania dysków.

  3. Wybierz pozycję +Utwórz , aby utworzyć nowy magazyn kluczy.

  4. Tworzenie nowej grupy zasobów

  5. Wprowadź nazwę magazynu kluczy, wybierz region i wybierz warstwę cenową.

    Uwaga

    Podczas tworzenia wystąpienia usługi Key Vault należy włączyć ochronę usuwania nietrwałego i przeczyszczania. Usuwanie nietrwałe gwarantuje, że usługa Key Vault przechowuje usunięty klucz dla danego okresu przechowywania (domyślna 90 dni). Ochrona przed przeczyszczeniem gwarantuje, że usunięty klucz nie może zostać trwale usunięty, dopóki okres przechowywania nie wygaśnie. Te ustawienia chronią cię przed utratą danych z powodu przypadkowego usunięcia. Te ustawienia są obowiązkowe w przypadku używania usługi Key Vault do szyfrowania dysków zarządzanych.

  6. Wybierz pozycję Przejrzyj i utwórz, zweryfikuj wybrane opcje, a następnie wybierz pozycję Utwórz.

    Screenshot of the Azure Key Vault creation experience, showing the particular values you create.

  7. Po zakończeniu wdrażania magazynu kluczy wybierz go.

  8. Wybierz pozycję Klucze w obszarze Obiekty.

  9. Wybierz Generuj/Import.

    Screenshot of the Key Vault resource settings pane, shows the generate/import button inside settings.

  10. Pozostaw wartość Typ klucza ustawioną na RSA i RSA Key Size (Rozmiar klucza RSA) ustawioną na wartość 2048.

  11. Wypełnij pozostałe opcje tak, jak chcesz, a następnie wybierz pozycję Utwórz.

    Screenshot of the create a key pane that appears once generate/import button is selected.

Dodawanie roli RBAC platformy Azure

Po utworzeniu magazynu kluczy platformy Azure i klucza musisz dodać rolę RBAC platformy Azure, aby można było używać magazynu kluczy platformy Azure z zestawem szyfrowania dysków.

  1. Wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami) i dodaj rolę.
  2. Dodaj role Administracja istrator, Właściciel lub Współautor usługi Key Vault.

Konfigurowanie zestawu szyfrowania dysków

  1. Wyszukaj pozycję Zestawy szyfrowania dysków i wybierz je.

  2. W okienku Zestawy szyfrowania dysków wybierz pozycję +Utwórz.

  3. Wybierz grupę zasobów, nadaj zestawowi szyfrowania nazwę i wybierz ten sam region co magazyn kluczy.

  4. W polu Typ szyfrowania wybierz pozycję Szyfrowanie magazynowane przy użyciu klucza zarządzanego przez klienta.

    Uwaga

    Po utworzeniu zestawu szyfrowania dysku z określonym typem szyfrowania nie można go zmienić. Jeśli chcesz użyć innego typu szyfrowania, musisz utworzyć nowy zestaw szyfrowania dysków.

  5. Upewnij się, że wybrano pozycję Wybierz magazyn kluczy platformy Azure i klucz .

  6. Wybierz utworzony wcześniej magazyn kluczy i klucz oraz wersję.

  7. Jeśli chcesz włączyć automatyczną rotację kluczy zarządzanych przez klienta, wybierz pozycję Automatyczna rotacja kluczy.

  8. Wybierz pozycję Przeglądanie + tworzenie, a następnie pozycję Utwórz.

    Screenshot of the disk encryption creation pane. Showing the subscription, resource group, disk encryption set name, region, and key vault + key selector.

  9. Przejdź do zestawu szyfrowania dysków po jego wdrożeniu i wybierz wyświetlony alert.

    Screenshot of user selecting the 'To associate a disk, image, or snapshot with this disk encryption set, you must grant permissions to the key vault' alert.

  10. Spowoduje to przyznanie uprawnień magazynu kluczy do zestawu szyfrowania dysków.

    Screenshot of confirmation that permissions have been granted.

Wdrażanie maszyny wirtualnej

Po utworzeniu i skonfigurowaniu magazynu kluczy oraz zestawu szyfrowania dysków możesz wdrożyć maszynę wirtualną przy użyciu szyfrowania. Proces wdrażania maszyny wirtualnej jest podobny do standardowego procesu wdrażania. Jedyne różnice polegają na tym, że należy wdrożyć maszynę wirtualną w tym samym regionie co inne zasoby i wybrać użycie klucza zarządzanego przez klienta.

  1. Wyszukaj pozycję Maszyny wirtualne i wybierz pozycję + Utwórz , aby utworzyć maszynę wirtualną.

  2. W okienku Podstawowe wybierz ten sam region co zestaw szyfrowania dysków i usługę Azure Key Vault.

  3. Wypełnij inne wartości w okienku Podstawowe , jak chcesz.

    Screenshot of the VM creation experience, with the region value highlighted.

  4. W okienku Dyski w obszarze Zarządzanie kluczami wybierz zestaw szyfrowania dysków, magazyn kluczy i klucz z listy rozwijanej.

  5. Ustaw pozostałe opcje tak, jak chcesz.

    Screenshot of the VM creation experience, the disks pane, customer-managed key selected.

Włączanie na istniejącym dysku

Uwaga

Włączenie szyfrowania dysków na wszystkich dyskach dołączonych do maszyny wirtualnej wymaga zatrzymania maszyny wirtualnej.

  1. Przejdź do maszyny wirtualnej, która znajduje się w tym samym regionie co jeden z zestawów szyfrowania dysków.

  2. Otwórz maszynę wirtualną i wybierz pozycję Zatrzymaj.

    Screenshot of the main overlay for your example VM, with the Stop button highlighted.

  3. Po zakończeniu zatrzymywania maszyny wirtualnej wybierz pozycję Dyski, a następnie wybierz dysk, który chcesz zaszyfrować.

    Screenshot of your example VM, with the Disks pane open, the OS disk is highlighted, as an example disk for you to select.

  4. Wybierz pozycję Szyfrowanie , a następnie w obszarze Zarządzanie kluczami wybierz magazyn kluczy i klucz z listy rozwijanej w obszarze Klucz zarządzany przez klienta.

  5. Wybierz pozycję Zapisz.

    Screenshot of your example OS disk, the encryption pane is open, encryption at rest with a customer-managed key is selected, as well as your example Azure Key Vault.

  6. Powtórz ten proces dla wszystkich innych dysków dołączonych do maszyny wirtualnej, którą chcesz zaszyfrować.

  7. Po zakończeniu przełączania dysków do kluczy zarządzanych przez klienta, jeśli nie ma innych dołączonych dysków, które chcesz zaszyfrować, uruchom maszynę wirtualną.

Ważne

Klucze zarządzane przez klienta opierają się na tożsamościach zarządzanych dla zasobów platformy Azure— funkcji identyfikatora Entra firmy Microsoft. Podczas konfigurowania kluczy zarządzanych przez klienta tożsamość zarządzana jest automatycznie przypisywana do zasobów w ramach tych elementów. Jeśli następnie przeniesiesz subskrypcję, grupę zasobów lub dysk zarządzany z jednego katalogu firmy Microsoft Entra do innego, tożsamość zarządzana skojarzona z dyskami zarządzanymi nie zostanie przeniesiona do nowej dzierżawy, więc klucze zarządzane przez klienta mogą już nie działać. Aby uzyskać więcej informacji, zobacz Przenoszenie subskrypcji między katalogami firmy Microsoft Entra.

Włączanie automatycznego obracania kluczy w istniejącym zestawie szyfrowania dysków

  1. Przejdź do zestawu szyfrowania dysków, dla którego chcesz włączyć automatyczną rotację kluczy.
  2. W obszarze Ustawienia wybierz pozycję Klucz.
  3. Wybierz pozycję Automatyczna rotacja kluczy i wybierz pozycję Zapisz.

Następne kroki