Поделиться через

Смена ключей, управляемых клиентом для конфиденциальных виртуальных машин

  • Статья

Конфиденциальные виртуальные машины (конфиденциальные виртуальные машины) в поддержка Azure ключей, управляемых клиентом. Управляемые клиентом ключи помогают правильно работать конфиденциальным виртуальным машинам и связанным артефактам. Эти ключи можно управлять в Azure Key Vault или с помощью управляемого модуля безопасности оборудования (управляемого устройства HSM). В этой статье основное внимание уделяется управлению ключами с помощью управляемого HSM, если не указано иное.

Если вы хотите использовать управляемый клиентом ключ, необходимо указать ресурс набора шифрования дисков при создании конфиденциальной виртуальной машины. Набор шифрования дисков должен ссылаться на ключ, управляемый клиентом. Как правило, можно связать один набор шифрования дисков с несколькими конфиденциальными виртуальными машинами. Рекомендуется периодически повернуть управляемый клиентом ключ в качестве рекомендации по обеспечению безопасности. Частота смены — это решение политики организации. Смена также необходима, если скомпрометирован управляемый клиентом ключ.

Изменение управляемого клиентом ключа

Вы можете изменить ключ, который вы используете для конфиденциальных виртуальных машин в любое время. Чтобы повернуть управляемый клиентом ключ:

  1. Войдите на портал Azure.
  2. Перейдите в службу Виртуальные машины.
  3. Остановите все конфиденциальные виртуальные машины с одинаковым набором шифрования дисков. Если одна или несколько виртуальных машин не в остановленном состоянии, ни одна из виртуальных машин не может получить новый ключ.
  4. Перейдите в службу наборов шифрования дисков.
  5. Выберите ресурс набора шифрования дисков, связанный с конфиденциальной виртуальной машиной.
  6. В меню ресурса в разделе Параметры выберите "Ключ".
  7. Выберите "Изменить ключ".
  8. Выберите соответствующее хранилище ключей, ключ и версию.
  9. Сохранение изменений. Операция сохранения обновляет ключ для всех артефактов конфиденциальных виртуальных машин.

Смена ключа повтора

В редких случаях ключ, управляемый клиентом, не может быть повернут для всех конфиденциальных виртуальных машин, даже если все виртуальные машины были остановлены. Если управляемый клиентом ключ не поворачивается, ресурс набора шифрования дисков по-прежнему содержит ссылку на старый ключ. В этом состоянии некоторые конфиденциальные виртуальные машины могут иметь новый ключ, и некоторые могут иметь старый ключ.

Чтобы устранить эту проблему, повторите действия по обновлению набора шифрования дисков.

Ограничения

  • Автоматическая смена ключей в настоящее время не поддерживается для конфиденциальных виртуальных машин.
  • Смена ключей не поддерживается для временных дисков. Рекомендуется использовать отдельный набор шифрования дисков для конфиденциальных виртуальных машин с временным диском. Если конфиденциальные виртуальные машины с временными и неэфемерными дисками используют один и тот же набор шифрования дисков, необходимо удалить конфиденциальные виртуальные машины с временными дисками, прежде чем повернуть ключи для конфиденциальных виртуальных машин с неэфемерными дисками.