Использование портала Azure для включения шифрования на стороне сервера с управляемыми клиентами ключами для управляемых дисков

  • Статья

Область применения: ✔️ Виртуальные машины Linux ✔️ Виртуальные машины Windows ✔️

Хранилище дисков Azure позволяет управлять собственными ключами при использовании шифрования на стороне сервера (SSE) для управляемых дисков, если возникнет такая необходимость. Концептуальные сведения о SSE с ключами, управляемыми клиентом, и других типах шифрования управляемых дисков, см. в разделе "Ключи, управляемые клиентом", см. в разделе "Ключи, управляемые клиентом"

Ограничения

В настоящее время ключи, управляемые клиентом, имеют следующие ограничения.

  • Если эта функция включена для диска с добавочными моментальными снимками, его нельзя отключить на этом диске или его моментальных снимках. Чтобы обойти эту проблему, скопируйте все данные на совершенно другой управляемый диск, который не использует ключи, управляемые клиентом. Это можно сделать с помощью Azure CLI или модуля Azure PowerShell.
  • Поддерживаются только ключи RSA для программного обеспечения и HSM с размерами 2048 бит, 3072 бит и 4096 бит. Другие ключи или размеры не поддерживаются.
    • Для ключей HSM требуется уровень Premium Azure Key Vault.
  • Только для дисков ценовой категории "Ультра" и SSD уровня "Премиум" версии 2: моментальные снимки, созданные на основе дисков, зашифрованных с помощью шифрования на стороне сервера и управляемых клиентом ключей, должны быть зашифрованы с теми же ключами, управляемыми клиентом.
  • Большинство ресурсов, связанных с ключами, управляемыми клиентом (наборы шифрования дисков, виртуальные машины, диски и моментальные снимки), должны находиться в одной подписке и регионе.
    • Хранилища ключей Azure могут использоваться из другой подписки, но должны находиться в том же регионе, что и набор шифрования дисков. В качестве предварительной версии можно использовать Azure Key Vault из разных клиентов Microsoft Entra.
  • Диски, зашифрованные с помощью ключей, управляемых клиентом, могут перемещаться только в другую группу ресурсов, если к ней подключена виртуальная машина.
  • Диски, моментальные снимки и изображения, зашифрованные с помощью ключей, управляемых клиентом, нельзя перемещать между подписками.
  • Управляемые диски в настоящее время или ранее зашифрованные с помощью Шифрование дисков Azure не могут быть зашифрованы с помощью ключей, управляемых клиентом.
  • Может создавать только до 5000 наборов шифрования дисков в каждом регионе на подписку.
  • Сведения об использовании ключей, управляемых клиентом, с общими коллекциями образов см. в статье "Предварительная версия: использование управляемых клиентом ключей для шифрования изображений".

В следующих разделах описано, как включить и использовать управляемые клиентом ключи для управляемых дисков:

Настройка управляемых клиентом ключей для дисков требует создания ресурсов в определенном порядке, если вы делаете это в первый раз. Сначала необходимо создать и настроить Azure Key Vault.

Настройка хранилища ключей Azure

  1. Войдите на портал Azure.

  2. Найдите и выберите Хранилища ключей.

    Screenshot of the Azure portal with the search dialog box expanded.

    Важно!

    Для успешности развертывания набор шифрования дисков, виртуальная машина, диски и моментальные снимки должны находиться в одном регионе и подписке. Хранилища Azure Key Vault можно использовать из другой подписки, но они должны находиться в том же регионе и арендаторе, что и набор шифрования дисков.

  3. Выберите + Создать, чтобы создать новое хранилище ключей.

  4. Создание группы ресурсов

  5. Введите имя хранилища ключей, выберите регион и ценовую категорию.

    Примечание.

    При создании экземпляра Key Vault необходимо включить обратимое удаление и защиту от удаления. Обратимое удаление гарантирует, что Key Vault будет хранить удаленный ключ в течение заданного срока (по умолчанию 90 дней). Защита от удаления гарантирует, что удаленный ключ нельзя удалить навсегда до истечения срока хранения. Эти параметры защищают от потери данных из-за случайного удаления. Эти параметры являются обязательными при использовании Key Vault для шифрования управляемых дисков.

  6. Выберите Просмотреть и создать, проверьте выбранные параметры и нажмите кнопку Создать.

    Screenshot of the Azure Key Vault creation experience, showing the particular values you create.

  7. Когда развертывание хранилища ключей завершится, выберите его.

  8. Выберите ключи в разделе "Объекты".

  9. Выберите Создать/импортировать.

    Screenshot of the Key Vault resource settings pane, shows the generate/import button inside settings.

  10. Оставьте для параметра Тип ключа значение RSA, а для параметра Размер ключа RSA — 2048.

  11. Укажите остальные параметры по своему усмотрению и нажмите кнопку Создать.

    Screenshot of the create a key pane that appears once generate/import button is selected.

Добавление роли RBAC Azure

Создав хранилище ключей Azure и ключ, необходимо добавить роль RBAC Azure, чтобы использовать хранилище ключей Azure с набором шифрования дисков.

  1. Выберите Управление доступом (IAM) и добавьте роль.
  2. Добавьте роль Администратор хранилища ключей, Владелец или Участник.

Настройка набора шифрования дисков

  1. Найдите и выберите Наборы шифрования дисков.

  2. На панели "Наборы шифрования дисков" нажмите кнопку +Создать.

  3. Выберите группу ресурсов, укажите имя для набора шифрования и выберите тот же регион, что и для хранилища ключей.

  4. Для параметра Тип шифрования выберите значение Шифрование неактивных данных с помощью управляемого клиентом ключа.

    Примечание.

    После создания набора шифрования диска с определенным типом шифрования его нельзя изменить. Если вы хотите использовать другой тип шифрования, необходимо создать новый набор шифрования дисков.

  5. Убедитесь, что выбрано хранилище ключей Azure и ключ .

  6. Выберите хранилище ключей и созданный ранее ключ, а также версию.

  7. Если вы хотите включить автоматическую ротацию ключей, управляемых клиентом, выберите Автоматическая ротация ключей.

  8. Щелкните Просмотр и создание, а затем Создать.

    Screenshot of the disk encryption creation pane. Showing the subscription, resource group, disk encryption set name, region, and key vault + key selector.

  9. Перейдите к набору шифрования дисков после его развертывания и выберите отображаемое оповещение.

    Screenshot of user selecting the 'To associate a disk, image, or snapshot with this disk encryption set, you must grant permissions to the key vault' alert.

  10. Это позволит вашему хранилищу ключей предоставить разрешения на доступ к набору шифрования дисков.

    Screenshot of confirmation that permissions have been granted.

Развертывание виртуальной машины

Теперь, когда вы создали и настроили хранилище ключей и набор шифрования дисков, вы можете развернуть виртуальную машину с использованием шифрования. Процесс развертывания виртуальной машины аналогичен стандартному процессу развертывания, единственным отличием является то, что необходимо развернуть виртуальную машину в том же регионе, что и другие ресурсы, и использовать управляемый клиентом ключ.

  1. Найдите Виртуальные машины и нажмите кнопку +Создать, чтобы создать виртуальную машину.

  2. На панели "Базовый" выберите тот же регион, что и набор шифрования дисков и Azure Key Vault.

  3. Введите другие значения на панели "Базовый " , как вам нравится.

    Screenshot of the VM creation experience, with the region value highlighted.

  4. На панели "Диски" для управления ключами выберите набор шифрования дисков, хранилище ключей и ключ в раскрывающемся списке.

  5. Укажите оставшиеся параметры по своему усмотрению.

    Screenshot of the VM creation experience, the disks pane, customer-managed key selected.

Включение шифрования на существующем диске

Внимание

Включение шифрования дисков на всех дисках, подключенных к виртуальной машине, требует остановки виртуальной машины.

  1. Перейдите к виртуальной машине, расположенной в том же регионе, что и один из наборов шифрования диска.

  2. Откройте виртуальную машину и нажмите Остановить.

    Screenshot of the main overlay for your example VM, with the Stop button highlighted.

  3. После завершения остановки виртуальной машины выберите диски и выберите диск, который требуется зашифровать.

    Screenshot of your example VM, with the Disks pane open, the OS disk is highlighted, as an example disk for you to select.

  4. Выберите шифрование и в разделе "Управление ключами" выберите хранилище ключей и ключ в раскрывающемся списке в разделе "Управляемый клиентом ключ".

  5. Выберите Сохранить.

    Screenshot of your example OS disk, the encryption pane is open, encryption at rest with a customer-managed key is selected, as well as your example Azure Key Vault.

  6. Повторите эту процедуру для всех дисков, подключенных к виртуальной машине, которую необходимо зашифровать.

  7. После завершения переключения дисков на управляемые клиентом ключи, если не требуется шифровать другие подключенные диски, запустите виртуальную машину.

Важно!

Управляемые клиентом ключи используют управляемые удостоверения для ресурсов Azure, функцию идентификатора Microsoft Entra. При настройке управляемых пользователем ключей управляемое удостоверение автоматически назначается вашим ресурсам. Если вы впоследствии перемещаете подписку, группу ресурсов или управляемый диск из одного каталога Microsoft Entra в другой, управляемое удостоверение, связанное с управляемыми дисками, не передается новому клиенту, поэтому ключи, управляемые клиентом, больше не работают. Дополнительные сведения см. в разделе "Передача подписки между каталогами Microsoft Entra".

Включение автоматической ротации ключей в существующем наборе шифрования дисков

  1. Перейдите к набору шифрования дисков, для которого необходимо включить автоматическую ротацию ключей.
  2. В меню Параметры выберите Ключ.
  3. Щелкните Автоматическая ротация ключей и нажмите кнопку Сохранить.

Следующие шаги