Redigera

Dela via

Använd Azure-portalen för att aktivera kryptering på serversidan med kundhanterade nycklar för hanterade diskar

  • Så här gör du

Gäller för: ✔️ Virtuella Linux-datorer ✔️, virtuella Windows-datorer ✔️

Med Azure Disk Storage kan du hantera dina egna nycklar när du använder kryptering på serversidan (SSE) för hanterade diskar om du vill. Konceptuell information om SSE med kundhanterade nycklar och andra krypteringstyper för hanterade diskar finns i avsnittet Kundhanterade nycklar i vår diskkrypteringsartikel: Kundhanterade nycklar

Förutsättningar

Ingen

Inskränkningar

För tillfället har kundhanterade nycklar följande begränsningar:

  • Om den här funktionen är aktiverad för en disk med inkrementella ögonblicksbilder kan den inte inaktiveras på den disken eller dess ögonblicksbilder. För att undvika detta kopierar du alla data till en helt annan hanterad disk som inte använder kundhanterade nycklar. Du kan göra det med antingen Azure CLI eller Azure PowerShell-modulen.
  • Endast programvara och HSM RSA-nycklar i storlekarna 2 048-bitars, 3 072- och 4 096-bitars stöds, inga andra nycklar eller storlekar.
    • HSM-nycklar kräver premiumnivån för Azure Key Vaults.
  • Endast för Ultra Disks- och Premium SSD v2-diskar:
    • Ögonblicksbilder som skapas från diskar som krypteras med kryptering på serversidan och kundhanterade nycklar måste krypteras med samma kundhanterade nycklar.
    • Användartilldelade hanterade identiteter stöds inte för Ultra Disks- och Premium SSD v2-diskar som krypterats med kundhanterade nycklar.
    • Stöds för närvarande inte i Azure Government eller Azure China.
  • De flesta resurser som är relaterade till dina kundhanterade nycklar (diskkrypteringsuppsättningar, virtuella datorer, diskar och ögonblicksbilder) måste finnas i samma prenumeration och region.
    • Azure Key Vaults kan användas från en annan prenumeration men måste finnas i samma region som diskkrypteringsuppsättningen. Som förhandsversion kan du använda Azure Key Vaults från olika Microsoft Entra-klienter.
  • Diskar som är krypterade med kundhanterade nycklar kan bara flyttas till en annan resursgrupp om den virtuella dator som de är anslutna till frigörs.
  • Diskar, ögonblicksbilder och bilder som krypterats med kundhanterade nycklar kan inte flyttas mellan prenumerationer.
  • Hanterade diskar som för närvarande eller tidigare krypterats med Azure Disk Encryption kan inte krypteras med hjälp av kundhanterade nycklar.
  • Det går bara att skapa upp till 5 000 diskkrypteringsuppsättningar per region per prenumeration.
  • Information om hur du använder kundhanterade nycklar med delade bildgallerier finns i Förhandsversion: Använda kundhanterade nycklar för kryptering av bilder.

Följande avsnitt beskriver hur du aktiverar och använder kundhanterade nycklar för hanterade diskar:

När du konfigurerar kundhanterade nycklar för diskarna måste du skapa resurser i en viss ordning, om du gör det för första gången. Först måste du skapa och konfigurera ett Azure Key Vault.

Konfigurera ditt Azure Key Vault

  1. Logga in på Azure-portalen.

  2. Sök efter och välj Nyckelvalv.

    Skärmbild av Azure-portalen med sökdialogrutan expanderad.

    Viktigt!

    Diskkrypteringsuppsättningen, den virtuella datorn, diskarna och ögonblicksbilderna måste alla finnas i samma region och prenumeration för att distributionen ska lyckas. Azure Key Vaults kan användas från en annan prenumeration men måste finnas i samma region och klientorganisation som diskkrypteringsuppsättningen.

  3. Välj +Skapa för att skapa ett nytt Nyckelvalv.

  4. Skapa en ny resursgrupp.

  5. Ange ett nyckelvalvnamn, välj en region och välj en prisnivå.

    Kommentar

    När du skapar Key Vault-instansen måste du aktivera skydd mot mjuk borttagning och rensning. Mjuk borttagning säkerställer att Key Vault innehåller en borttagen nyckel för en viss kvarhållningsperiod (standardvärdet 90 dagar). Rensningsskydd säkerställer att en borttagen nyckel inte kan tas bort permanent förrän kvarhållningsperioden förfaller. De här inställningarna skyddar dig från att förlora data på grund av oavsiktlig borttagning. De här inställningarna är obligatoriska när du använder ett Key Vault för att kryptera hanterade diskar.

  6. Välj Granska + skapa, verifiera dina val och välj sedan Skapa.

    Skärmbild av skapandeupplevelsen för Azure Key Vault som visar de specifika värden som du skapar.

  7. När nyckelvalvet har distribuerats klart väljer du det.

  8. Välj Nycklar under Objekt.

  9. Välj Generera/Importera.

    Skärmbild av fönstret Key Vault-resursinställningar som visar knappen generera/importera inuti inställningarna.

  10. Låt både nyckeltypen vara inställd på RSA - och RSA-nyckelstorlek inställd på 2048.

  11. Fyll i de återstående valen som du vill och välj sedan Skapa.

    Skärmbild av fönstret Skapa en nyckel som visas när knappen Generera/importera har valts.

Lägga till en Azure RBAC-roll

Nu när du har skapat Azure-nyckelvalvet och en nyckel måste du lägga till en Azure RBAC-roll så att du kan använda ditt Azure-nyckelvalv med diskkrypteringsuppsättningen.

  1. Välj Åtkomstkontroll (IAM) och lägg till en roll.
  2. Lägg till rollerna Key Vault-administratör, ägare eller deltagare .

Konfigurera diskkrypteringsuppsättningen

  1. Sök efter diskkrypteringsuppsättningar och välj det.

  2. I fönstret Diskkrypteringsuppsättningar väljer du +Skapa.

  3. Välj din resursgrupp, namnge krypteringsuppsättningen och välj samma region som ditt nyckelvalv.

  4. Som Krypteringstyp väljer du Kryptering i vila med en kundhanterad nyckel.

    Kommentar

    När du har skapat en diskkrypteringsuppsättning med en viss krypteringstyp kan den inte ändras. Om du vill använda en annan krypteringstyp måste du skapa en ny diskkrypteringsuppsättning.

  5. Kontrollera att Välj Azure-nyckelvalv och nyckel är markerade.

  6. Välj nyckelvalvet och nyckeln som du skapade tidigare och versionen.

  7. Om du vill aktivera automatisk rotation av kundhanterade nycklar väljer du Automatisk nyckelrotation.

  8. Välj Granska och skapa och sedan Skapa.

    Skärmbild av fönstret för att skapa diskkryptering. Visar prenumerationen, resursgruppen, diskkrypteringsuppsättningens namn, region och nyckelvalv + nyckelväljare.

  9. Gå till diskkrypteringsuppsättningen när den har distribuerats och välj aviseringen som visas.

    Skärmbild av användaren som väljer aviseringen

  10. Detta ger nyckelvalvet behörighet till diskkrypteringsuppsättningen.

    Skärmbild av bekräftelse på att behörigheter har beviljats.

Distribuera en virtuell dator

Nu när du har skapat och konfigurerat nyckelvalvet och diskkrypteringsuppsättningen kan du distribuera en virtuell dator med hjälp av krypteringen. Distributionsprocessen för den virtuella datorn liknar standarddistributionsprocessen, de enda skillnaderna är att du behöver distribuera den virtuella datorn i samma region som dina andra resurser och du väljer att använda en kundhanterad nyckel.

  1. Sök efter virtuella datorer och välj + Skapa för att skapa en virtuell dator.

  2. I fönstret Grundläggande väljer du samma region som diskkrypteringsuppsättningen och Azure Key Vault.

  3. Fyll i de andra värdena i fönstret Grundläggande som du vill.

    Skärmbild av den virtuella datorns skapandeupplevelse med regionvärdet markerat.

  4. I fönstret Diskar för Nyckelhantering väljer du diskkrypteringsuppsättningen, nyckelvalvet och nyckeln i listrutan.

  5. Gör de återstående valen som du vill.

    Skärmbild av den virtuella datorns skapandeupplevelse, fönstret diskar, kundhanterad nyckel vald.

Aktivera på en befintlig disk

Varning

Om du aktiverar diskkryptering på alla diskar som är anslutna till en virtuell dator måste du stoppa den virtuella datorn.

  1. Navigera till en virtuell dator som finns i samma region som en av diskkrypteringsuppsättningarna.

  2. Öppna den virtuella datorn och välj Stoppa.

Skärmbild av huvudöverlägget för den virtuella exempeldatorn med knappen Stoppa markerad.

  1. När den virtuella datorn har stoppats väljer du Diskar och sedan den disk som du vill kryptera.

Skärmbild av den virtuella datorn med fönstret Diskar öppen, os-disken är markerad som en exempeldisk som du kan välja.

  1. Välj Kryptering och under Nyckelhantering väljer du ditt nyckelvalv och nyckel i listrutan under Kundhanterad nyckel.

  2. Välj Spara.

Skärmbild av din exempel-OS-disk, krypteringsfönstret är öppet, kryptering i vila med en kundhanterad nyckel har valts samt ditt exempel på Azure Key Vault.

  1. Upprepa den här processen för alla andra diskar som är anslutna till den virtuella dator som du vill kryptera.

  2. När diskarna har växlat över till kundhanterade nycklar startar du den virtuella datorn om det inte finns några andra anslutna diskar som du vill kryptera.

Viktigt!

Kundhanterade nycklar förlitar sig på hanterade identiteter för Azure-resurser, en funktion i Microsoft Entra-ID. När du konfigurerar kundhanterade nycklar tilldelas en hanterad identitet automatiskt till dina resurser under täcket. Om du senare flyttar prenumerationen, resursgruppen eller den hanterade disken från en Microsoft Entra-katalog till en annan överförs inte den hanterade identiteten som är associerad med de hanterade diskarna till den nya klientorganisationen, så kundhanterade nycklar kanske inte längre fungerar. Mer information finns i Överföra en prenumeration mellan Microsoft Entra-kataloger.

Aktivera automatisk nyckelrotation på en befintlig diskkrypteringsuppsättning

  1. Navigera till den diskkrypteringsuppsättning som du vill aktivera automatisk nyckelrotation på.

  2. Under Inställningar väljer du Nyckel.

  3. Välj Automatisk nyckelrotation och välj Spara.

Relaterat innehåll