Düzenle

Aracılığıyla paylaş


Yönetilen diskler için müşteri tarafından yönetilen anahtarlarla sunucu tarafı şifrelemeyi etkinleştirmek için Azure portalını kullanma

Şunlar için geçerlidir: ✔️ Linux VM'leri ✔️ Windows VM'leri ✔️

Azure Disk Depolama, isterseniz yönetilen diskler için sunucu tarafı şifreleme (SSE) kullanırken kendi anahtarlarınızı yönetmenizi sağlar. Müşteri tarafından yönetilen anahtarlarla SSE ve diğer yönetilen disk şifreleme türleri hakkında kavramsal bilgi için disk şifreleme makalemizin Müşteri tarafından yönetilen anahtarlar bölümüne bakın: Müşteri tarafından yönetilen anahtarlar

Önkoşullar

Hiçbiri

Kısıtlama -ları

Şimdilik müşteri tarafından yönetilen anahtarlar aşağıdaki kısıtlamalara sahiptir:

  • Bu özellik artımlı anlık görüntüleri olan bir disk için etkinleştirildiyse, bu diskte veya anlık görüntülerinde devre dışı bırakılamaz. Bu sorunu geçici olarak çözmek için tüm verileri müşteri tarafından yönetilen anahtarları kullanmayan tamamen farklı bir yönetilen diske kopyalayın. Bunu Azure CLI veya Azure PowerShell modülüyle yapabilirsiniz.
  • Yalnızca 2.048 bit, 3.072 bit ve 4.096 bit boyutlarında yazılım ve HSM RSA anahtarları desteklenir; başka anahtar veya boyut yoktur.
    • HSM anahtarları, Azure Anahtar kasalarının premium katmanını gerektirir.
  • Yalnızca Ultra Diskler ve Premium SSD v2 diskleri için:
    • Sunucu tarafı şifreleme ve müşteri tarafından yönetilen anahtarlarla şifrelenmiş disklerden oluşturulan anlık görüntüler aynı müşteri tarafından yönetilen anahtarlarla şifrelenmelidir.
    • Kullanıcı tarafından atanan yönetilen kimlikler, müşteri tarafından yönetilen anahtarlarla şifrelenmiş Ultra Diskler ve Premium SSD v2 diskleri için desteklenmez.
    • Şu anda Azure Kamu veya Azure Çin'de desteklenmiyor.
  • Müşteri tarafından yönetilen anahtarlarınız (disk şifreleme kümeleri, VM'ler, diskler ve anlık görüntüler) ile ilgili kaynakların çoğu aynı abonelikte ve bölgede olmalıdır.
    • Azure Key Vaults farklı bir abonelikten kullanılabilir, ancak disk şifreleme kümenizle aynı bölgede olmalıdır. Önizleme olarak, farklı Microsoft Entra kiracılarından Azure Key Vault'ları kullanabilirsiniz.
  • Müşteri tarafından yönetilen anahtarlarla şifrelenmiş diskler, yalnızca bağlı oldukları VM serbest bırakıldığında başka bir kaynak grubuna taşınabilir.
  • Müşteri tarafından yönetilen anahtarlarla şifrelenmiş diskler, anlık görüntüler ve görüntüler abonelikler arasında taşınamaz.
  • Şu anda veya daha önce Azure Disk Şifrelemesi kullanılarak şifrelenen yönetilen diskler, müşteri tarafından yönetilen anahtarlar kullanılarak şifrelenemez.
  • Abonelik başına bölge başına en fazla 5000 disk şifreleme kümesi oluşturabilir.
  • Paylaşılan görüntü galerileriyle müşteri tarafından yönetilen anahtarları kullanma hakkında bilgi için bkz . Önizleme: Görüntüleri şifrelemek için müşteri tarafından yönetilen anahtarları kullanma.

Aşağıdaki bölümlerde, yönetilen diskler için müşteri tarafından yönetilen anahtarların nasıl etkinleştirileceği ve kullanılacağı ele alınıyor:

Diskleriniz için müşteri tarafından yönetilen anahtarları ayarlamak için, ilk kez yapıyorsanız belirli bir sırada kaynak oluşturmanız gerekir. İlk olarak bir Azure Key Vault oluşturup ayarlamanız gerekir.

Azure Key Vault'unuzu ayarlama

  1. Azure Portal’ında oturum açın.

  2. Key Vaults'ı arayın ve seçin.

    Arama iletişim kutusunun genişletildi olduğu Azure portalının ekran görüntüsü.

    Önemli

    Dağıtımın başarılı olması için disk şifreleme kümeniz, VM'niz, diskleriniz ve anlık görüntülerinizin tümü aynı bölgede ve abonelikte olmalıdır. Azure Anahtar Kasaları farklı bir abonelikten kullanılabilir, ancak disk şifreleme kümenizle aynı bölgede ve kiracıda olmalıdır.

  3. Yeni bir Key Vault oluşturmak için +Oluştur'u seçin.

  4. Yeni bir kaynak grubu oluşturma.

  5. Bir anahtar kasası adı girin, bir bölge seçin ve bir fiyatlandırma katmanı seçin.

    Not

    Key Vault örneğini oluştururken geçici silme ve temizleme korumasını etkinleştirmeniz gerekir. Geçici silme, Key Vault'un belirli bir saklama süresi (varsayılan olarak 90 gün) için silinmiş bir anahtar tutmasını sağlar. Temizleme koruması, silinen anahtarın saklama süresi atlayana kadar kalıcı olarak silinememesini sağlar. Bu ayarlar yanlışlıkla silme nedeniyle veri kaybına karşı sizi korur. Yönetilen diskleri şifrelemek için Key Vault kullanılırken bu ayarlar zorunlu hale getirilir.

  6. Gözden Geçir + Oluştur'u seçin, seçimlerinizi doğrulayın ve ardından Oluştur'u seçin.

    Oluşturduğunuz belirli değerleri gösteren Azure Key Vault oluşturma deneyiminin ekran görüntüsü.

  7. Anahtar kasanızın dağıtımı tamamlandıktan sonra seçin.

  8. Nesneler'in altında Anahtarlar'ı seçin.

  9. Oluştur/İçeri Aktar'ı seçin.

    Key Vault kaynak ayarları bölmesinin ekran görüntüsü, ayarların içindeki oluştur/içeri aktar düğmesini gösterir.

  10. Hem Anahtar Türü'nü RSA hem de RSA Anahtar Boyutu'nu 2048 olarak ayarlayın.

  11. Kalan seçimleri istediğiniz gibi doldurun ve Oluştur'u seçin.

    Oluştur/içeri aktar düğmesi seçildikten sonra görüntülenen anahtar oluştur bölmesinin ekran görüntüsü.

Azure RBAC rolü ekleme

Azure anahtar kasasını ve anahtarı oluşturduğunuza göre, Azure anahtar kasanızı disk şifreleme kümenizle kullanabilmek için bir Azure RBAC rolü eklemeniz gerekir.

  1. Erişim denetimi (IAM) öğesini seçin ve bir rol ekleyin.
  2. Key Vault Yöneticisi, Sahip veya Katkıda Bulunan rollerini ekleyin.

Disk şifreleme kümenizi ayarlama

  1. Disk Şifreleme Kümelerini arayın ve seçin.

  2. Disk Şifreleme Kümeleri bölmesinde +Oluştur'u seçin.

  3. Kaynak grubunuzu seçin, şifreleme kümenizi adlandırın ve anahtar kasanızla aynı bölgeyi seçin.

  4. Şifreleme türü için Müşteri tarafından yönetilen bir anahtarla bekleyen şifreleme'yi seçin.

    Not

    Belirli bir şifreleme türüne sahip bir disk şifreleme kümesi oluşturduktan sonra değiştirilemez. Farklı bir şifreleme türü kullanmak istiyorsanız, yeni bir disk şifreleme kümesi oluşturmanız gerekir.

  5. Azure anahtar kasası ve anahtarı seç'in seçili olduğundan emin olun.

  6. Daha önce oluşturduğunuz anahtar kasasını ve anahtarı ve sürümü seçin.

  7. Müşteri tarafından yönetilen anahtarların otomatik döndürmesini etkinleştirmek istiyorsanız Otomatik anahtar döndürme'yi seçin.

  8. Gözden Geçir ve Oluştur’u ve sonra Oluştur’u seçin.

    Disk şifreleme oluşturma bölmesinin ekran görüntüsü. Abonelik, kaynak grubu, disk şifreleme kümesi adı, bölgesi ve anahtar kasası + anahtar seçicisi gösteriliyor.

  9. Dağıtıldıktan sonra disk şifreleme kümesine gidin ve görüntülenen uyarıyı seçin.

    'Disk, görüntü veya anlık görüntüyü bu disk şifreleme kümesiyle ilişkilendirmek için anahtar kasasına izin vermelisiniz' uyarısını seçen kullanıcının ekran görüntüsü.

  10. Bu, anahtar kasanıza disk şifreleme kümesi için izinler verir.

    İzinlerin verildiğine dair onayın ekran görüntüsü.

VM'yi dağıtma

Artık anahtar kasanızı ve disk şifreleme kümenizi oluşturup ayarladığınıza göre, şifrelemeyi kullanarak bir VM dağıtabilirsiniz. VM dağıtım işlemi standart dağıtım işlemine benzer; tek fark, VM'yi diğer kaynaklarınızla aynı bölgeye dağıtmanız ve müşteri tarafından yönetilen bir anahtar kullanmayı tercih etmenizdir.

  1. vm oluşturmak için Sanal Makineler arayın ve + Oluştur'u seçin.

  2. Temel bölmesinde, disk şifreleme kümeniz ve Azure Key Vault ile aynı bölgeyi seçin.

  3. Temel bölmesindeki diğer değerleri istediğiniz gibi doldurun.

    Bölge değerinin vurgulandığı VM oluşturma deneyiminin ekran görüntüsü.

  4. Diskler bölmesinde, Anahtar yönetimi için açılan listeden disk şifreleme kümenizi, anahtar kasanızı ve anahtarınızı seçin.

  5. Kalan seçimleri istediğiniz gibi yapın.

    VM oluşturma deneyiminin ekran görüntüsü, diskler bölmesi, müşteri tarafından yönetilen anahtar seçildi.

Mevcut diskte etkinleştirme

Dikkat

Vm'ye bağlı tüm disklerde disk şifrelemesini etkinleştirmek için VM'yi durdurmanız gerekir.

  1. Disk şifreleme kümelerinden biriyle aynı bölgede yer alan bir VM'ye gidin.

  2. VM'yi açın ve Durdur'u seçin.

Durdur düğmesinin vurgulandığı örnek VM'nizin ana katmanının ekran görüntüsü.

  1. VM'nin durdurulması tamamlandıktan sonra Diskler'i ve ardından şifrelemek istediğiniz diski seçin.

Örnek VM'nizin ekran görüntüsü; Diskler bölmesi açıkken işletim sistemi diski vurgulanmış, seçebilmek için örnek bir disk olarak.

  1. Şifreleme'yi seçin ve Anahtar yönetimi'nin altında, müşteri tarafından yönetilen anahtar'ın altındaki açılan listeden anahtar kasanızı ve anahtarınızı seçin.

  2. Kaydet'i seçin.

Örnek işletim sistemi diskinizin ekran görüntüsü, şifreleme bölmesi açık, müşteri tarafından yönetilen bir anahtarla bekleyen şifreleme ve örnek Azure Key Vault'unuz seçildi.

  1. Şifrelemek istediğiniz VM'ye bağlı diğer tüm diskler için bu işlemi yineleyin.

  2. Diskleriniz müşteri tarafından yönetilen anahtarlara geçmeyi bitirdiğinde şifrelemek istediğiniz başka ekli disk yoksa VM'nizi başlatın.

Önemli

Müşteri tarafından yönetilen anahtarlar, Microsoft Entra ID'nin bir özelliği olan Azure kaynakları için yönetilen kimlikleri kullanır. Müşteri tarafından yönetilen anahtarları yapılandırdığınızda, kapaklar altındaki kaynaklarınıza otomatik olarak bir yönetilen kimlik atanır. Daha sonra aboneliği, kaynak grubunu veya yönetilen diski bir Microsoft Entra dizininden diğerine taşırsanız, yönetilen disklerle ilişkili yönetilen kimlik yeni kiracıya aktarılmaz, bu nedenle müşteri tarafından yönetilen anahtarlar artık çalışmayabilir. Daha fazla bilgi için bkz . Microsoft Entra dizinleri arasında abonelik aktarma.

Mevcut disk şifreleme kümesinde otomatik anahtar döndürmeyi etkinleştirme

  1. Otomatik anahtar döndürmeyi etkinleştirmek istediğiniz disk şifreleme kümesine gidin.

  2. Ayarlar'ın altında Anahtar'ı seçin.

  3. Otomatik tuş döndürme'yi ve ardından Kaydet'i seçin.