Müşteri tarafından yönetilen anahtarları kullanarak yedekleme verilerini şifreleme

Azure Backup'ı kullanarak yedekleme verilerinizi varsayılan olarak etkinleştirilen platform tarafından yönetilen anahtarlar (PMK) yerine müşteri tarafından yönetilen anahtarlar (CMK) aracılığıyla şifreleyebilirsiniz. Yedekleme verilerini şifreleme anahtarlarınız Azure Key Vault'ta depolanmalıdır.

Yedeklemeleri şifrelemek için kullandığınız şifreleme anahtarı, kaynak için kullandığınız anahtardan farklı olabilir. AES 256 tabanlı veri şifreleme anahtarı (DEK) verilerin korunmasına yardımcı olur. Anahtar şifreleme anahtarlarınız (KEK'ler) de DEK'nin korunmasına yardımcı olur. Veriler ve anahtarlar üzerinde tam denetime sahipsiniz.

Şifrelemeye izin vermek için Backup kasasına anahtar kasasında şifreleme anahtarına erişim izinleri vermelisiniz. Gerektiğinde anahtarı değiştirebilirsiniz.

Bu makalede şunları öğreneceksiniz:

• Kurtarma Hizmetleri kasası oluşturun.
• Kurtarma Hizmetleri kasasını, CMK'leri kullanarak yedekleme verilerini şifrelemek için yapılandırın.
• VERILERI CMK'ler aracılığıyla şifrelenmiş bir kasaya yedekleyin.
• Yedeklerden verileri geri yükleme.

Dikkat edilmesi gereken noktalar

• Bu özelliği (CMK'lar aracılığıyla yedekleme verilerini şifrelemek için Azure Backup kullanarak) yalnızca yeni Kurtarma Hizmetleri kasalarını şifrelemek için kullanabilirsiniz. Kayıtlı veya kaydedilmeye çalışılacak mevcut öğeleri içeren kasalar desteklenmez.

• Kurtarma Hizmetleri kasası için CMK'leri kullanarak şifrelemeyi etkinleştirdikten sonra, PMK'leri (varsayılan) kullanmaya geri dönemezsiniz. Şifreleme anahtarlarını gereksinimleri karşılayacak şekilde değiştirebilirsiniz.

• Bu özellik şu anda Microsoft Azure Kurtarma Hizmetleri (MARS) aracısı aracılığıyla yedeklemeyi desteklemez ve MARS aracısı aracılığıyla yedekleme için CMK ile şifrelenmiş bir kasa kullanamayabilirsiniz. MARS aracısı parola tabanlı şifreleme kullanır. Bu özellik, klasik dağıtım modelinde oluşturduğunuz sanal makinelerin (VM) yedeklemesini de desteklemez.

• Bu özellik, Windows için BitLocker ve Linux için DM-Crypt kullanarak vm diskinin konuk tabanlı şifrelemesini kullanan Azure Disk Şifrelemesi ile ilgili değildir.

• Kurtarma Hizmetleri kasasını yalnızca Azure Key Vault'ta depolanan ve aynı bölgede bulunan anahtarları kullanarak şifreleyebilirsiniz. Ayrıca anahtarların desteklenen RSA anahtarları ve etkin durumda olması gerekir.

• CMK ile şifrelenmiş Kurtarma Hizmetleri kasasının kaynak grupları ve abonelikler arasında taşınması şu anda desteklenmemektedir.

• CMK'ler aracılığıyla zaten şifrelenmiş bir Kurtarma Hizmetleri kasasını yeni bir kiracıya taşıdığınızda, kasanın yönetilen kimliğini ve CMK'sini (yeni kiracıda olmalıdır) yeniden oluşturmak ve yeniden yapılandırmak için Kurtarma Hizmetleri kasasını güncelleştirmeniz gerekir. Kasayı güncelleştirmezseniz yedekleme ve geri yükleme işlemleri başarısız olur. Ayrıca, abonelik içinde ayarladığınız azure rol tabanlı erişim denetimi (RBAC) izinlerini de yeniden yapılandırmanız gerekir.

• Bu özelliği Azure portalı ve PowerShell aracılığıyla yapılandırabilirsiniz. Kurtarma Hizmetleri kasasında yedeklemeler için CMK'leri kullanmak için Az modülü 5.3.0 veya üzerini kullanın.

  Uyarı

  Yedekleme için şifreleme anahtarlarını yönetmek için PowerShell kullanıyorsanız, anahtarları portaldan güncelleştirmenizi önermeyiz. Anahtarları portaldan güncelleştirirseniz, yeni modeli destekleyecek bir PowerShell güncelleştirmesi kullanıma sunulana kadar Anahtarları güncelleştirmek için PowerShell'i kullanamazsınız. Ancak, Anahtarları Azure portalından güncelleştirmeye devam edebilirsiniz.

• Kurtarma Hizmetleri kasanızı oluşturmadıysanız ve yapılandırmadıysanız bu makaleye bakın.

Müşteri tarafından yönetilen anahtarları kullanarak kasayı şifrelemek için yapılandırma

Kasayı yapılandırmak için aşağıdaki eylemleri sırayla gerçekleştirin:

1. Kurtarma Hizmetleri kasanız için yönetilen kimliği etkinleştirin.

2. Azure Key Vault'taki şifreleme anahtarına erişmek için Kurtarma Hizmetleri kasasına izinler atayın.

3. Azure Key Vault'ta geçici silme ve temizleme korumasını etkinleştirin.

4. Şifreleme anahtarını Kurtarma Hizmetleri kasasına atayın.

Aşağıdaki bölümlerde bu eylemlerin her biri ayrıntılı olarak açıklanmıştır.

Kurtarma Hizmetleri kasanız için yönetilen kimliği etkinleştirme

Azure Backup, Azure Key Vault'ta depolanan şifreleme anahtarlarına erişmek üzere Kurtarma Hizmetleri kasasının kimliğini doğrulamak için sistem tarafından atanan yönetilen kimlikleri ve kullanıcı tarafından atanan yönetilen kimlikleri kullanır. Hangi yönetilen kimliğin kullanılacağını seçebilirsiniz.

Dekont

Yönetilen kimliği etkinleştirdikten sonra devre dışı bırakmamalısınız (geçici olarak bile). Yönetilen kimliği devre dışı bırakmak tutarsız davranışlara neden olabilir.

Kasa için sistem tarafından atanan yönetilen kimliği etkinleştirme

bir istemci seçin:

Azure portalı

1. Kurtarma Hizmetleri kasa> kimliğinize gidin.

2. Sistem tarafından atanan sekmesini seçin.

3. Durumu Açık olarak değiştirin.

4. Kasa kimliğini etkinleştirmek için Kaydet'i seçin.

Yukarıdaki adımlar, kasanın sistem tarafından atanan yönetilen kimliği olan bir nesne kimliği oluşturur.

PowerShell

Kurtarma Hizmetleri kasası için sistem tarafından atanan yönetilen kimliği etkinleştirmek için Update-AzRecoveryServicesVault komutunu kullanın.

Örneğin:

$vault=Get-AzRecoveryServicesVault -ResourceGroupName "testrg" -Name "testvault"

Update-AzRecoveryServicesVault -IdentityType SystemAssigned -ResourceGroupName TestRG -Name TestVault

$vault.Identity | fl

Çıkış:

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : SystemAssigned

CLI

Kurtarma Hizmetleri kasası için sistem tarafından atanan yönetilen kimliği etkinleştirmek için az backup vault identity assign komutunu kullanın.

Örneğin:

az backup vault identity assign --system-assigned --resource-group MyResourceGroup --name MyVault

Çıkış:

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : SystemAssigned

Kasaya kullanıcı tarafından atanan yönetilen kimlik atama (önizlemede)

Dekont

CMK şifrelemesi için kullanıcı tarafından atanan yönetilen kimlikleri kullanan kasalar, Yedekleme için özel uç noktaların kullanımını desteklemez.

Erişimi belirli ağlarla sınırlayan anahtar kasaları, CMK şifrelemesi için kullanıcı tarafından atanan yönetilen kimliklerle kullanılmak üzere henüz desteklenmemektedir.

Kurtarma Hizmetleri kasanıza kullanıcı tarafından atanan yönetilen kimliği atamak için bir istemci seçin:

Azure portalı

1. Kurtarma Hizmetleri kasa> kimliğinize gidin.

2. Kullanıcı tarafından atanan (önizleme) sekmesini seçin.

3. Kullanıcı tarafından atanan yönetilen kimlik eklemek için +Ekle'yi seçin.

4. Kullanıcı tarafından atanan yönetilen kimlik ekle panelinde, kimliğiniz için aboneliği seçin.

5. Listeden kimliği seçin. Ayrıca, kimliğin veya kaynak grubunun adına göre de filtreleyebilirsiniz.

6. Kimliği atamayı tamamlamak için Ekle'yi seçin.

PowerShell

Kurtarma Hizmetleri kasası için kullanıcı tarafından atanan yönetilen kimliği etkinleştirmek için Update-AzRecoveryServicesVault komutunu kullanın.

Örneğin:

$vault = Get-AzRecoveryServicesVault -Name "vaultName" -ResourceGroupName "resourceGroupName"
$identity1 = Get-AzUserAssignedIdentity -ResourceGroupName "resourceGroupName" -Name "UserIdentity1"
$identity2 = Get-AzUserAssignedIdentity -ResourceGroupName "resourceGroupName" -Name "UserIdentity2"
$updatedVault = Update-AzRecoveryServicesVault -ResourceGroupName $vault.ResourceGroupName -Name $vault.Name -IdentityType UserAssigned -IdentityId $identity1.Id, $identity2.Id

$updatedVault.Identity | fl

Çıkış:

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : UserAssigned
UserAssignedIdentities : {[/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/UserIdentity1, Microsoft.Azure.Management.RecoveryServices.Models.UserIdentity],[/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/UserIdentity2,Microsoft.Azure.Management.RecoveryServices.Models.UserIdentity]}

CLI

Kurtarma Hizmetleri kasası için sistem tarafından atanan yönetilen kimliği etkinleştirmek için az backup vault identity assign komutunu kullanın.

Örneğin:

az backup vault identity assign --user-assigned MyIdentityId1 --resource-group MyResourceGroup --name MyVault

Çıkış:

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : UserAssigned
UserAssignedIdentities : {[/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/MyIdentityId1,Microsoft.Azure.Management.RecoveryServices.Models.UserIdentity]}

Azure Key Vault'ta şifreleme anahtarına erişmek için Kurtarma Hizmetleri kasasına izinler atama

Şimdi Kurtarma Hizmetleri kasasının yönetilen kimliğinin şifreleme anahtarını içeren anahtar kasasına erişmesine izin vermeniz gerekir.

Kullanıcı tarafından atanan bir kimlik kullanıyorsanız, buna aynı izinleri atamanız gerekir.

bir istemci seçin:

Azure portalı

1. Anahtar kasası>Erişim ilkelerinize gidin. +Erişim İlkesi Ekle'yi seçin.

   

2. Anahtarda izin vermek için eylemleri belirtin. Anahtar izinleri için Get, List, Unwrap Key ve Wrap Key işlemlerini seçin.

   

3. Sorumlu seç'e gidin ve adını veya yönetilen kimliğini kullanarak arama kutusunda kasanızı arayın. Kasa göründüğünde, kasayı seçin ve ardından panelin alt kısmındaki Seç'i seçin.

   

4. Yeni erişim ilkesini eklemek için Ekle'yi seçin.

5. Anahtar kasasının erişim ilkesinde yaptığınız değişiklikleri kaydetmek için Kaydet'i seçin.

Ayrıca, Key Vault Şifreleme Yetkilisi rolü gibi daha önce bahsedilen izinleri içeren Kurtarma Hizmetleri kasasına bir RBAC rolü de atayabilirsiniz. Bu rol ek izinler içerebilir.

PowerShell

Kurtarma Hizmetleri kasasının asıl kimliğini almak için Get-AzADServicePrincipal komutunu kullanın. Ardından, anahtar kasası için bir erişim ilkesi ayarlamak için Set-AzKeyVaultAccessPolicy komutunda bu kimliği kullanın.

Örneğin:

$sp = Get-AzADServicePrincipal -DisplayName MyVault
$Set-AzKeyVaultAccessPolicy -VaultName myKeyVault -ObjectId $sp.Id -PermissionsToKeys get,list,unwrapkey,wrapkey

CLI

Kurtarma Hizmetleri kasasının asıl kimliğini almak için az ad sp list komutunu kullanın. Ardından, az keyvault set-policy komutunda bu kimliği kullanarak anahtar kasası için bir erişim ilkesi ayarlayın.

Örneğin:

az ad sp list --display-name MyVault
az keyvault set-policy --name myKeyVault --object-id <object-id> --key-permissions get,list,unwrapkey,wrapkey

Azure Key Vault'ta geçici silme ve temizleme korumasını etkinleştirme

Şifreleme anahtarınızı depolayan anahtar kasasında geçici silme ve temizleme korumasını etkinleştirmeniz gerekir.

bir istemci seçin:

Azure portalı

Aşağıdaki ekran görüntüsünde gösterildiği gibi Azure Key Vault arabiriminden geçici silme ve temizleme korumasını etkinleştirebilirsiniz. Alternatif olarak, anahtar kasasını oluştururken bu özellikleri ayarlayabilirsiniz. Bu Key Vault özellikleri hakkında daha fazla bilgi edinin.

PowerShell

1. Azure hesabınızda oturum açın:

   Login-AzAccount
   

2. Kasanızı içeren aboneliği seçin:

   Set-AzContext -SubscriptionId SubscriptionId
   

3. Geçici silmeyi etkinleştir:

   ($resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "AzureKeyVaultName").ResourceId).Properties | Add-Member -MemberType "NoteProperty" -Name "enableSoftDelete" -Value "true"
   

   Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
   

4. Temizleme korumasını etkinleştirme:

   ($resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "AzureKeyVaultName").ResourceId).Properties | Add-Member -MemberType "NoteProperty" -Name "enablePurgeProtection" -Value "true"
   

   Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
   

CLI

1. Azure hesabınızda oturum açın:

   az login
   

2. Kasanızı içeren aboneliği seçin:

   az account set --subscription "Subscription1"
   

3. Geçici silmeyi etkinleştir:

   az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-soft-delete true
   

4. Temizleme korumasını etkinleştirme:

   az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-purge-protection true
   

Kurtarma Hizmetleri kasasına şifreleme anahtarı atama

Kasanızın şifreleme anahtarını seçmeden önce şunları başarıyla tamamladığınızdan emin olun:

• Kurtarma Hizmetleri kasasının yönetilen kimliğini etkinleştirdi ve gerekli izinleri ona atadı.
• Anahtar kasası için geçici silme ve temizleme koruması etkinleştirildi.
• CMK şifrelemesini etkinleştirmek istediğiniz, Korumalı veya Kurtarma Hizmetleri kasasına kayıtlı öğe yok.

Anahtarı atamak ve adımları izlemek için bir istemci seçin:

Azure portalı

1. Kurtarma Hizmetleri kasanızın>Özellikleri'ne gidin.

2. Şifreleme Ayarlar altında Güncelleştir'i seçin.

   

3. Şifreleme Ayarlar bölmesinde Kendi anahtarınızı kullan'ı seçin ve ardından aşağıdaki seçeneklerden birini kullanarak anahtarı belirtin. Etkin durumda olan bir RSA anahtarı kullandığınızdan emin olun.

   • Anahtar URI'sine gir'i seçin. Anahtar Uri kutusuna, bu Kurtarma Hizmetleri kasasında verileri şifrelemek için kullanmak istediğiniz anahtarın URI'sini girin. Bu anahtar URI'sini anahtar kasanızdaki ilgili anahtardan da alabilirsiniz. Abonelik kutusunda, bu anahtarı içeren anahtar kasasının aboneliğini belirtin.

     Anahtar URI'sini doğru kopyaladığınızdan emin olun. Anahtar tanımlayıcısıyla birlikte sağlanan Panoya kopyala düğmesini kullanmanızı öneririz.

     

     Şifreleme anahtarını sürüm bileşeniyle birlikte tam anahtar URI'sini kullanarak belirtirken anahtar otomatik olarak geri alınmayacak. Gerektiğinde yeni anahtarı veya sürümü belirterek anahtarları el ile güncelleştirmeniz gerekir. Alternatif olarak, otomatik döndürmeyi almak için anahtar URI'sinin sürüm bileşenini kaldırın.

   • Key Vault'tan Seç'i seçin. Anahtar seçici bölmesinde anahtar kasasına gidin ve anahtarı seçin.

     

     Anahtar seçici bölmesini kullanarak şifreleme anahtarını belirttiğinizde, anahtar için yeni bir sürüm etkinleştirildiğinde anahtar otomatik olarak değiştirilir. Şifreleme anahtarlarının otomatik olarak yeniden etkinleştirilmesi hakkında daha fazla bilgi edinin.

4. Kaydet'i seçin.

5. Sol menüdeki Yedekleme İşleri görünümünü kullanarak şifreleme anahtarı atamasının ilerleme durumunu ve durumunu izleyin. Durum yakında Tamamlandı olarak değiştirilmelidir. Kasanız artık belirtilen anahtarla tüm verileri KEK olarak şifreler.

   

   Şifreleme anahtarı güncelleştirmeleri de kasanın etkinlik günlüğüne kaydedilir.

   

PowerShell

CMK şifrelemesini etkinleştirmek ve bir şifreleme anahtarı atamak veya güncelleştirmek için Set-AzRecoveryServicesVaultProperty komutunu kullanın.

Örneğin:

$keyVault = Get-AzKeyVault -VaultName "testkeyvault" -ResourceGroupName "testrg" 
$key = Get-AzKeyVaultKey -VaultName $keyVault -Name "testkey" 
Set-AzRecoveryServicesVaultProperty -EncryptionKeyId $key.ID -KeyVaultSubscriptionId "xxxx-yyyy-zzzz"  -VaultId $vault.ID


$enc=Get-AzRecoveryServicesVaultProperty -VaultId $vault.ID
$enc.encryptionProperties | fl

Çıkış:

EncryptionAtRestType          : CustomerManaged
KeyUri                        : testkey
SubscriptionId                : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 
LastUpdateStatus              : Succeeded
InfrastructureEncryptionState : Disabled

CLI

CMK şifrelemesini etkinleştirmek ve bir şifreleme anahtarı atamak veya güncelleştirmek için az backup vault encryption update komutunu kullanın.

Örneğin:

az backup vault encryption update --encryption-key-id MyEncryptionKeyId --mi-system-assigned --resource-group MyResourceGroup --name MyVault

Çıkış:

EncryptionAtRestType          : CustomerManaged
KeyUri                        : testkey
SubscriptionId                : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 
LastUpdateStatus              : Succeeded
InfrastructureEncryptionState : Disabled

Şifreleme anahtarını güncelleştirmek veya değiştirmek istediğinizde bu işlem aynı kalır. Başka bir anahtar kasasından bir anahtarı güncelleştirmek ve kullanmak istiyorsanız (kullanmakta olduğunuz anahtardan farklı) aşağıdakilerden emin olun:

• Anahtar kasası Kurtarma Hizmetleri kasasıyla aynı bölgededir.
• Anahtar kasasında geçici silme ve temizleme koruması etkindir.
• Kurtarma Hizmetleri kasası, anahtar kasasına erişmek için gerekli izinlere sahiptir.

Verileri müşteri tarafından yönetilen anahtarlar aracılığıyla şifrelenmiş bir kasaya yedekleme

Yedekleme korumasını yapılandırmadan önce şunları başarıyla tamamladığınızdan emin olun:

• Kurtarma Hizmetleri kasanızı oluşturdunuz.
• Kurtarma Hizmetleri kasasının sistem tarafından atanan yönetilen kimliği etkinleştirildi veya kasaya kullanıcı tarafından atanan yönetilen kimlik atandı.
• Anahtar kasanızdan şifreleme anahtarlarına erişmek için Kurtarma Hizmetleri kasanıza (veya kullanıcı tarafından atanan yönetilen kimliğe) atanan izinler.
• Anahtar kasanız için geçici silme ve temizleme koruması etkinleştirildi.
• Kurtarma Hizmetleri kasanız için geçerli bir şifreleme anahtarı atanmıştır.

Bir öğeyi CMK olmayan şifreli bir kasaya yedeklemek üzere yapılandırdıktan (veya yapılandırmaya çalıştıktan) sonra cmk şifrelemesini etkinleştiremediğiniz için bu denetim listesi önemlidir. PMK'leri kullanmaya devam eder.

CMK'ler aracılığıyla şifrelenmiş bir Kurtarma Hizmetleri kasasına yedekleme yapılandırma ve gerçekleştirme işlemi, PMK kullanan bir kasayı yapılandırma ve bu kasaya yedekleme gerçekleştirme işlemiyle aynıdır. Deneyimde değişiklik yoktur. Bu deyim, Azure VM'lerinin yedeklenip vm içinde çalıştırılan iş yüklerinin (örneğin SAP HANA veya SQL Server veritabanları) yedekleneceği için geçerlidir.

Verileri bir yedeklemeden geri yükleme

VM yedeklemesinden verileri geri yükleme

Kurtarma Hizmetleri kasasında depolanan verileri bu makalede açıklanan adımlara göre geri yükleyebilirsiniz. CMK'ler aracılığıyla şifrelenmiş bir Kurtarma Hizmetleri kasasından geri yüklerken, geri yüklenen verileri bir disk şifreleme kümesi (DES) kullanarak şifrelemeyi seçebilirsiniz.

Bu bölümde açıklanan deneyim, yalnızca CMK ile şifrelenmiş kasalardan verileri geri yüklerken geçerlidir. CMK şifrelemesi kullanmayan bir kasadan verileri geri yüklerken, geri yüklenen veriler PMK'ler aracılığıyla şifrelenir. Anlık kurtarma anlık görüntüsünden geri yüklerseniz, geri yüklenen veriler kaynak diski şifrelemek için kullandığınız mekanizma aracılığıyla şifrelenir.

Diski veya VM'yi geri yükleme

Anlık görüntü kurtarma noktasından bir diski veya VM'yi kurtardığınızda, geri yüklenen veriler kaynak VM'nin disklerini şifrelemek için kullandığınız DES ile şifrelenir.

Kurtarma Türü Kasa olarak olan bir kurtarma noktasından bir diski veya VM'yi geri yüklerken, geri yüklenen verileri belirttiğiniz bir DES kullanarak şifrelemeyi seçebilirsiniz. Alternatif olarak, DES belirtmeden verileri geri yüklemeye devam edebilirsiniz. Bu durumda, VM'deki şifreleme ayarı uygulanır.

Bölgeler arası geri yükleme sırasında, CMK özellikli Azure VM'leri (CMK özellikli kurtarma hizmetleri kasasında yedeklenmez) ikincil bölgede CMK etkin olmayan VM'ler olarak geri yüklenir.

Geri yüklemeyi başlatırken yaptığınız seçimden bağımsız olarak geri yükleme tamamlandıktan sonra geri yüklenen diski veya VM'yi şifreleyebilirsiniz.

Kasa kurtarma noktasından geri yükleme sırasında bir disk şifreleme kümesi seçme

bir istemci seçin:

Azure portalı

Geri yükleme bölmesindeki Şifreleme Ayarlar altında bir DES belirtmek için şu adımları izleyin:

1. Anahtarınızı kullanarak diskleri şifreleyin mi? için Evet'i seçin.

2. Şifreleme Kümesi açılan listesinde, geri yüklenen diskler için kullanmak istediğiniz DES'yi seçin. DES'e erişiminiz olduğundan emin olun.

Dekont

Bölgeler arası geri yükleme yapıyorsanız geri yükleme sırasında DES seçme özelliği desteklenir. Ancak şu anda Azure Disk Şifrelemesi kullanan bir VM'yi geri yüklüyorsanız desteklenmez.

PowerShell

Geri yüklenen diski şifrelemek için DES'yi belirtmek üzere parametresiyle -DiskEncryptionSetId <string> Get-AzRecoveryServicesBackupItem komutunu kullanın. Vm yedeklemesinden diskleri geri yükleme hakkında daha fazla bilgi için bu makaleye bakın.

Örneğin:

$namedContainer = Get-AzRecoveryServicesBackupContainer  -ContainerType "AzureVM" -Status "Registered" -FriendlyName "V2VM" -VaultId $vault.ID
$backupitem = Get-AzRecoveryServicesBackupItem -Container $namedContainer  -WorkloadType "AzureVM" -VaultId $vault.ID
$startDate = (Get-Date).AddDays(-7)
$endDate = Get-Date
$rp = Get-AzRecoveryServicesBackupRecoveryPoint -Item $backupitem -StartDate $startdate.ToUniversalTime() -EndDate $enddate.ToUniversalTime() -VaultId $vault.ID
$restorejob = Restore-AzRecoveryServicesBackupItem -RecoveryPoint $rp[0] -StorageAccountName "DestAccount" -StorageAccountResourceGroupName "DestRG" -TargetResourceGroupName "DestRGforManagedDisks" -DiskEncryptionSetId "testdes1" -VaultId $vault.ID

CLI

Geri yüklenen diski şifrelemek için DES'yi belirtmek üzere parametresiyle -DiskEncryptionSetId <string> az backup restore-disks komutunu kullanın.

Örneğin:

az backup recoverypoint list --container-name MyContainer --item-name MyItem --resource-group MyResourceGroup --vault-name MyVault
az backup restore restore-disks --container-name MyContainer --disk-encryption-set-id testdes1 --item-name MyItem --resource-group MyResourceGroup --rp-name MyRp --storage-account mystorageaccount --vault-name MyVault

Dosyaları geri yükleme

Bir dosya geri yükleme işlemi gerçekleştirdiğinizde, geri yüklenen veriler hedef konumu şifrelemek için kullandığınız anahtarla şifrelenir.

Azure VM'lerinde SAP HANA/SQL veritabanlarını geri yükleme

Azure VM'de çalışan yedeklenmiş bir SAP HANA veya SQL Server veritabanından geri yükleme yaptığınızda, geri yüklenen veriler hedef depolama konumunda kullandığınız şifreleme anahtarı aracılığıyla şifrelenir. VM'nin disklerini şifrelemek için kullanılan bir CMK veya PMK olabilir.

Ek konu başlıkları

Kasa oluşturma sırasında müşteri tarafından yönetilen anahtarları kullanarak şifrelemeyi etkinleştirme (önizlemede)

CMK'leri kullanarak kasa oluşturma sırasında şifrelemenin etkinleştirilmesi sınırlı genel önizleme aşamasındadır ve aboneliklerin izin verilenler listesine alınmasını gerektirir. Önizlemeye kaydolmak için formu doldurun ve adresinden AskAzureBackupTeam@microsoft.combize yazın.

Aboneliğiniz izin verilenler listesine eklendiğinde Yedekleme Şifrelemesi sekmesi görüntülenir. Yeni bir Kurtarma Hizmetleri kasası oluşturulurken CMK'leri kullanarak yedeklemede şifrelemeyi etkinleştirmek için bu sekmeyi kullanırsınız.

Şifrelemeyi etkinleştirmek için şu adımları izleyin:

1. Yedekleme Şifrelemesi sekmesinde şifreleme anahtarını ve şifreleme için kullanılacak kimliği belirtin. Ayarlar yalnızca Yedekleme için geçerlidir ve isteğe bağlıdır.

2. Şifreleme türü için Müşteri tarafından yönetilen anahtarı kullan'ı seçin.

3. Şifreleme için kullanılacak anahtarı belirtmek için Şifreleme anahtarı için uygun seçeneği belirleyin. Şifreleme anahtarı için URI sağlayabilir veya anahtarı bulup seçebilirsiniz.

   Anahtar Kasasından Seç seçeneğini kullanarak anahtarı belirtirseniz, şifreleme anahtarının otomatik olarak yeniden kullanılması otomatik olarak etkinleştirilir. Otomatik döndürme hakkında daha fazla bilgi edinin.

4. Kimlik için, CMK'leri kullanarak şifrelemeyi yönetmek için kullanıcı tarafından atanan yönetilen kimliği belirtin. Gözatmak için Seç'i seçin ve gerekli kimliği seçin.

5. Etiketler ekleyin (isteğe bağlı) ve kasayı oluşturmaya devam edin.

Şifreleme anahtarlarının otomatik olarak yeniden çalışmasını etkinleştirme

Yedeklemeleri şifrelemek için CMK'yi belirtmek için aşağıdaki seçeneklerden birini kullanın:

• Anahtar URI'sine girme
• Key Vault'tan seçme

Anahtar Kasasından Seç seçeneğinin kullanılması, seçili anahtar için otomatik döndürmeyi etkinleştirir. Bu seçenek, el ile bir sonraki sürüme güncelleştirme çabasını ortadan kaldırır. Ancak, bu seçeneği kullandığınızda:

• Anahtar sürümüne yönelik güncelleştirmenin geçerli olması bir saat kadar sürebilir.
• Önemli bir güncelleştirme yürürlüğe girdikten sonra, en az bir sonraki yedekleme işi için eski sürüm de kullanılabilir olmalıdır (etkin durumda).

Şifreleme anahtarını tam anahtar URI'sini kullanarak belirttiğinizde, anahtar otomatik olarak döndürülmeyecek. Gerektiğinde yeni anahtarı belirterek anahtar güncelleştirmelerini el ile gerçekleştirmeniz gerekir. Otomatik döndürmeyi etkinleştirmek için anahtar URI'sinin sürüm bileşenini kaldırın.

Müşteri tarafından yönetilen anahtarlar aracılığıyla şifrelemeyi denetlemek ve zorlamak için Azure İlkesi kullanma (önizlemede)

Azure Backup ile, CMK'leri kullanarak Kurtarma Hizmetleri kasasında verilerin şifrelenmesini denetlemek ve zorlamak için Azure İlkesi kullanabilirsiniz. 1 Nisan 2021'den sonra etkinleştirilen CMK'leri kullanarak şifrelenmiş kasaları denetlemek için denetim ilkesini kullanabilirsiniz.

1 Nisan 2021'dan önce CMK şifrelemesi etkinleştirilmiş kasalar için ilke uygulanmayabilir veya hatalı negatif sonuçlar gösterebilir. Yani, CMK şifrelemesi etkin olmasına rağmen bu kasalar uyumsuz olarak bildirilebilir.

1 Nisan 2021'den önce CMK şifrelemesi etkinleştirilen kasaları denetlemek için denetim ilkesini kullanmak üzere Azure portalını kullanarak bir şifreleme anahtarını güncelleştirin. Bu yaklaşım yeni modele yükseltmenize yardımcı olur. Şifreleme anahtarını değiştirmek istemiyorsanız, anahtar URI'sini veya anahtar seçimi seçeneğini kullanarak aynı anahtarı yeniden sağlayın.

Uyarı

Yedekleme için şifreleme anahtarlarını yönetmek için PowerShell kullanıyorsanız, portaldan bir şifreleme anahtarını güncelleştirmenizi önermeyiz. Portaldan bir anahtarı güncelleştirirseniz, yeni modeli destekleyecek bir PowerShell güncelleştirmesi kullanıma sunulana kadar Şifreleme anahtarını güncelleştirmek için PowerShell'i kullanamazsınız. Ancak, anahtarı portaldan güncelleştirmeye devam edebilirsiniz.

Sık sorulan sorular

Müşteri tarafından yönetilen anahtarları kullanarak mevcut bir Backup kasasını şifreleyebilir miyim?

Hayır. CMK şifrelemesini yalnızca yeni kasalar için etkinleştirebilirsiniz. Kasada hiçbir zaman korunan öğe bulunmamalıdır. Aslında, CMK'leri kullanarak şifrelemeyi etkinleştirmeden önce kasadaki hiçbir öğeyi korumaya çalışmamalısınız.

Kasamda bir öğeyi korumaya çalıştım ama başarısız oldu ve kasada korunan öğe yok. Bu kasa için CMK şifrelemesini etkinleştirebilir miyim?

Hayır. Kasanın geçmişte bu kasaya yönelik herhangi bir öğeyi koruma girişiminde bulunmamış olması gerekir.

CMK şifrelemesi kullanan bir kasam var. Kasada korunan yedekleme öğelerim olsa bile daha sonra PMK şifrelemesine geri dönebilir miyim?

Hayır. CMK şifrelemesini etkinleştirdikten sonra, PMK'leri kullanmaya geri döndüremezsiniz. Anahtarları gereksinimlerinize göre değiştirebilirsiniz.

Azure Backup için CMK şifrelemesi, Azure Site Recovery için de geçerli mi?

Hayır. Bu makalede yalnızca Yedekleme verilerinin şifresi açıklanır. Azure Site Recovery için özelliği hizmetten kullanılabilir olarak ayrı olarak ayarlamanız gerekir.

Bu makaledeki adımlardan birini kaçırdım ve veri kaynağımı korumaya devam ettim. CMK şifrelemeyi kullanmaya devam edebilir miyim?

Makaledeki adımları izlemezseniz ve öğeleri korumaya devam ederseniz kasa CMK şifrelemesi kullanamayabilir. Öğeleri korumadan önce bu denetim listesini kullanmanızı öneririz.

CMK şifrelemesi kullanmak yedeklemelerimin maliyetine ekliyor mu?

Yedekleme için CMK şifrelemesi kullanılması ek ücret ödemez. Ancak anahtarınızın depolandığı anahtar kasanızı kullanmak için ücret ödemeye devam edebilirsiniz.

Sonraki adımlar

Azure Backup'taki güvenlik özelliklerine genel bakış