訓練
認證
Microsoft Certified: Azure Virtual Desktop Specialty - Certifications
在 Microsoft Azure 上為任何裝置規劃、提供、管理及監視虛擬桌面體驗和遠端應用程式。
本文說明如何使用 Azure 備份服務,備份和還原具有加密磁碟的 Windows 或 Linux Azure 虛擬機器 (VM)。 如需詳細資訊,請參閱 Azure VM 備份的加密。
本節說明備份和還原加密 Azure VM 的支援案例。
根據預設,VM 中的所有磁碟都會透過採用儲存體服務加密的平台代控金鑰 (PMK) 自動進行待用加密。 您可以使用 Azure 備份來備份這些 VM,而無須特地執行任何動作來支援加密。 如需使用平台代控金鑰進行加密的詳細資訊,請參閱這篇文章。
當您使用客戶自控金鑰 (CMK) 來加密磁碟時,用來加密磁碟的金鑰會儲存在 Azure Key Vault 中,並由您管理。 使用 CMK 的儲存體服務加密 (SSE) 不同於 Azure 磁碟加密 (ADE) 加密。 ADE 會使用作業系統的加密工具。 SSE 會加密儲存體服務中的資料,讓您可對 VM 使用任何作業系統或映像。
VM 的備份或還原會使用客戶自控金鑰來加密其磁碟,您無須執行任何明確的動作。 這些 VM 的備份資料若儲存在保存庫中,則會使用與保存庫上使用的加密相同的方法進行加密。
如需使用客戶自控金鑰為受控磁碟加密的詳細資訊,請參閱這篇文章。
Azure 備份支援備份已使用 Azure 磁碟加密 (ADE) 加密其作業系統/資料磁碟的 Azure VM。 ADE 會使用 BitLocker 進行 Windows VM 的加密,對 Linux VM 則使用 dm-crypt 功能。 ADE 可與 Azure Key Vault 整合,以管理磁碟加密金鑰和祕密。 Key Vault 金鑰加密金鑰 (KEK) 可用來新增額外的安全性層級,在將加密秘密寫入至 Key Vault 之前予以加密。
Azure 備份可使用 ADE (不一定要搭配 Microsoft Entra 應用程式) 來備份和還原 Azure VM,如下表所摘要。
VM 磁碟類型 | ADE (BEK/dm-crypt) | ADE 和 KEK |
---|---|---|
非受控 | Yes | Yes |
受管理的 | Yes | Yes |
備份或還原加密的 Azure VM 之前,請先檢閱下列限制:
開始之前,請執行下列作業:
此外,在某些情況下,您可能還需要做幾件事:
若要設定備份原則,請遵循下列步驟:
如果您尚未建立復原服務備份保存庫,請遵循這些指示。
瀏覽至備份中心,然後從 [概觀] 索引標籤按一下 [+備份]
選取 [Azure 虛擬機器] 作為 [資料來源類型],再選取您已建立的保存庫,然後按一下 [繼續]。
選取要與保存庫產生關聯的原則,然後選取 [確定]。
如果您不要使用預設原則,請選取 [新建],然後建立自訂原則。
在 [虛擬機器] 下,選取 [新增]。
使用 [選取原則] 選擇您要備份的加密 VM,然後選取 [確定]。
如果您使用 Azure Key Vault,您會在保存庫頁面上看到一則訊息,指出 Azure 備份需要 Key Vault 中所含金鑰和密碼的唯讀存取權。
收到此訊息時,並不需要採取任何動作。
如果收到此訊息,必須依照下列程序中的說明設定權限。
選取 [啟用備份] 將備份原則部署到保存庫,並為選取的 VM 啟用備份。
若要使用已啟用 Azure RBAC 的金鑰保存庫啟用 ADE 加密 VM 的備份,您必須在金鑰保存庫的存取控制中新增角色指派,將 Key Vault 系統管理員角色指派給備份管理服務 Microsoft Entra 應用程式。
了解不同的可用角色。 Key Vault 系統管理員角色可以核准取得、列表以及備份祕密和金鑰的權限。
針對已啟用 Azure RBAC 的金鑰保存庫,您可以使用下列權限集來建立自定義角色。 了解如何建立自訂角色。
動作 | 描述 |
---|---|
Microsoft.KeyVault/vaults/keys/backup/action | 建立金鑰的備份檔案。 |
Microsoft.KeyVault/vaults/secrets/backup/action | 建立祕密的備份檔案。 |
Microsoft.KeyVault/vaults/secrets/getSecret/action | 取得密碼的值。 |
Microsoft.KeyVault/vaults/keys/read | 列出指定保存庫中的金鑰,或讀取屬性和公開內容。 |
Microsoft.KeyVault/vaults/secrets/readMetadata/action | 列出或檢視祕密的屬性,而非其值。 |
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/backup/action",
"Microsoft.KeyVault/vaults/secrets/backup/action",
"Microsoft.KeyVault/vaults/secrets/getSecret/action",
"Microsoft.KeyVault/vaults/keys/read",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action"
],
"notDataActions": []
}
]
初始備份會根據排程執行,但也可以立即執行,如下所示:
Azure 備份需要唯讀存取權來備份金鑰和密碼,以及相關聯的 VM。
若要在 Key Vault 上提供 Azure RBAC 權限,請參閱本文。
若要設定權限:
在 Azure 入口網站中選取 [所有服務],然後搜尋 [金鑰保存庫]。
選取與您要備份的加密 VM 相關聯的金鑰保存庫。
提示
若要識別 VM 相關聯的金鑰保存庫,請使用下列 PowerShell 命令。 替換您的資源群組名稱和 VM 名稱:
Get-AzVm -ResourceGroupName "MyResourceGroup001" -VMName "VM001" -Status
在這行中尋找金鑰保存庫名稱:
SecretUrl : https://<keyVaultName>.vault.azure.net
選取 [存取原則]>[新增存取原則]。
在 [新增存取原則]>[從範本設定 (選用)] 中,選取 [Azure 備份]。
選取 [新增]。 [備份管理服務] 會新增至 [存取原則]。
選取 [儲存],為 Azure 備份提供權限。
您也可以使用 PowerShell 或 CLI 來設定存取原則。
如果您遇到任何問題,請檢閱下列文章:
訓練
認證
Microsoft Certified: Azure Virtual Desktop Specialty - Certifications
在 Microsoft Azure 上為任何裝置規劃、提供、管理及監視虛擬桌面體驗和遠端應用程式。