为机密 VM 轮换客户管理的密钥

Azure 中的机密虚拟机（机密 VM）支持客户管理的密钥。 客户管理的密钥有助于机密 VM 和相关项目正常工作。 可以在 Azure Key Vault 中管理这些密钥，也可通过托管的硬件安全模块（托管 HSM）进行管理。 除非另有说明，否则本文重点介绍如何通过托管 HSM 管理密钥。

如果要使用客户管理的密钥，必须在创建机密 VM 时提供磁盘加密集资源。 磁盘加密集必须引用客户管理的密钥。 通常，可将一个磁盘加密集与多个机密 VM 进行关联。 作为安全最佳做法，建议定期轮换客户管理的密钥。 轮换频率是组织策略决定。 如果客户管理的密钥被泄露，也必须进行轮换。

更改客户管理的密钥

可随时更改用于机密 VM 的密钥。 轮换客户管理的密钥：

1. 登录 Azure 门户。
2. 转到“虚拟机”服务。
3. 停止具有相同磁盘加密集的所有机密 VM。 如果一个或多个 VM 未处于停止状态，则所有 VM 都无法接收新密钥。
4. 转到“磁盘加密集”服务。
5. 选择与机密 VM 关联的磁盘加密集资源。
6. 在资源菜单上的“设置”下，选择“密钥”。
7. 选择“更改密钥”。
8. 选择相应的密钥保管库、密钥和版本。
9. 保存所做更改。 保存操作会更新所有机密虚 VM 项目的密钥。

重试密钥轮换

在极少数情况下，即使所有 VM 都已停止，可能也不会为所有机密 VM 轮换客户管理的密钥。 如果未轮换客户管理的密钥，磁盘加密集资源仍包含对旧密钥的引用。 在此状态下，一些机密 VM 可使用新密钥，其他一些则可使用旧密钥。

要解决此问题，请重复更新磁盘加密集的步骤。

限制

• 机密 VM 当前不支持自动密钥轮换。
• 临时磁盘不支持密钥轮换。 建议对具有临时磁盘的机密 VM 使用单独的磁盘加密集。 如果具有临时磁盘和非临时磁盘的机密 VM 共享同一磁盘加密集，则必须删除具有临时磁盘的机密 VM，然后再为具有非临时磁盘的机密 VM 轮换密钥。