在 Azure 开发测试实验室中使用客户管理的密钥加密磁盘

实验室所有者如何使用客户管理的密钥设置加密。

服务器端加密 (SSE) 可保护数据，并帮助实现组织安全性和符合性承诺。 默认情况下，SSE 会在保存到云中时自动加密存储在 Azure（OS 和数据磁盘）中的托管磁盘上的数据。 有关 Azure 上的磁盘加密的详细信息，请参阅 服务器端加密。

在 Azure 开发测试实验室中，实验室中创建的所有 OS 磁盘和数据磁盘都通过平台管理的密钥进行加密。 但是，作为实验室所有者，可以选择使用自己的密钥管理实验室虚拟机磁盘的加密。 如果选择使用自己的密钥管理加密，则可以指定用于加密实验室磁盘中的数据 的客户管理的密钥 。 若要详细了解使用客户管理的密钥的 SSE 和其他托管磁盘加密类型，请参阅 客户管理的密钥。 另请参阅 使用客户管理的密钥的限制。

注意

磁盘加密设置适用于实验室中新创建的磁盘。 如果更改磁盘加密方案，实验室中的旧磁盘将继续使用先前的加密方案加密。

先决条件

• 如果没有磁盘加密集，请参阅本文中有关设置密钥保管库和磁盘加密集的步骤。 请注意磁盘加密集的以下要求：

  • 磁盘加密集需要与实验室位于同一区域和订阅中。
  • 实验室所有者需要对将用于加密实验室磁盘的磁盘加密集至少拥有读取者级别的访问权限。

• 对于在 2020 年 8 月 1 日之前创建的实验室，实验室所有者需要确保启用实验室系统分配的标识。 为此，实验室所有者可以转到实验室，选择 “配置和策略”，在左侧菜单中选择“ 标识” ，将系统分配的标识 状态 更改为 “打开”，然后选择“ 保存”。 对于在 2020 年 8 月 1 日之后创建的实验室，系统分配的标识默认处于启用状态。

  

• 为了处理实验室中所有磁盘的加密，实验室所有者需要在磁盘加密集合上显式授予实验室的系统分配标识读取者角色，并在基础 Azure 订阅上授予虚拟机贡献者角色。 实验室所有者可以通过完成以下步骤来执行此作：

  1. 确保你是 Azure 订阅级别的 用户访问管理员角色 的成员，以便管理对 Azure 资源的用户访问权限。

  2. 在“磁盘加密集”页上，至少将读取者角色分配给要为其使用磁盘加密集的实验室。

     有关详细步骤，请参阅使用 Azure 门户分配 Azure 角色。

  3. 转到 Azure 门户中的 “订阅 ”页。

  4. 将虚拟机参与者角色分配给实验室（实验室的系统分配的标识）。

使用客户管理的密钥加密实验室 OS 磁盘

1. 在 Azure 门户中实验室的概述页上，在左窗格中选择 “配置和策略 ”。

2. 在“配置和策略”页的左窗格中，选择“加密”部分中的“磁盘”（预览）。 默认情况下，“加密类型”设置为“使用平台管理的密钥进行静态加密”。

   

3. 在 “加密类型 ”框中，选择 使用客户管理的密钥进行静态加密。

4. 在“磁盘加密集”框中，选择之前创建的磁盘加密集。 它与实验室的系统分配标识可访问的磁盘加密集相同。

5. 选择窗格顶部的 “保存 ”。

   

6. 将显示一个消息框，其中包含以下消息：此设置将应用于实验室中新建的计算机。旧 OS 磁盘将继续使用旧的磁盘加密集保持加密状态。 选择“确定”。

   完成此配置后，实验室磁盘使用磁盘加密集中提供的客户管理的密钥进行加密。

验证磁盘是否已加密

1. 转到一个实验室虚拟机，该虚拟机是在实验室中启用通过客户管理的密钥进行磁盘加密的功能后创建的。

   

2. 选择 VM 的资源组，然后选择 OS 磁盘。

   

3. 在左窗格中的 “设置”下，选择“ 加密”。 验证是否已通过所选磁盘加密集将加密设置为客户管理的密钥。

   

相关内容

• Azure 磁盘加密
• 客户管理的密钥