共用方式為


備份及還原加密的 Azure 虛擬機器

本文說明如何使用 Azure 備份服務,備份和還原具有加密磁碟的 Windows 或 Linux Azure 虛擬機器 (VM)。 如需詳細資訊,請參閱 Azure VM 備份的加密

備份和還原加密 Azure VM 的支援案例

本節說明備份和還原加密 Azure VM 的支援案例。

使用平台代控金鑰進行加密

根據預設,VM 中的所有磁碟都會透過採用儲存體服務加密的平台代控金鑰 (PMK) 自動進行待用加密。 您可以使用 Azure 備份來備份這些 VM,而無須特地執行任何動作來支援加密。 如需使用平台代控金鑰進行加密的詳細資訊,請參閱這篇文章

加密磁碟

使用客戶管理的金鑰進行加密

當您使用客戶自控金鑰 (CMK) 來加密磁碟時,用來加密磁碟的金鑰會儲存在 Azure Key Vault 中,並由您管理。 使用 CMK 的儲存體服務加密 (SSE) 不同於 Azure 磁碟加密 (ADE) 加密。 ADE 會使用作業系統的加密工具。 SSE 會加密儲存體服務中的資料,讓您可對 VM 使用任何作業系統或映像。

VM 的備份或還原會使用客戶自控金鑰來加密其磁碟,您無須執行任何明確的動作。 這些 VM 的備份資料若儲存在保存庫中,則會使用與保存庫上使用的加密相同的方法進行加密。

如需使用客戶自控金鑰為受控磁碟加密的詳細資訊,請參閱這篇文章

使用 ADE 的加密支援

Azure 備份支援備份已使用 Azure 磁碟加密 (ADE) 加密其作業系統/資料磁碟的 Azure VM。 ADE 會使用 BitLocker 進行 Windows VM 的加密,對 Linux VM 則使用 dm-crypt 功能。 ADE 可與 Azure Key Vault 整合,以管理磁碟加密金鑰和祕密。 Key Vault 金鑰加密金鑰 (KEK) 可用來新增額外的安全性層級,在將加密秘密寫入至 Key Vault 之前予以加密。

Azure 備份可使用 ADE (不一定要搭配 Microsoft Entra 應用程式) 來備份和還原 Azure VM,如下表所摘要。

VM 磁碟類型 ADE (BEK/dm-crypt) ADE 和 KEK
非受控 Yes Yes
受管理的 Yes Yes

限制

備份或還原加密的 Azure VM 之前,請先檢閱下列限制:

  • 您可以在相同的訂用帳戶內備份和還原 ADE 加密的 VM。
  • Azure 備份支援使用獨立金鑰加密的 VM。 目前不支援任何屬於用於加密 VM 之憑證的金鑰。
  • Azure 備份支援將已加密 Azure VM 的跨區域還原到 Azure 配對的區域。 如需詳細資訊,請參閱支援矩陣
  • ADE 加密的 VM 無法在檔案/資料夾層級復原。 您必須復原整個 VM,才能還原檔案和資料夾。
  • 還原 VM 時,您無法對 ADE 加密的 VM 使用 [取代現有的 VM] 選項。 只有未加密的受控磁碟才支援此選項。

在您開始使用 Intune 之前

開始之前,請執行下列作業:

  1. 確定您有一或多個已啟用 ADE 的 WindowsLinux VM。
  2. 檢閱 Azure VM 備份的支援矩陣
  3. 建立復原服務備份保存庫 (如果您沒有的話)。
  4. 如果您為已啟用備份的 VM 啟用加密,則只需提供有權存取 Key Vault 的備份,使備份可繼續進行而不中斷。 深入了解如何指派這些權限。

此外,在某些情況下,您可能還需要做幾件事:

  • 於 VM 上安裝 VM 代理程式:為機器上執行的 Azure VM 代理程式安裝擴充功能,以 Azure 備份來備份 Azure VM。 如果您的 VM 是從 Azure Marketplace 映像建立,則代理程式已安裝且正在執行。 如果您建立自訂 VM,或遷移內部部署機器,您可能需要手動安裝代理程式

設定備份原則

若要設定備份原則,請遵循下列步驟:

  1. 如果您尚未建立復原服務備份保存庫,請遵循這些指示

  2. 瀏覽至備份中心,然後從 [概觀] 索引標籤按一下 [+備份]

    備份窗格

  3. 選取 [Azure 虛擬機器] 作為 [資料來源類型],再選取您已建立的保存庫,然後按一下 [繼續]

    案例窗格

  4. 選取要與保存庫產生關聯的原則,然後選取 [確定]

    • 備份原則會指定備份的進行時間,及其保留的時間長度。
    • 預設原則的詳細資料便會列在下拉式功能表之下。

    選擇備份原則

  5. 如果您不要使用預設原則,請選取 [新建],然後建立自訂原則

  6. 在 [虛擬機器] 下,選取 [新增]

    新增虛擬機器

  7. 使用 [選取原則] 選擇您要備份的加密 VM,然後選取 [確定]

    選取加密的 VM

  8. 如果您使用 Azure Key Vault,您會在保存庫頁面上看到一則訊息,指出 Azure 備份需要 Key Vault 中所含金鑰和密碼的唯讀存取權。

    • 收到此訊息時,並不需要採取任何動作。

      Access OK

    • 如果收到此訊息,必須依照下列程序中的說明設定權限。

      存取警告

  9. 選取 [啟用備份] 將備份原則部署到保存庫,並為選取的 VM 啟用備份。

使用已啟用 RBAC 的金鑰保存庫備份 ADE 加密的 VM

若要使用已啟用 Azure RBAC 的金鑰保存庫啟用 ADE 加密 VM 的備份,您必須在金鑰保存庫的存取控制中新增角色指派,將 Key Vault 系統管理員角色指派給備份管理服務 Microsoft Entra 應用程式。

此螢幕快照顯示啟用 ADE 加密金鑰保存庫的複選框。

了解不同的可用角色Key Vault 系統管理員角色可以核准取得列表以及備份祕密和金鑰的權限。

針對已啟用 Azure RBAC 的金鑰保存庫,您可以使用下列權限集來建立自定義角色。 了解如何建立自訂角色

動作 描述
Microsoft.KeyVault/vaults/keys/backup/action 建立金鑰的備份檔案。
Microsoft.KeyVault/vaults/secrets/backup/action 建立祕密的備份檔案。
Microsoft.KeyVault/vaults/secrets/getSecret/action 取得密碼的值。
Microsoft.KeyVault/vaults/keys/read 列出指定保存庫中的金鑰,或讀取屬性和公開內容。
Microsoft.KeyVault/vaults/secrets/readMetadata/action 列出或檢視祕密的屬性,而非其值。
"permissions": [
            {
                "actions": [],
                "notActions": [],
                "dataActions": [
                    "Microsoft.KeyVault/vaults/keys/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/backup/action",
                    "Microsoft.KeyVault/vaults/secrets/getSecret/action",
                    "Microsoft.KeyVault/vaults/keys/read",
                    "Microsoft.KeyVault/vaults/secrets/readMetadata/action"
                ],
                "notDataActions": []
            }
        ]

顯示如何將許可權新增至金鑰保存庫的螢幕快照。

觸發備份作業

初始備份會根據排程執行,但也可以立即執行,如下所示:

  1. 瀏覽至 [備份中心],然後選取 [備份執行個體] 功能表項目。
  2. 選取 [Azure 虛擬機器] 作為 [資料來源類型],然後搜尋您已設定要進行備份的 VM。
  3. 以滑鼠右鍵按一下相關的資料列,或選取其他圖示 (…),然後按一下 [立即備份]
  4. 在 [立即備份] 中,使用行事曆控制項來選取復原點應該保留的最後一天。 然後選取確定
  5. 監視入口網站通知。 若要監視工作進度,請前往 [備份中心]>[備份工作],然後篩選清單中的 [進行中] 工作。 根據您的 VM 大小,建立初始備份可能需要花一點時間。

提供權限

Azure 備份需要唯讀存取權來備份金鑰和密碼,以及相關聯的 VM。

  • 您的 Key Vault 會與 Azure 訂用帳戶的 Microsoft Entra 租用戶相關聯。 如果您是成員使用者,則 Azure 備份無須採取進一步動作即可取得 Key Vault 的存取權。
  • 如果您是來賓使用者,則必須提供 Azure 備份存取金鑰保存庫的權限。 您需要有金鑰保存庫的存取權,才能為加密的 VM 設定備份。

若要在 Key Vault 上提供 Azure RBAC 權限,請參閱本文

若要設定權限:

  1. 在 Azure 入口網站中選取 [所有服務],然後搜尋 [金鑰保存庫]

  2. 選取與您要備份的加密 VM 相關聯的金鑰保存庫。

    提示

    若要識別 VM 相關聯的金鑰保存庫,請使用下列 PowerShell 命令。 替換您的資源群組名稱和 VM 名稱:

    Get-AzVm -ResourceGroupName "MyResourceGroup001" -VMName "VM001" -Status

    在這行中尋找金鑰保存庫名稱:

    SecretUrl : https://<keyVaultName>.vault.azure.net

  3. 選取 [存取原則]>[新增存取原則]

    新增存取原則

  4. [新增存取原則]>[從範本設定 (選用)] 中,選取 [Azure 備份]

    • 該備份會在 [金鑰權限] 和 [祕密權限] 預先填入必要的權限。
    • 如果您的 VM 是使用 [僅限 BEK] 加密的,請取消選取 [金鑰權限],因為您只需要秘密的權限。

    選取 Azure 備份

  5. 選取 [新增]。 [備份管理服務] 會新增至 [存取原則]

    存取原則

  6. 選取 [儲存],為 Azure 備份提供權限。

您也可以使用 PowerShellCLI 來設定存取原則。

後續步驟

還原加密的 Azure 虛擬機器

如果您遇到任何問題,請檢閱下列文章: