使用客戶自控金鑰來加密備份資料

您可以使用 Azure 備份來透過客戶自控金鑰 (CMK) 加密備份資料，而不是使用預設啟用的平台代控金鑰 (PMK)。 加密備份資料的金鑰必須儲存在 Azure Key Vault 中。

用於加密備份的加密金鑰可能與用於來源的加密金鑰不同。 AES 256 型資料加密金鑰 (DEK) 可協助保護資料。 金鑰加密金鑰 (KEK) 反過來也有助於保護 DEK。 您能夠完整控制資料和金鑰。

若要允許加密，您必須授與備份保存庫權限，以存取金鑰保存庫中的加密金鑰。 您可以視需要變更金鑰。

在本文中，您將學會如何：

• 建立復原服務保存庫。
• 設定復原服務保存庫，以使用 CMK 來加密備份資料。
• 將資料備份至透過 CMK 加密的保存庫。
• 從備份還原資料。

考量

• 您可以使用這項功能 (使用 Azure 備份透過 CMK 加密備份資料)，以僅加密新的復原服務保存庫。 不支援包含已註冊或嘗試註冊之現有項目的任何保存庫。

• 在針對復原服務保存庫使用 CMK 啟用加密之後，您就無法重回使用 PMK (預設值)。 您可以變更加密金鑰來滿足需求。

• 這項功能目前不支援透過 Microsoft Azure 復原服務 (MARS) 代理程式進行備份，而且您可能無法透過 MARS 代理程式使用 CMK 加密的保存庫進行備份。 MARS 代理程式會使用以複雜密碼為基礎的加密。 這項功能也不支援您在傳統部署模型中建立的虛擬機器 (VM) 備份。

• 這項功能與 Azure 磁碟加密無關，後者使用 BitLocker (適用於 Windows) 和 DM-Crypt (適用於 Linux) 來使用 VM 磁碟的來賓型的加密。

• 您只能使用儲存在 Azure Key Vault 中、且位於相同區域的金鑰來加密復原服務保存庫。 此外，金鑰必須是受支援的 RSA 金鑰，且必須處於啟用狀態。

• 目前不支援在資源群組和訂用帳戶之間移動 CMK 加密的復原服務保存庫。

• 將已使用 CMK 加密的復原服務保存庫移至新的租用戶時，需更新復原服務保存庫，以便重新建立並重新設定保存庫的受控識別和 CMK (應位於新的租用戶中)。 如果未更新保存庫，備份和還原作業將會失敗。 此外，您也必須重新設定訂用帳戶內設定的任何 Azure 角色型存取控制 (Azure RBAC) 權限。

• 您可以透過 Azure 入口網站或 PowerShell 設定此功能。 使用 Az 模組 5.3.0 或更新版本來使用 CMK，以在復原服務保存庫中進行備份。

  警告

  如果您要使用 PowerShell 來管理加密金鑰以進行備份，我們不建議從入口網站更新金鑰。 如果您從入口網站更新金鑰，除非有支援新模型的 PowerShell 更新可使用，否則就無法使用 PowerShell 進一步更新金鑰。 不過，您可以從 Azure 入口網站繼續更新金鑰。

• 如果您尚未建立並設定復原服務保存庫，請參閱此文章。

使用客戶自控金鑰設定要加密的保存庫

若要設定保存庫，請依序執行下列動作：

1. 啟用復原服務保存庫的受控識別。

2. 將權限指派給復原服務保存庫，以存取 Azure Key Vault 中的加密金鑰。

3. 在 Azure Key Vault 上啟用虛刪除和清除保護。

4. 將加密金鑰指派給復原服務保存庫。

以下幾節將詳細討論其中幾個動作。

啟用復原服務保存庫的受控識別

Azure 備份會使用系統指派的受控識別和使用者指派的受控識別來驗證復原服務保存庫，以存取儲存在 Azure Key Vault 中的加密金鑰。 您可以選擇要使用的受控識別。

注意

啟用受控識別後，您不得將其停用 (即使暫時也無法)。 停用受控識別可能會導致不一致的行為。

為保存庫啟用系統指派的受控識別

選擇用戶端：

Azure 入口網站

1. 移至 [復原服務保存庫]> [身分識別]。

2. 選取 [系統指派] 索引標籤。

3. 將狀態變更為 [開啟]。

4. 選取 [儲存]，以啟用保存庫的身分識別。

前述步驟會產生物件識別碼，也就是系統指派的保存庫受控識別。

PowerShell

使用 Update-AzRecoveryServicesVault 命令，為復原服務保存庫啟用系統指派的受控識別。

範例：

$vault=Get-AzRecoveryServicesVault -ResourceGroupName "testrg" -Name "testvault"

Update-AzRecoveryServicesVault -IdentityType SystemAssigned -ResourceGroupName TestRG -Name TestVault

$vault.Identity | fl

輸出：

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : SystemAssigned

CLI

使用 az backup vault identity assign 命令，為復原服務保存庫啟用系統指派的受控識別。

範例：

az backup vault identity assign --system-assigned --resource-group MyResourceGroup --name MyVault

輸出：

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : SystemAssigned

將使用者指派的受控識別指派給保存庫 (預覽版)

注意

針對 CMK 加密採用使用者指派受控識別的保存庫，不支援使用私人端點進行備份。

目前尚未支援限制存取特定網路的金鑰保存庫搭配使用使用者指派的受控識別，以進行 CMK 加密。

若要為復原服務保存庫指派使用者指派的受控識別，請選擇用戶端：

Azure 入口網站

1. 移至 [復原服務保存庫]> [身分識別]。

2. 選取 [使用者指派 (預覽)] 索引標籤。

3. 選取 [+新增]，以新增使用者指派的受控識別。

4. 在 [新增使用者指派的受控識別] 窗格中，為身分識別選取訂用帳戶。

5. 從清單中選取身分識別。 您也可以依身分識別或資源群組的名稱來篩選。

6. 選取 [新增] 以完成指派身分識別。

PowerShell

使用 Update-AzRecoveryServicesVault 命令，為復原服務保存庫啟用使用者指派的受控識別。

範例：

$vault = Get-AzRecoveryServicesVault -Name "vaultName" -ResourceGroupName "resourceGroupName"
$identity1 = Get-AzUserAssignedIdentity -ResourceGroupName "resourceGroupName" -Name "UserIdentity1"
$identity2 = Get-AzUserAssignedIdentity -ResourceGroupName "resourceGroupName" -Name "UserIdentity2"
$updatedVault = Update-AzRecoveryServicesVault -ResourceGroupName $vault.ResourceGroupName -Name $vault.Name -IdentityType UserAssigned -IdentityId $identity1.Id, $identity2.Id

$updatedVault.Identity | fl

輸出：

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : UserAssigned
UserAssignedIdentities : {[/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/UserIdentity1, Microsoft.Azure.Management.RecoveryServices.Models.UserIdentity],[/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/UserIdentity2,Microsoft.Azure.Management.RecoveryServices.Models.UserIdentity]}

CLI

使用 az backup vault identity assign 命令，為復原服務保存庫啟用系統指派的受控識別。

範例：

az backup vault identity assign --user-assigned MyIdentityId1 --resource-group MyResourceGroup --name MyVault

輸出：

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : UserAssigned
UserAssignedIdentities : {[/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/MyIdentityId1,Microsoft.Azure.Management.RecoveryServices.Models.UserIdentity]}

將權限指派給復原服務保存庫，以存取 Azure Key Vault 中的加密金鑰

您現在需要允許復原服務保存庫受控識別存取內含加密金鑰的金鑰保存庫。

如果您使用使用者指派的身分識別，則必須為其指派相同的權限。

選擇用戶端：

Azure 入口網站

1. 前往 [金鑰保存庫]> [存取原則]。 選取 [+新增存取原則]。

   

2. 指定要在金鑰上允許的動作。 在 [金鑰權限] 中，選取 [取得]、[列出]、[取消包裝金鑰] 和 [包裝金鑰] 作業。

   

3. 移至 [選取主體]，並使用其名稱或受控識別，在搜尋方塊中搜尋保存庫。 當保存庫出現時，請選取該保存庫，然後在面板底部選擇 [選取]。

   

4. 選取 [新增] 以新增存取原則。

5. 選取 [儲存]，以儲存對金鑰保存庫存取原則所做的變更。

您也可以將 RBAC 角色指派給包含上述權限的復原服務保存庫，例如「Key Vault 密碼編譯員」角色。 此角色可能包含其他權限。

PowerShell

使用 Get-AzADServicePrincipal 命令，來取得復原服務保存庫的主體識別碼。 然後，在 Set-AzKeyVaultAccessPolicy 命令中使用此識別碼，來設定金鑰保存庫的存取原則。

範例：

$sp = Get-AzADServicePrincipal -DisplayName MyVault
$Set-AzKeyVaultAccessPolicy -VaultName myKeyVault -ObjectId $sp.Id -PermissionsToKeys get,list,unwrapkey,wrapkey

CLI

使用 az ad sp list 命令，來取得復原服務保存庫的主體識別碼。 然後，在 az keyvault set-policy 命令中使用此識別碼，來設定金鑰保存庫的存取原則。

範例：

az ad sp list --display-name MyVault
az keyvault set-policy --name myKeyVault --object-id <object-id> --key-permissions get,list,unwrapkey,wrapkey

在 Azure Key Vault 上啟用虛刪除和清除保護

您必須在儲存加密金鑰的金鑰保存庫上啟用虛刪除和清除保護。

選擇用戶端：

Azure 入口網站

您可以如下列螢幕擷取畫面所示，從 Azure Key Vault 介面啟用虛刪除和清除保護。 或者，您可以在建立金鑰保存庫時設定這些屬性。 深入了解這些 Key Vault 屬性。

PowerShell

1. 登入您的 Azure 帳戶：

   Login-AzAccount
   

2. 選取包含保存庫的訂用帳戶：

   Set-AzContext -SubscriptionId SubscriptionId
   

3. 啟用虛刪除：

   ($resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "AzureKeyVaultName").ResourceId).Properties | Add-Member -MemberType "NoteProperty" -Name "enableSoftDelete" -Value "true"
   

   Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
   

4. 啟用清除保護：

   ($resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "AzureKeyVaultName").ResourceId).Properties | Add-Member -MemberType "NoteProperty" -Name "enablePurgeProtection" -Value "true"
   

   Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
   

CLI

1. 登入您的 Azure 帳戶：

   az login
   

2. 選取包含保存庫的訂用帳戶：

   az account set --subscription "Subscription1"
   

3. 啟用虛刪除：

   az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-soft-delete true
   

4. 啟用清除保護：

   az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-purge-protection true
   

將加密金鑰指派給復原服務保存庫

在選取保存庫的加密金鑰之前，請確定您已成功：

• 啟用復原服務保存庫的受控識別，並將所需的權限指派至其中。
• 啟用金鑰保存庫的虛刪除和清除保護。
• 沒有要啟用 CMK 加密的受保護或註冊至復原服務保存庫的項目。

若要指派金鑰並遵循步驟，請選擇用戶端：

Azure 入口網站

1. 移至 [復原服務保存庫]> [屬性]。

2. 在 [加密設定] 下，選取 [更新]。

   

3. 在 [加密設定] 窗格中，選取 [使用您自己的金鑰]，然後使用下列其中一種選項，繼續指定金鑰。 請務必使用處於已啟用狀態的 RSA 金鑰。

   • 選取 [輸入金鑰 URI]。 在 [金鑰 URI] 方塊中，輸入您要用於加密此復原服務保存庫中資料的金鑰 URI。 您可以從金鑰保存庫中的對應金鑰取得此金鑰 URI。 在 [訂用帳戶] 方塊中，指定包含此金鑰的金鑰保存庫訂用帳戶。

     請確保正確地複製金鑰 URI。 我們建議您使用金鑰識別碼所提供的 [複製到剪貼簿] 按鈕。

     

     當您使用完整金鑰 URI 搭配版本元件來指定加密金鑰時，將不會自動輪替該金鑰。 您必須在必要時指定新金鑰或版本，來手動完成金鑰更新。 或者，移除金鑰 URI 的版本元件以取得自動輪替。

   • 選擇 [從金鑰保存庫選取]。 在 [金鑰選擇器] 窗格中，瀏覽並選取金鑰保存庫中的金鑰。

     

     使用 [金鑰選擇器] 窗格來指定加密金鑰時，只要啟用新版本的金鑰，就會自動輪替金鑰。 深入了解如何啟用加密金鑰的自動輪替。

4. 選取 [儲存]。

5. 使用左側功能表上的 [備份作業] 檢視，來追蹤加密金鑰指派的進度和狀態。 狀態應該很快會變更為 [已完成]。 保存庫現在會將具有特定金鑰的所有資料加密為 KEK。

   

   加密金鑰更新也會記錄在保存庫的活動記錄中。

   

PowerShell

使用 Set-AzRecoveryServicesVaultProperty 命令，以啟用 CMK 加密，以及指派或更新加密金鑰。

範例：

$keyVault = Get-AzKeyVault -VaultName "testkeyvault" -ResourceGroupName "testrg" 
$key = Get-AzKeyVaultKey -VaultName $keyVault -Name "testkey" 
Set-AzRecoveryServicesVaultProperty -EncryptionKeyId $key.ID -KeyVaultSubscriptionId "xxxx-yyyy-zzzz"  -VaultId $vault.ID


$enc=Get-AzRecoveryServicesVaultProperty -VaultId $vault.ID
$enc.encryptionProperties | fl

輸出：

EncryptionAtRestType          : CustomerManaged
KeyUri                        : testkey
SubscriptionId                : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 
LastUpdateStatus              : Succeeded
InfrastructureEncryptionState : Disabled

CLI

使用 az backup vault encryption update 命令，以啟用 CMK 加密，以及指派或更新加密金鑰。

範例：

az backup vault encryption update --encryption-key-id MyEncryptionKeyId --mi-system-assigned --resource-group MyResourceGroup --name MyVault

輸出：

EncryptionAtRestType          : CustomerManaged
KeyUri                        : testkey
SubscriptionId                : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 
LastUpdateStatus              : Succeeded
InfrastructureEncryptionState : Disabled

當您想要更新或變更加密金鑰時，此程序維持不變。 如果您想要更新和使用來自另一個金鑰保存庫的金鑰 (與目前使用的金鑰不同)，請確保以下幾點：

• 金鑰保存庫位於與復原服務保存庫相同的區域。
• 金鑰保存庫已啟用虛刪除和清除保護。
• 復原服務保存庫具有存取金鑰保存庫的必要權限。

將資料備份至透過客戶自控金鑰加密的保存庫

設定備份保護之前，請先確認您已成功：

• 建立復原服務保存庫。
• 啟用復原服務保存庫的系統指派受控識別，或將使用者指派的受控識別指派給保存庫。
• 將權限指派給復原服務保存庫 (或使用者指派的受控識別)，以從金鑰保存庫存取加密金鑰。
• 為金鑰保存庫啟用虛刪除和清除保護。
• 為復原服務保存庫指派有效的加密金鑰。

這份檢查清單很重要，因為當您設定 (或嘗試設定) 項目，以備份至非 CMK 加密保存庫之後，就無法對其啟用 CMK 加密。 其會繼續使用 PMK。

設定和執行透過 CMK 加密之復原服務保存庫備份的流程，與設定和執行使用 PMK 之保存庫的備份流程相同。 體驗沒有任何變更。 此陳述式適用於 Azure VM 的備份以及在 VM 內執行的工作負載備份 (例如，SAP HANA 或 SQL Server 資料庫)。

從備份還原資料

從 VM 備份還原資料

您可以根據此文章所述的步驟，還原在復原服務保存庫中儲存的資料。 從透過 CMK 加密的復原服務保存庫還原時，您可以選擇使用磁碟加密集 (DES) 來加密還原的資料。

本節描述的體驗僅適用於從 CMK 加密的保存庫還原資料時。 當您從不使用 CMK 加密的保存庫還原資料時，系統會透過 PMK 加密還原資料。 如果您從立即復原快照集還原，則會透過您用來加密來源磁碟的機制來加密還原的資料。

還原磁碟或 VM

從「快照集」復原點復原磁碟或 VM 時，會透過用來加密來源 VM 磁碟的 DES 來加密還原的資料。

從復原類型為「保存庫」的復原點復原磁碟或 VM 時，您可以選擇使用指定的 DES，來加密還原的資料。 或者，您可以繼續還原資料，而不指定 DES。 在此案例中，會套用 VM 上的加密設定。

跨區域還原期間，已啟用 CMK 的 Azure VM (未在已啟用 CMK 的復原服務保存庫中備份) 會還原為次要區域中未啟用 CMK 的 VM。

無論開始還原時所做的選擇為何，還原完成後，您都可以加密還原的磁碟或 VM。

從保存庫復原點還原時，請選取 [磁碟加密集]

選擇用戶端：

Azure 入口網站

若要在還原窗格中的 [加密設定] 下指定 DES，請遵循下列步驟：

1. 在 [要使用金鑰加密磁碟嗎？] 中，選取 [是]。

2. 在 [加密集] 下拉式清單中，選取您要用於還原磁碟的 DES。 確定您具有 DES 的存取權。

注意

如果您要進行跨區域還原，則支援在還原時選擇 DES 的功能。 不過，如果您要還原使用 Azure 磁碟加密的 VM，則目前不支援此功能。

PowerShell

使用 Get-AzRecoveryServicesBackupItem 命令搭配參數 -DiskEncryptionSetId <string>，以指定要用於加密還原磁碟的 DES。 如需從 VM 備份還原磁碟的詳細資訊，請參閱本文。

範例：

$namedContainer = Get-AzRecoveryServicesBackupContainer  -ContainerType "AzureVM" -Status "Registered" -FriendlyName "V2VM" -VaultId $vault.ID
$backupitem = Get-AzRecoveryServicesBackupItem -Container $namedContainer  -WorkloadType "AzureVM" -VaultId $vault.ID
$startDate = (Get-Date).AddDays(-7)
$endDate = Get-Date
$rp = Get-AzRecoveryServicesBackupRecoveryPoint -Item $backupitem -StartDate $startdate.ToUniversalTime() -EndDate $enddate.ToUniversalTime() -VaultId $vault.ID
$restorejob = Restore-AzRecoveryServicesBackupItem -RecoveryPoint $rp[0] -StorageAccountName "DestAccount" -StorageAccountResourceGroupName "DestRG" -TargetResourceGroupName "DestRGforManagedDisks" -DiskEncryptionSetId "testdes1" -VaultId $vault.ID

CLI

使用 az backup restore restore-disks 命令搭配參數 -DiskEncryptionSetId <string>，以指定要用於加密還原磁碟的 DES。

範例：

az backup recoverypoint list --container-name MyContainer --item-name MyItem --resource-group MyResourceGroup --vault-name MyVault
az backup restore restore-disks --container-name MyContainer --disk-encryption-set-id testdes1 --item-name MyItem --resource-group MyResourceGroup --rp-name MyRp --storage-account mystorageaccount --vault-name MyVault

還原檔案

執行檔案還原時，會透過用於加密目標位置的金鑰加密還原的資料。

還原 Azure VM 中的 SAP Hana/SQL 資料庫

從 Azure VM 中執行的備份 SAP HANA 或 SQL Server 資料庫進行還原時，將透過目標儲存位置所使用的加密金鑰來加密還原的資料。 該金鑰可以是用於加密 VM 磁碟的 CMK 或 PMK。

其他主題

在保存庫建立時，使用客戶自控金鑰來啟用加密 (預覽版)

使用 CMK 在保存庫建立時啟用加密，目前處於有限的公開預覽狀態，而且需要將訂用帳戶加入允許清單。 若要註冊預覽版，請填寫表單，然後透過以下地址發送電子郵件給我們：AskAzureBackupTeam@microsoft.com。

將訂用帳戶加入允許清單時，[備份加密] 索引標籤會隨即顯示。 您使用此索引標籤，讓您在建立新的復原服務保存庫期間，使用 CMK 對備份啟用加密。

若要啟用加密，請遵循下列步驟：

1. 在 [備份加密] 索引標籤上，指定要用於加密的加密金鑰和身分識別。 這些設定僅適用於備份，而且是選擇性。

2. 針對 [加密類型] 選取 [使用客戶自控金鑰]。

3. 若要指定要用於加密的金鑰，請選取適用於加密金鑰的適當選項。 您可以提供加密金鑰的 URI，或瀏覽並選取金鑰。

   當您使用 [從 Key Vault 中選取] 選項指定金鑰時，會自動啟用自動輪替加密金鑰。 深入了解自動輪替。

4. 對於身分識別，指定使用者指派的受控識別，以使用 CMK 管理加密。 選擇 [選取]，以瀏覽並選取所需的身分識別。

5. 新增標籤 (選用)，並繼續建立保存庫。

啟用自動輪替加密金鑰

若要指定用於加密備份的 CMK，請使用下列其中一個選項：

• 輸入金鑰 URI
• 從金鑰保存庫中選取

使用 [從金鑰保存庫中選取] 選項，可為選取的金鑰啟用自動輪替。 此選項可讓您不需要手動更新至下一個版本。 但當您使用此選項時：

• 金鑰版本更新最多可能需要一小時才會生效。
• 當金鑰更新生效時，舊版本也應該至少有一個後續備份作業可供使用 (處於已啟用狀態)。

當您使用完整金鑰 URI 指定加密金鑰時，系統不會自動輪替金鑰。 您必須在必要時指定新金鑰，來手動執行金鑰更新。 若要啟用自動輪替，移除金鑰 URI 的版本元件。

使用 Azure 原則，透過客戶自控金鑰來稽核和強制執行加密 (預覽版)

Azure 備份可讓您使用 Azure 原則，在復原服務保存庫中使用 CMK，來稽核和強制執行資料加密。 您可以使用稽核原則來稽核加密保存庫，方法是使用在 2021 年 4 月 1 日之後啟用的 CMK。

對於在 2021 年 4 月 1 日之前啟用 CMK 加密的保存庫，可能不會套用此原則，或可能會顯示誤判結果。 也就是說，儘管已啟用 CMK 加密，但這些保存庫可能會被回報為不相容。

若要使用稽核原則來稽核使用 2021/04/01 之前啟用 CMK 加密的保存庫，請使用 Azure 入口網站來更新加密金鑰。 此方法可協助您升級至新的模型。 如果您不想變更加密金鑰，請透過金鑰 URI 或金鑰選取項目，再次提供相同的金鑰。

警告

如果您要使用 PowerShell 來管理加密金鑰以進行備份，我們不建議從入口網站更新加密金鑰。 如果您從入口網站更新金鑰，則在支援新模型的 PowerShell 更新可供使用前，您都無法使用 PowerShell 進一步更新加密金鑰。 不過，您可以從入口網站繼續更新金鑰。

常見問題集

我可以使用客戶自控金鑰，來加密現有的備份保存庫嗎？

否。 您只能針對新的保存庫啟用 CMK 加密。 保存庫絕對不能有任何受保護的項目。 事實上，在使用 CMK 啟用加密之前，您不得嘗試保護保存庫中的任何項目。

我已嘗試保護保存庫的項目，但失敗，而且保存庫仍未包含任何受保護的項目。 我可以啟用此保存庫的 CMK 加密嗎？

否。 保存庫過去必須不曾嘗試保護其中的任何項目。

我有一個使用 CMK 加密的保存庫。 即使我有受到保存庫保護的備份項目，稍後是否可以還原至 PMK 加密？

否。 啟用 CMK 加密之後，您就無法還原為使用 PMK。 您可以根據自己的需求變更金鑰。

Azure 備份的 CMK 加密是否也適用於 Azure Site Recovery？

否。 本文只討論備份資料的加密。 針對 Azure Site Recovery，您需要將屬性個別設定為可從服務取用。

我遺漏本文中的其中一個步驟，並繼續保護資料來源。 我是否仍可以使用 CMK 加密？

如果您未遵循文章中的步驟，而您繼續保護項目，則保存庫可能無法使用 CMK 加密。 建議您先使用這份檢查清單，再保護項目。

使用 CMK 加密是否會增加備份費用？

使用 CMK 加密進行備份，不會產生任何額外的費用。 但您可能會因為使用金鑰保存庫而繼續產生費用，因為金鑰儲存在其中。

下一步

Azure 備份中的安全性功能概觀