共用方式為


使用客戶自控金鑰來加密備份資料

您可以使用 Azure 備份來透過客戶自控金鑰 (CMK) 加密備份資料,而不是使用預設啟用的平台代控金鑰 (PMK)。 用以加密備份資料的金鑰必須儲存在 Azure Key Vault 中。

用於加密備份的加密金鑰可能與用於來源的加密金鑰不同。 AES 256 型資料加密金鑰 (DEK) 可協助保護資料。 因此,金鑰加密金鑰 (KEK) 也有助於保護 DEK。 您能夠完整控制資料和金鑰。

若要允許加密,您必須授與備份保存庫權限,以存取金鑰保存庫中的加密金鑰。 您可以視需要變更金鑰。

在本文中,您將學會如何:

  • 建立復原服務保存庫。
  • 設定復原服務保存庫,以使用 CMK 來加密備份資料。
  • 將資料備份至透過 CMK 加密的保存庫。
  • 從備份還原資料。

考量

  • 您可以使用這項功能 (使用 Azure 備份透過 CMK 加密備份資料),以僅加密新的復原服務保存庫。 不支援包含已註冊或嘗試註冊之現有項目的任何保存庫。

  • 在針對復原服務保存庫使用 CMK 啟用加密之後,您就無法重回使用 PMK (預設值)。 您可以變更加密金鑰來滿足需求。

  • 這項功能目前不支援透過 Microsoft Azure 復原服務 (MARS) 代理程式進行備份,而且您可能無法透過 MARS 代理程式使用 CMK 加密的保存庫進行備份。 MARS 代理程式會使用以複雜密碼為基礎的加密。 這項功能也不支援您在傳統部署模型中建立的虛擬機器 (VM) 備份。

  • 這項功能與 Azure 磁碟加密無關,後者使用 BitLocker (適用於 Windows) 和 DM-Crypt (適用於 Linux) 來使用 VM 磁碟的來賓型的加密。

  • 您只能使用儲存在 Azure Key Vault 中、且位於相同區域的金鑰來加密復原服務保存庫。 此外,金鑰必須是受支援的 RSA 金鑰,且必須處於啟用狀態。

  • 目前不支援在資源群組和訂用帳戶之間移動 CMK 加密的復原服務保存庫。

  • 將已使用 CMK 加密的復原服務保存庫移至新的租用戶時,需更新復原服務保存庫,以便重新建立並重新設定保存庫的受控識別和 CMK (應位於新的租用戶中)。 如果未更新保存庫,備份和還原作業將會失敗。 此外,您也必須重新設定訂用帳戶內設定的任何 Azure 角色型存取控制 (Azure RBAC) 權限。

  • 您可以透過 Azure 入口網站或 PowerShell 設定此功能。 使用 Az 模組 5.3.0 或更新版本來使用 CMK,以在復原服務保存庫中進行備份。

    警告

    如果您要使用 PowerShell 來管理加密金鑰以進行備份,我們不建議從入口網站更新金鑰。 如果您從入口網站更新金鑰,除非有支援新模型的 PowerShell 更新可使用,否則就無法使用 PowerShell 進一步更新金鑰。 不過,您可以從 Azure 入口網站繼續更新金鑰。

  • 如果您尚未建立並設定復原服務保存庫,請參閱此文章

使用客戶自控金鑰設定要加密的保存庫

若要設定保存庫,請依序執行下列動作:

  1. 啟用復原服務保存庫的受控識別。

  2. 將權限指派給復原服務保存庫,以存取 Azure Key Vault 中的加密金鑰。

  3. 在 Azure Key Vault 上啟用虛刪除和清除保護。

  4. 將加密金鑰指派給復原服務保存庫。

以下幾節將詳細討論其中幾個動作。

啟用復原服務保存庫的受控識別

Azure 備份會使用系統指派的受控識別和使用者指派的受控識別來驗證復原服務保存庫,以存取儲存在 Azure Key Vault 中的加密金鑰。 您可以選擇要使用的受控識別。

注意

啟用受控識別後,您不得將其停用 (即使只是暫時性)。 停用受控識別可能會導致不一致的行為。

為保存庫啟用系統指派的受控識別

選擇用戶端:

  1. 移至 [復原服務保存庫] > [身分識別]

  2. 選取 [系統指派] 索引標籤。

  3. 狀態變更為 [開啟]

  4. 選取 [儲存],以啟用保存庫的身分識別。

螢幕擷取畫面顯示系統指派的受控識別選曲項目。

前述步驟會產生物件識別碼,也就是保存庫的系統指派受控識別。

將使用者指派的受控識別指派給保存庫 (預覽版)

注意

針對 CMK 加密採用使用者指派受控識別的保存庫,不支援使用私人端點進行備份。

目前尚未支援限制存取特定網路的金鑰保存庫搭配使用使用者指派的受控識別,以進行 CMK 加密。

若要為復原服務保存庫指派使用者指派的受控識別,請選擇用戶端:

  1. 移至 [復原服務保存庫] > [身分識別]

  2. 選取 [使用者指派 (預覽)] 索引標籤。

  3. 選取 [+新增],以新增使用者指派的受控識別。

  4. 在 [新增使用者指派的受控識別] 窗格中,為身分識別選取訂用帳戶。

  5. 從清單中選取身分識別。 您也可以依身分識別或資源群組的名稱進行篩選。

  6. 選取 [新增] 以完成身分識別指派。

螢幕擷取畫面顯示將使用者指派的受控識別指派給保存庫的選取項目。

將權限指派給復原服務保存庫,以存取 Azure Key Vault 中的加密金鑰

您現在需要允許復原服務保存庫受控識別存取內含加密金鑰的金鑰保存庫。

如果您使用使用者指派的身分識別,則必須為其指派相同的權限。

選擇用戶端:

  1. 前往 [金鑰保存庫] > [存取原則]。 選取 [+新增存取原則]

    顯示要新增存取原則選項的螢幕擷取畫面。

  2. 指定要在金鑰上允許的動作。 在 [金鑰權限] 中,選取 [取得]、[列出]、[取消包裝金鑰] 和 [包裝金鑰] 作業。

    顯示指派金鑰權限選項的螢幕擷取畫面。

  3. 移至 [選取主體],並使用其名稱或受控識別,在搜尋方塊中搜尋保存庫。 當保存庫出現時,請選取該保存庫,然後在面板底部選擇 [選取]

    顯示選取主體面板的螢幕擷取畫面。

  4. 選取 [新增] 以新增存取原則。

  5. 選取 [儲存],以儲存對金鑰保存庫存取原則所做的變更。

您也可以將 RBAC 角色指派給包含上述權限的復原服務保存庫,例如「Key Vault 密碼編譯員」角色。 此角色可能包含其他權限。

在 Azure Key Vault 上啟用虛刪除和清除保護

您必須在儲存加密金鑰的金鑰保存庫上啟用虛刪除和清除保護。

選擇用戶端:

您可以如下列螢幕擷取畫面所示,從 Azure Key Vault 介面啟用虛刪除和清除保護。 或者,您可以在建立金鑰保存庫時設定這些屬性。 深入了解這些 Key Vault 屬性。

顯示啟用虛刪除和清除保護切換的螢幕擷取畫面。

將加密金鑰指派給復原服務保存庫

在選取保存庫的加密金鑰之前,請確定您已成功:

  • 啟用復原服務保存庫的受控識別,並將所需的權限指派至其中。
  • 啟用金鑰保存庫的虛刪除和清除保護。
  • 沒有要啟用 CMK 加密的受保護或註冊至復原服務保存庫的項目。

若要指派金鑰並遵循步驟,請選擇用戶端:

  1. 移至 [復原服務保存庫] > [屬性]

  2. 在 [加密設定] 下,選取 [更新]

    顯示復原服務保存庫屬性的螢幕擷取畫面。

  3. 在 [加密設定] 窗格中,選取 [使用您自己的金鑰],然後使用下列其中一種選項,繼續指定金鑰。 請務必使用處於已啟用狀態的 RSA 金鑰。

    • 選取 [輸入金鑰 URI]。 在 [金鑰 URI] 方塊中,輸入您要用於加密此復原服務保存庫中資料的金鑰 URI。 您可以從金鑰保存庫中的對應金鑰取得此金鑰 URI。 在 [訂用帳戶] 方塊中,指定包含此金鑰的金鑰保存庫訂用帳戶。

      請確保正確地複製金鑰 URI。 建議您使用金鑰識別碼所提供的 [複製到剪貼簿] 按鈕。

      顯示復原服務保存庫金鑰 URI 的螢幕擷取畫面。

      在使用完整金鑰 URI 搭配版本元件來指定加密金鑰時,將不會自動輪替該金鑰。 您必須在必要時指定新金鑰或版本,以手動更新金鑰。 或者透過移除金鑰 URI 的版本元件以使用自動輪替功能。

    • 選擇 [從 Key Vault 選取]。 在 [金鑰選擇器] 窗格中,瀏覽並選取金鑰保存庫中的金鑰。

      螢幕擷取畫面顯示從金鑰保存庫選取金鑰的選項。

      使用 [金鑰選擇器] 窗格來指定加密金鑰時,只要啟用新版本金鑰就會自動輪替金鑰。 深入了解如何啟用加密金鑰的自動輪替

  4. 選取 [儲存]。

  5. 使用左側功能表上的 [備份作業] 檢視,來追蹤加密金鑰指派的進度和狀態。 狀態應該很快會變更為 [已完成]。 保存庫現在會將具有特定金鑰的所有資料加密為 KEK。

    螢幕擷取畫面顯示備份工作狀態為已完成。

    加密金鑰更新也會記錄在保存庫的活動記錄中。

    顯示活動記錄的螢幕擷取畫面。

將資料備份至透過客戶自控金鑰加密的保存庫

設定備份保護之前,請先確認您已成功:

  • 建立復原服務保存庫。
  • 啟用復原服務保存庫的系統指派受控識別,或將使用者指派的受控識別指派給保存庫。
  • 將權限指派給復原服務保存庫 (或使用者指派的受控識別),以從金鑰保存庫存取加密金鑰。
  • 為金鑰保存庫啟用虛刪除和清除保護。
  • 為復原服務保存庫指派有效的加密金鑰。

這份檢查清單很重要,因為當您設定 (或嘗試設定) 項目,以備份至非 CMK 加密保存庫之後,就無法對其啟用 CMK 加密。 其會繼續使用 PMK。

設定和執行透過 CMK 加密之復原服務保存庫備份的流程,與設定和執行使用 PMK 之保存庫的備份流程相同。 體驗沒有任何變更。 此陳述式適用於 Azure VM 的備份以及在 VM 內執行的工作負載備份 (例如,SAP HANASQL Server 資料庫)。

從備份還原資料

從 VM 備份還原資料

您可以根據此文章所述的步驟,還原在復原服務保存庫中儲存的資料。 從透過 CMK 加密的復原服務保存庫還原時,您可以選擇使用磁碟加密集 (DES) 來加密還原的資料。

本節描述的體驗僅適用於從 CMK 加密的保存庫還原資料時。 當您從不使用 CMK 加密的保存庫還原資料時,系統會透過 PMK 加密還原資料。 如果您從立即復原快照集還原,則會透過您用來加密來源磁碟的機制來加密還原的資料。

還原磁碟或 VM

從「快照集」復原點復原磁碟或 VM 時,會透過用來加密來源 VM 磁碟的 DES 來加密還原的資料。

從復原類型為「保存庫」的復原點復原磁碟或 VM 時,您可以選擇使用指定的 DES,來加密還原的資料。 或者,您可以繼續還原資料,而不指定 DES。 在此案例中,會套用 VM 上的加密設定。

跨區域還原期間,已啟用 CMK 的 Azure VM (未在已啟用 CMK 的復原服務保存庫中備份) 會還原為次要區域中未啟用 CMK 的 VM。

無論開始還原時所做的選擇為何,還原完成後,您都可以加密還原的磁碟或 VM。

顯示還原點和復原類型的螢幕擷取畫面。

從保存庫復原點還原時,請選取 [磁碟加密集]

選擇用戶端:

若要在還原窗格中的 [加密設定] 下指定 DES,請遵循下列步驟:

  1. 在 [要使用金鑰加密磁碟嗎?] 中,選取 [是]

  2. 在 [加密集] 下拉式清單中,選取您要用於還原磁碟的 DES。 確定您具有 DES 的存取權。

注意

如果您要進行跨區域還原,則支援在還原時選擇 DES 的功能。 不過,如果您要還原使用 Azure 磁碟加密的 VM,則目前不支援此功能。

顯示使用金鑰加密磁碟選項的螢幕擷取畫面。

還原檔案

執行檔案還原時,會透過用於加密目標位置的金鑰加密還原的資料。

還原 Azure VM 中的 SAP Hana/SQL 資料庫

從 Azure VM 中執行的備份 SAP HANA 或 SQL Server 資料庫進行還原時,將透過目標儲存位置所使用的加密金鑰來加密還原的資料。 該金鑰可以是用於加密 VM 磁碟的 CMK 或 PMK。

其他主題

在保存庫建立時,使用客戶自控金鑰來啟用加密 (預覽版)

使用 CMK 在保存庫建立時啟用加密,目前處於有限的公開預覽狀態,而且需要將訂用帳戶加入允許清單。 若要註冊預覽版,請填寫表單,然後透過以下地址發送電子郵件給我們:AskAzureBackupTeam@microsoft.com

將訂用帳戶加入允許清單時,[備份加密] 索引標籤會隨即顯示。 您使用此索引標籤,讓您在建立新的復原服務保存庫期間,使用 CMK 對備份啟用加密。

若要啟用加密,請遵循下列步驟:

  1. 在 [備份加密] 索引標籤上,指定要用於加密的加密金鑰和身分識別。 這些設定僅適用於備份,而且是選擇性。

  2. 針對 [加密類型] 選取 [使用客戶自控金鑰]

  3. 若要指定要用於加密的金鑰,請選取適用於加密金鑰的適當選項。 您可以提供加密金鑰的 URI,或瀏覽並選取金鑰。

    當您使用 [從 Key Vault 中選取] 選項指定金鑰時,會自動啟用自動輪替加密金鑰。 深入了解自動輪替

  4. 對於身分識別,指定使用者指派的受控識別,以使用 CMK 管理加密。 選擇 [選取],以瀏覽並選取所需的身分識別。

  5. 新增標籤 (選用),並繼續建立保存庫。

顯示在保存庫層級啟用加密選項的螢幕擷取畫面。

啟用自動輪替加密金鑰

若要指定用於加密備份的 CMK,請使用下列其中一個選項:

  • 輸入金鑰 URI
  • 從金鑰保存庫中選取

使用 [從金鑰保存庫中選取] 選項,可為選取的金鑰啟用自動輪替。 此選項可讓您不需要手動更新至下一個版本。 但當您使用此選項時:

  • 金鑰版本更新最多可能需要一小時才會生效。
  • 當金鑰更新生效時,舊版本也應該至少有一個後續備份作業可供使用 (處於已啟用狀態)。

當您使用完整金鑰 URI 指定加密金鑰時,系統不會自動輪替金鑰。 您必須在必要時指定新金鑰,來手動執行金鑰更新。 若要啟用自動輪替,移除金鑰 URI 的版本元件。

使用 Azure 原則,透過客戶自控金鑰來稽核和強制執行加密 (預覽版)

Azure 備份可讓您使用 Azure 原則,在復原服務保存庫中使用 CMK,來稽核和強制執行資料加密。 您可以使用稽核原則來稽核加密保存庫,方法是使用在 2021 年 4 月 1 日之後啟用的 CMK。

對於在 2021 年 4 月 1 日之前啟用 CMK 加密的保存庫,可能不會套用此原則,或可能會顯示誤判結果。 也就是說,儘管已啟用 CMK 加密,但這些保存庫可能會被回報為不相容。

若要使用稽核原則來稽核使用 2021/04/01 之前啟用 CMK 加密的保存庫,請使用 Azure 入口網站來更新加密金鑰。 此方法可協助您升級至新的模型。 如果您不想變更加密金鑰,請透過金鑰 URI 或金鑰選取項目,再次提供相同的金鑰。

警告

如果您要使用 PowerShell 來管理加密金鑰以進行備份,我們不建議從入口網站更新加密金鑰。 如果您從入口網站更新金鑰,則在支援新模型的 PowerShell 更新可供使用前,您都無法使用 PowerShell 進一步更新加密金鑰。 不過,您可以從入口網站繼續更新金鑰。

常見問題集

我可以使用客戶自控金鑰,來加密現有的備份保存庫嗎?

否。 您只能針對新的保存庫啟用 CMK 加密。 保存庫絕對不能有任何受保護的項目。 事實上,在使用 CMK 啟用加密之前,您不得嘗試保護保存庫中的任何項目。

我已嘗試保護保存庫的項目,但失敗,而且保存庫仍未包含任何受保護的項目。 我可以啟用此保存庫的 CMK 加密嗎?

否。 保存庫過去必須不曾嘗試保護其中的任何項目。

我有一個使用 CMK 加密的保存庫。 即使我有受到保存庫保護的備份項目,稍後是否可以還原至 PMK 加密?

否。 啟用 CMK 加密之後,您就無法還原為使用 PMK。 您可以根據自己的需求變更金鑰。

Azure 備份的 CMK 加密是否也適用於 Azure Site Recovery?

否。 本文只討論備份資料的加密。 針對 Azure Site Recovery,您需要將屬性個別設定為可從服務取用。

我遺漏本文中的其中一個步驟,並繼續保護資料來源。 我是否仍可以使用 CMK 加密?

如果您未遵循文章中的步驟,而您繼續保護項目,則保存庫可能無法使用 CMK 加密。 建議您先使用這份檢查清單,再保護項目。

使用 CMK 加密是否會增加備份費用?

使用 CMK 加密進行備份,不會產生任何額外的費用。 但您可能會因為使用金鑰保存庫而繼續產生費用,因為金鑰儲存在其中。

下一步

Azure 備份中的安全性功能概觀