輪替機密 VM 的客戶自控金鑰

Azure 中的機密虛擬機器 (機密 VM) 支援客戶自控金鑰。 客戶自控金鑰可協助機密 VM 和相關聯的成品正常運作。 您可以在 Azure Key Vault 或透過受控硬體安全性模組 (受控 HSM) 管理這些金鑰。 除非另有說明，否則本文的重點在於透過受控 HSM 管理金鑰。

若您想要使用客戶自控金鑰，則必須在建立機密 VM 時提供磁碟加密集資源。 磁碟加密集必須參考客戶自控金鑰。 一般而言，您可以將單一磁碟加密集與多個機密 VM 建立關聯。 建議您定期輪替客戶自控金鑰，作為安全性最佳做法。 輪替的頻率為組織政策決策。 若客戶自控金鑰遭盜用，亦須執行輪替。

變更客戶自控金鑰

您可以隨時變更用於機密 VM 的金鑰。 若要輪替客戶自控金鑰：

1. 登入 Azure 入口網站。
2. 移至 [虛擬機器] 服務。
3. 停止具有相同磁碟加密集的所有機密 VM。 如果一或多個 VM 未處於停止狀態，則任何 VM 都無法接收新金鑰。
4. 移至 [磁碟加密集] 服務。
5. 選取與機密 VM 相關聯的磁碟加密集資源。
6. 在資源的功能表上，選取 [設定] 之下的 [金鑰]。
7. 選取 [變更金鑰]。
8. 選取適當的金鑰保存庫、金鑰和版本。
9. 儲存您的變更。 儲存作業會更新所有機密 VM 成品的金鑰。

重試金鑰輪替

在罕見情況下，即使所有 VM 都停止，客戶自控金鑰也可能不會針對所有機密 VM 輪替。 如果未輪替客戶自控金鑰，磁碟加密集資源仍會包含舊金鑰的參考。 在此狀態下，有些機密 VM 可以擁有新金鑰，有些則可以擁有舊金鑰。

若要解決此問題，請重複步驟來更新磁碟加密集。

限制

• 機密 VM 目前不支援自動金鑰輪替。
• 暫時性磁碟不支援金鑰輪替。 建議您針對具有暫時性磁碟的機密 VM 設定個別磁碟加密集。 如果具有暫時性和非暫時性磁碟的機密 VM 共用相同的磁碟加密集，則必須先刪除具有暫時性磁碟的機密 VM，才能為具有非暫時性磁碟的機密 VM 輪替金鑰。