編輯

共用方式為


使用 Azure 入口網站,透過客戶自控金鑰為受控磁碟啟用伺服器端加密

適用於:✔️ Linux VM ✔️ Windows VM ✔️

Azure 磁碟儲存體可讓您在針對受控磁碟使用伺服器端加密 (SSE) 時,選擇管理自己的金鑰。 如需 SSE 與客戶自控金鑰及其他受控磁碟加密類型的概念資訊,請參閱磁碟加密文章客戶自控金鑰中的客戶自控金鑰一節

必要條件

限制

目前,客戶管理的金鑰具有下列限制:

  • 如果已對具有增量快照集的磁碟啟用此功能,就無法在該磁碟或其快照集上停用此功能。 若要解決此問題,請將所有資料複製到未使用客戶自控金鑰的另一個完全不同受控磁碟。 您可以使用 Azure CLIAzure PowerShell 模組來解決。
  • 磁碟及其所有相關聯的增量快照集必須具有相同的磁碟加密集。
  • 僅支援大小為 2048 位元、3072 位元和 4096 位元的軟體和 HSM RSA 金鑰,不支援其他金鑰或大小。
    • HSM 金鑰需要 Azure 金鑰保存庫的進階服務層級
  • 僅適用於 Ultra 磁碟和進階 SSD v2 磁碟:
    • 從使用伺服器端加密和客戶自控密鑰加密的快照集所建立的磁碟,必須使用相同的磁碟加密集來加密。
    • 使用客戶自控金鑰加密的 Ultra 磁碟和進階 SSD v2 磁碟不支援使用者指派的受控識別。
    • 目前不支援使用儲存在不同的Microsoft Entra ID 租用戶中儲存的 Azure 金鑰保存庫,使用客戶管理的密鑰加密 Ultra 磁碟和進階 SSD v2 磁碟。
  • 幾乎所有與客戶管理金鑰相關的資源 (磁碟加密集、VM、磁碟和快照集) 必須位於相同的訂閱和區域中。
    • Azure Key Vault 可從不同的訂用帳戶使用,但必須與磁碟加密集位於相同的區域中。 作為預覽版,您可以從不同的 Microsoft Entra 租用戶使用 Azure Key Vault。
  • 只有在相連結的 VM 解除配置時,使用客戶自控金鑰加密的磁碟才能移至另一個資源群組。
  • 使用客戶自控金鑰加密的磁碟、快照集和映像,無法在訂用帳戶之間移動。
  • 目前正在或之前使用 Azure 磁碟加密進行加密的受控磁碟,將無法使用客戶自控金鑰進行加密。
  • 每個區域的每個訂用帳戶最多只能建立 5000 個磁碟加密集。
  • 如需將客戶自控金鑰與共用映像資源庫搭配使用的詳細資訊,請參閱預覽:使用客戶自控金鑰加密映像

下列各節說明如何對受控磁碟啟用和使用客戶自控金鑰:

如果是第一次為磁碟設定客戶自控金鑰,您必須依特定順序建立資源。 首先,您必須建立和設定 Azure Key Vault。

設定 Azure 金鑰保存庫

  1. 登入 Azure 入口網站

  2. 搜尋並選取 [金鑰保存庫]

    Azure 入口網站的螢幕擷取畫面,其搜尋對話方塊已展開。

    重要

    磁碟加密集、VM、磁碟和快照集全都必須位於相同的區域和訂用帳戶中,才能成功部署。 Azure Key Vault 可從不同的訂閱使用,但必須與磁碟加密集位於相同的區域和租用戶中。

  3. 選取 [+建立] 以建立新的 Key Vault。

  4. 建立新的資源群組。

  5. 輸入金鑰保存庫名稱、選取區域,然後選取定價層。

    注意

    建立 Key Vault 執行個體時,您必須啟用虛刪除和清除保護。 虛刪除可確保 Key Vault 將已刪除的金鑰保留一段指定的保留期間 (預設為 90 天)。 清除保護可確保已刪除的金鑰在保留期限結束之前,無法永久刪除。 這些設定可防止您因為意外刪除而遺失資料。 使用 Key Vault 來加密受控磁碟時,必須使用這些設定。

  6. 選取 [檢閱 + 建立],確認您的選擇,然後選取 [建立]

    Azure Key Vault 建立體驗的螢幕擷取畫面,顯示您建立的特定值。

  7. 金鑰保存庫完成部署之後,選取金鑰保存庫。

  8. 在 [物件] 下選取 [金鑰]

  9. 選取產生/匯入

    Key Vault 資源設定窗格的螢幕擷取畫面。在設定中顯示產生/匯入按鈕。

  10. 將 [金鑰類型] 設定保持為 [RSA],將 [RSA 金鑰大小] 設定保持為 [2048]

  11. 隨意填入其餘選項,然後選取 [建立]

    選取產生/匯入按鈕後所出現建立金鑰窗格的螢幕擷取畫面。

新增 Azure RBAC 角色

既然已建立 Azure 金鑰保存庫和金鑰,接著必須新增 Azure RBAC 角色,才能將 Azure 金鑰保存庫和磁碟加密集一起使用。

  1. 選取 [存取控制 (IAM)] 並新增角色。
  2. 新增 Key Vault 管理員擁有者參與者角色。

設定磁碟加密集

  1. 搜尋磁碟加密集並加以選取。

  2. 在 [磁碟加密集] 窗格上,選取 [+建立]

  3. 選取資源群組、命名加密集,然後選取與金鑰保存庫相同的區域。

  4. 在 [加密類型] 中,選取 [使用客戶自控金鑰進行待用加密]

    注意

    一旦您建立具有特定加密類型的磁碟加密集,就無法加以變更。 如果您想要使用不同的加密類型,則必須建立新的磁碟加密集。

  5. 請確定選取 [Azure 金鑰保存庫] 並選取 [金鑰]

  6. 選取您先前建立的金鑰保存庫和金鑰,以及版本。

  7. 如果您想要啟用自動輪替客戶自控金鑰,請選取 [自動金鑰輪替]

  8. 選取 [檢閱 + 建立],然後選取 [建立]

    磁碟加密建立窗格的螢幕擷取畫面。顯示訂用帳戶、資源群組、磁碟加密集名稱、區域及金鑰保存庫 + 金鑰選取器。

  9. 瀏覽至已部署的磁碟加密集,然後選取出現的警示。

    使用者選取「若要讓磁碟、映像或快照集與此磁碟加密集建立關聯,您必須授與金鑰保存庫的權限」警示的螢幕擷取畫面。

  10. 這會將磁碟加密集的權限授與金鑰保存庫。

    確認已授與權限的螢幕擷取畫面。

部署 VM

既然已建立並設定金鑰保存庫和磁碟加密集,接著可以使用加密來部署 VM。 VM 部署流程類似於標準部署流程,唯一的差別在於您必須將 VM 部署在與其他資源相同的區域,並選擇使用客戶自控金鑰。

  1. 搜尋虛擬機器,然後選取 [+ 建立] 以建立 VM。

  2. 在 [基本] 窗格上,選取與磁碟加密集和 Azure Key Vault 相同的區域。

  3. 隨意填入 [基本] 窗格上的其他值。

    VM 建立體驗的螢幕擷取畫面,其中已醒目提示區域值。

  4. 在 [磁碟] 窗格的 [金鑰管理] 中,選取下拉式清單中的磁碟加密集、金鑰保存庫和金鑰。

  5. 隨意完成其餘選項。

    VM 建立體驗的螢幕擷取畫面、磁碟窗格、選取的客戶自控金鑰。

在現有磁碟上啟用

警告

您需要先停止 VM,才能在連結至 VM 的任何磁碟上啟用磁碟加密。

  1. 瀏覽至 VM,這與您的其中一個磁碟加密集位於相同區域。

  2. 開啟 VM 並選取 [停止]

範例 VM 主要重疊的螢幕擷取畫面,其中已醒目提示 [停止] 按鈕。

  1. VM 停止之後,選取 [磁碟],然後選取您要加密的磁碟。

範例 VM 的螢幕擷取畫面,其中 [磁碟] 窗格已開啟,OS 磁碟會醒目提示,作為供您選取的範例磁碟。

  1. 選取 [加密],然後在 [金鑰管理] 底下,從 [客戶自控金鑰] 下方的下拉式清單中選取金鑰保存庫和金鑰。

  2. 選取 [儲存]。

範例 OS 磁碟的螢幕擷取畫面、[加密] 窗格已開啟、已選取使用客戶自控金鑰的待用加密,以及範例 Azure Key Vault。

  1. 針對您想加密的其他任何連結至 VM 的磁碟,重複此流程。

  2. 當磁碟完成切換至客戶自控金鑰時,如果已無其他連結的磁碟需要加密,則可以啟動 VM。

重要

客戶自控金鑰須依賴 Azure 資源受控識別,這是 Microsoft Entra ID 的一項功能。 當您設定客戶管理的金鑰時,受控識別會在幕後自動指派給您的資源。 如果您之後將訂用帳戶、資源群組或受控磁碟從一個 Microsoft Entra 目錄移至另一個目錄,與受控磁碟相關聯的受控識別不會移轉至新的租用戶,因此,客戶自控金鑰可能無法再運作。 如需詳細資訊,請參閱在 Microsoft Entra 目錄之間移轉訂用帳戶

在現有的磁碟加密集上啟用自動金鑰輪替

  1. 瀏覽至您想啟用自動金鑰輪替的磁碟加密集。

  2. 在 [設定] 底下,選取 [金鑰]

  3. 選取 [自動金鑰輪替],然後選取 [儲存]