Sdílet prostřednictvím

Šifrování zálohovaných dat v trezoru služby Backup pomocí klíčů spravovaných zákazníkem

  • Článek

Azure Backup můžete použít k šifrování zálohovaných dat prostřednictvím klíčů spravovaných zákazníkem (CMK) místo klíčů spravovaných platformou (PMK), které jsou ve výchozím nastavení povolené. Klíče pro šifrování zálohovaná data musí být uložené ve službě Azure Key Vault.

Šifrovací klíč, který používáte pro šifrování záloh, se může lišit od šifrovacího klíče, který používáte pro zdroj. Šifrovací klíč dat založený na AES 256 (DEK) pomáhá chránit data. Šifrovací klíče klíče (KEK) zase pomáhají chránit klíč DEK. Máte plnou kontrolu nad daty a klíči.

Pokud chcete povolit šifrování, musíte udělit spravovanou identitu trezoru služby Backup, kterou chcete použít pro CMK, oprávnění pro přístup k šifrovacímu klíči v trezoru klíčů. Klíč můžete v případě potřeby změnit.

Poznámka:

Nastavení šifrování a CMK se používají zaměnitelně.

Podporované oblasti

Sady CMK pro trezory služby Backup jsou v současné době dostupné ve všech veřejných oblastech Azure.

Požadavky na klíče HSM ve službě Key Vault a spravované hsm

Než povolíte šifrování trezoru služby Backup, projděte si následující požadavky:

  • Nastavení šifrování používá Službu Azure Key Vault nebo spravovaný klíč modulu hardwarového zabezpečení (HSM) spolu s podrobnostmi o spravované identitě trezoru služby Backup.

  • Spravovaná identita trezoru služby Backup musí mít:

    • Předdefinovaná role uživatele šifrování kryptografických služeb, pokud váš trezor klíčů používá konfiguraci řízení přístupu na základě role (RBAC), která je založená na správě identit a přístupu (IAM).
    • Získání, zabalení a rozbalení oprávnění, pokud trezor klíčů používá konfiguraci založenou na zásadách přístupu.
    • Získání, zabalení a rozbalení oprávnění udělená místním RBAC na klíči, pokud používáte spravovaný HSM. Další informace.

  • Ujistěte se, že máte platný a povolený klíč služby Key Vault. Nepoužívejte prošlý nebo zakázaný klíč, protože se nedá použít k šifrování neaktivních uložených dat a povede k selhání operací zálohování a obnovení. Termín služby Key Vault také označuje spravovaný HSM, pokud jste si ho předtím nevšimli.

  • Key Vault musí mít povolenou ochranu proti obnovitelnému odstranění a vymazání.

  • Nastavení šifrování podporují klíče RSA a RSA-HSM služby Azure Key Vault pouze s velikostmi 2 048, 3 072 a 4 096. Přečtěte si další informace o klíčích. Než pro nastavení šifrování vezmete v úvahu oblasti služby Key Vault, přečtěte si scénáře zotavení po havárii služby Key Vault pro podporu regionálního převzetí služeb při selhání.

Důležité informace

Než povolíte šifrování trezoru služby Backup, projděte si následující aspekty:

  • Po povolení šifrování pomocí sad CMK pro trezor služby Backup se nemůžete vrátit k používání sad PMK (výchozí nastavení). Šifrovací klíče nebo spravovanou identitu můžete změnit tak, aby splňovaly požadavky.

  • CmK se používá na úrovni úložiště Azure Backup a archivu trezoru. Nevztahuje se na provozní úroveň.

  • Přesun trezoru záloh šifrovaného cmk mezi skupinami prostředků a předplatnými se v současné době nepodporuje.

  • Po povolení nastavení šifrování v trezoru služby Backup nezakažte ani neodpojujte spravovanou identitu ani neodstraňujte oprávnění služby Key Vault používaná pro nastavení šifrování. Tyto akce vedou k selhání úloh vypršení platnosti zálohování, obnovení, vrstvení a bodu obnovení. Za data uložená v trezoru služby Backup se budou účtují náklady, dokud:

    • Obnovíte oprávnění služby Key Vault.
    • Můžete znovu povolit identitu přiřazenou systémem, udělit jí oprávnění trezoru klíčů a aktualizovat nastavení šifrování (pokud jste použili identitu přiřazenou systémem pro nastavení šifrování).
    • Znovu připojte spravovanou identitu, ujistěte se, že má oprávnění pro přístup k trezoru klíčů a klíč k použití nové identity přiřazené uživatelem.

  • Nastavení šifrování používá klíč služby Azure Key Vault a podrobnosti o spravované identitě trezoru služby Backup.

    Pokud je klíč nebo trezor klíčů, který používáte, odstraněný nebo přístup se zruší a nejde ho obnovit, ztratíte přístup k datům uloženým v trezoru služby Backup. Ujistěte se také, že máte příslušná oprávnění k poskytování a aktualizaci spravovaných identit, trezoru služby Backup a podrobností trezoru klíčů.

  • Trezory, které používají spravované identity přiřazené uživatelem pro šifrování CMK, nepodporují použití privátních koncových bodů pro Azure Backup.

  • Trezory klíčů, které omezují přístup ke konkrétním sítím, se v současné době nepodporují se spravovanými identitami přiřazenými uživatelem pro šifrování CMK.

Povolení šifrování pomocí klíčů spravovaných zákazníkem při vytváření trezoru

Při vytváření trezoru služby Backup můžete povolit šifrování záloh pomocí sad CMK. Zjistěte, jak vytvořit trezor služby Backup.

Zvolte klienta:

Pokud chcete šifrování povolit, postupujte takto:

  1. Na webu Azure Portal přejděte do trezoru služby Backup.

  2. Na kartě Vlastnosti trezoru vyberte Přidat identitu.

    Snímek obrazovky znázorňující vlastnosti trezoru služby Backup

  3. V okně Vybrat spravovanou identitu přiřazenou uživatelem vyberte spravovanou identitu ze seznamu, který chcete použít k šifrování, a pak vyberte Přidat.

  4. Jako typ šifrování vyberte Použít klíč spravovaný zákazníkem.

  5. Pokud chcete zadat klíč, který se má použít pro šifrování, vyberte příslušnou možnost.

    Pokud chcete povolit automatické zotavování verze šifrovacího klíče používané pro trezor služby Backup, zvolte Možnost Vybrat ze služby Key Vault. Nebo odeberte komponentu verze z identifikátoru URI klíče tak , že vyberete Enter key URI. Přečtěte si další informace o automatickérotaci.

  6. Zadejte identifikátor URI šifrovacího klíče. Můžete také procházet a vybrat klíč.

    Snímek obrazovky znázorňující možnost použití klíče spravovaného zákazníkem a podrobností šifrovacího klíče

  7. Přidejte spravovanou identitu přiřazenou uživatelem pro správu šifrování pomocí sad CMK.

    Při vytváření trezoru je možné pro CMK použít pouze spravované identity přiřazené uživatelem.

    Snímek obrazovky ukazuje přidání spravované identity přiřazené uživatelem do trezoru.

    Pokud chcete použít CMK se spravovanou identitou přiřazenou systémem, aktualizujte vlastnosti trezoru po vytvoření trezoru.

    Snímek obrazovky ukazuje přidání spravované identity přiřazené systémem do trezoru.

  8. Pokud chcete povolit šifrování infrastruktury úložiště zálohování, vyberte Šifrování infrastruktury.

    Šifrování infrastruktury můžete povolit pouze u nového trezoru během vytváření a používání klíčů spravovaných zákazníkem (CMK).

  9. Přidejte značky (volitelné) a pokračujte ve vytváření trezoru.

Aktualizace vlastností trezoru služby Backup pro šifrování pomocí klíčů spravovaných zákazníkem

Nastavení šifrování trezoru záloh můžete upravit v následujících scénářích:

  • Povolte klíč spravovaný zákazníkem pro již existující trezor. V případě trezorů služby Backup můžete povolit cmk před nebo po ochraně položek do trezoru.
  • Aktualizujte podrobnosti v nastavení šifrování, jako je spravovaná identita nebo šifrovací klíč.

Pojďme povolit klíč spravovaný zákazníkem pro existující trezor.

Pokud chcete nakonfigurovat trezor, proveďte následující akce v posloupnosti:

  1. Povolte spravovanou identitu pro trezor služby Backup.

  2. Přiřaďte k trezoru služby Backup oprávnění pro přístup k šifrovacímu klíči ve službě Azure Key Vault.

  3. Povolení obnovitelného odstranění a ochrany před vymazáním ve službě Azure Key Vault

  4. Přiřaďte šifrovací klíč k trezoru služby Backup.

Následující části podrobně probírají každou z těchto akcí.

Povolení spravované identity pro trezor služby Backup

Azure Backup používá spravované identity přiřazené systémem a spravované identity přiřazené uživatelem trezoru služby Backup pro přístup k šifrovacím klíčům uloženým ve službě Azure Key Vault. Můžete zvolit, kterou spravovanou identitu chcete použít.

Poznámka:

Po povolení spravované identity ji nesmíte (ani dočasně) zakázat. Zakázání spravované identity může vést k nekonzistentnímu chování.

Z bezpečnostních důvodů nemůžete aktualizovat identifikátor URI klíče služby Key Vault i spravovanou identitu v jediné žádosti. Aktualizujte jeden atribut najednou.

Povolení spravované identity přiřazené systémem pro trezor

Zvolte klienta:

Pokud chcete pro trezor služby Backup povolit spravovanou identitu přiřazenou systémem, postupujte takto:

  1. Přejděte na identitu trezoru>služby Backup.

  2. Vyberte kartu Přiřazená systémem.

  3. Změňte stav na Zapnuto.

  4. Výběrem možnosti Uložit povolíte identitu trezoru.

Snímek obrazovky znázorňující výběry pro povolení spravované identity přiřazené systémem

Předchozí kroky generují ID objektu, což je spravovaná identita trezoru přiřazená systémem.

Přiřazení spravované identity přiřazené uživatelem k trezoru

Pokud chcete přiřadit spravovanou identitu přiřazenou uživatelem pro trezor služby Backup, postupujte takto:

  1. Přejděte na identitu trezoru>služby Backup.

  2. Vyberte kartu Přiřazený uživatel (Preview).

  3. Vyberte +Přidat a přidejte spravovanou identitu přiřazenou uživatelem.

  4. Na panelu Přidat spravovanou identitu přiřazenou uživatelem vyberte předplatné pro vaši identitu.

  5. Ze seznamu vyberte identitu. Můžete také filtrovat podle názvu identity nebo skupiny prostředků.

  6. Výběrem možnosti Přidat dokončete přiřazení identity.

Snímek obrazovky znázorňující výběry pro přiřazení spravované identity přiřazené uživatelem k trezoru

Poznámka:

Trezory klíčů, které omezují přístup k určitým sítím, se zatím nepodporují pro použití se spravovanými identitami přiřazenými uživatelem pro šifrování CMK.

Přiřazení oprávnění ke spravované identitě trezoru služby Backup (systémem nebo přiřazeným uživatelem) pro přístup k šifrovacímu klíči ve službě Azure Key Vault

Zvolte klienta:

Musíte povolit spravovanou identitu trezoru služby Backup pro přístup k trezoru klíčů, který obsahuje šifrovací klíč.

Scénář: Služba Key Vault má povolenou konfiguraci řízení přístupu (IAM)

Postupujte následovně:

  1. Přejděte do řízení přístupu trezoru klíčů>a pak vyberte Přidat přiřazení role.
  2. V rolích funkcí úloh vyberte roli uživatele šifrování šifrovací služby Key Vault.
  3. Vyberte Další>přiřazení přístupu ke>spravované identitě>– Vyberte členy.
  4. Vyberte spravovanou identitu vašeho trezoru služby Backup.
  5. Vyberte Další a přiřaďte.

Scénář: Trezor klíčů má povolenou konfiguraci zásad přístupu

Postupujte následovně:

  1. Přejděte do zásad přístupu trezoru>klíčů a pak vyberte +Vytvořit.

    Snímek obrazovky znázorňující tlačítko pro vytvoření zásady přístupu

  2. Zadejte akce, které se mají pro klíč povolit. V části Oprávnění ke klíči vyberte operace Get, List, Unwrap Key a Wrap Key . Pak vyberte Další.

    Snímek obrazovky znázorňující výběr oprávnění ke klíči

  3. Na kartě Objekt zabezpečení vyhledejte trezor ve vyhledávacím poli pomocí názvu nebo spravované identity. Jakmile se trezor zobrazí, vyberte ho a pak vyberte Další.

    Snímek obrazovky s výběrem objektu zabezpečení v trezoru klíčů

  4. Pokud chcete přidat novou zásadu přístupu, vyberte Přidat .

  5. Výběrem možnosti Uložit uložte změny provedené v zásadách přístupu trezoru klíčů.

Pokud používáte identitu přiřazenou uživatelem, musíte k ní přiřadit stejná oprávnění.

Roli RBAC můžete také přiřadit k trezoru služby Backup, který obsahuje dříve uvedená oprávnění, například roli kryptografického důstojníka služby Key Vault. Tato role může obsahovat další oprávnění.

Povolení obnovitelného odstranění a ochrany před vymazáním ve službě Azure Key Vault

U trezoru klíčů, který ukládá šifrovací klíč, musíte povolit obnovitelné odstranění a ochranu před vymazáním.

Zvolte klienta:

Tyto vlastnosti můžete nastavit z rozhraní služby Azure Key Vault, jak je znázorněno na následujícím snímku obrazovky. Alternativně můžete tyto vlastnosti nastavit při vytváření trezoru klíčů. Přečtěte si další informace o těchto vlastnostech služby Key Vault.

Snímek obrazovky s možnostmi povolení obnovitelného odstranění a ochrany před vymazáním

Přiřazení šifrovacího klíče k trezoru služby Backup

Před výběrem šifrovacího klíče trezoru se ujistěte, že jste úspěšně:

  • Povolili spravovanou identitu trezoru služby Backup a přiřadili jí požadovaná oprávnění.
  • Povolili jsme obnovitelné odstranění a ochranu před vymazáním trezoru klíčů.

Poznámka:

Pokud se v nastavení šifrování zobrazí nějaké aktualizace aktuálních podrobností služby Key Vault s novými informacemi o trezoru klíčů, musí spravovaná identita používaná pro nastavení šifrování zachovat přístup k původnímu trezoru klíčů, s oprávněními Get a Unwrap a klíč by měl být ve stavu Povoleno. Tento přístup je nezbytný ke spuštění obměně klíčů z předchozího klíče na nový klíč.

Klíč přiřadíte takto:

  1. Přejděte do vlastností trezoru>služby Backup.

    Snímek obrazovky znázorňující vlastnosti trezoru služby Backup

  2. V části Nastavení šifrování vyberte Aktualizovat.

    Snímek obrazovky znázorňující odkaz pro aktualizaci nastavení šifrování

  3. V okně Nastavení šifrování vyberte Použít vlastní klíč a pak klíč zadejte pomocí jedné z následujících možností. Nezapomeňte použít klíč RSA, který je v povoleném a aktivním stavu.

    • Vyberte Enter key URI. Do pole Identifikátor URI klíče zadejte identifikátor URI klíče, který chcete použít k šifrování dat v tomto trezoru služby Backup. Tento identifikátor URI klíče můžete získat také z odpovídajícího klíče v trezoru klíčů.

      Nezapomeňte správně zkopírovat identifikátor URI klíče. Doporučujeme použít tlačítko Kopírovat do schránky , které je k dispozici s identifikátorem klíče.

      Snímek obrazovky znázorňující výběry pro zadání identifikátoru URI klíče

      Když se pokusíte aktualizovat nastavení šifrování, ale operace aktualizace selže kvůli vnitřní chybě, nastavení šifrování se aktualizuje na nekonzistentní a vyžaduje vaši pozornost. V takových případech zkontrolujte podrobnosti nastavení šifrování a ujistěte se, že jsou správné. Například operace Aktualizovat nastavení šifrování se spustí znovu s existující spravovanou identitou připojenou k trezoru. Pokud jsou podrobnosti nastavení šifrování stejné, operace aktualizace nebude ovlivněna.

      Pokud zakážete nebo odpojíte spravovanou identitu používanou v nastavení šifrování, nastavení šifrování se změní na nekonzistentní stav, pokud znovu nepovolíte identitu přiřazení systému (pokud byla použita), udělte požadovaná oprávnění služby Key Vault a znovu proveďte operaci aktualizace nastavení šifrování. U identity přiřazené uživatelem se při opětovném připojení identity stav nastavení šifrování automaticky obnoví, pokud tam jsou oprávnění služby Key Vault.

      Snímek obrazovky s upozorněním na stav pro neúspěšnou aktualizaci

      Když zadáváte šifrovací klíč pomocí URI celého klíče se součástí verze, klíč se automaticky nezotavuje. Klíče je potřeba aktualizovat ručně zadáním nového klíče nebo verze v případě potřeby. Případně odeberte komponentu verze identifikátoru URI klíče, abyste získali automatickou obměnu verzí klíče.

      Snímek obrazovky znázorňující identifikátor URI klíče pro trezor služby Backup

    • Zvolte Vybrat ze služby Key Vault. V podokně Pro výběr klíčů přejděte a vyberte klíč z trezoru klíčů.

      Snímek obrazovky znázorňující možnost výběru klíče z trezoru klíčů

      Když zadáte šifrovací klíč pomocí podokna Pro výběr klíče, verze klíče se automaticky spustí při každém povolení nové verze klíče. Přečtěte si další informace o povolení automatického zápisu šifrovacích klíčů.

  4. Vyberte Aktualizovat.

  5. Sledujte průběh a stav přiřazení šifrovacího klíče v části Oznámení.

    Aktualizace nastavení šifrování

Nastavení šifrování můžete kdykoli aktualizovat. Kdykoli chcete použít nový identifikátor URI klíče, ujistěte se, že váš stávající trezor klíčů má stále přístup ke spravované identitě a klíč je platný. Jinak operace aktualizace selže.

Spravovaná identita, kterou chcete použít pro šifrování, potřebuje příslušná oprávnění.

Zálohování do trezoru šifrovaného prostřednictvím klíčů spravovaných zákazníkem

Než nakonfigurujete ochranu zálohování, ověřte, že jste úspěšně:

  • Vytvořili jste trezor služby Backup.
  • Povolili spravovanou identitu přiřazenou systémem trezoru služby Backup nebo přiřadili spravovanou identitu přiřazenou uživatelem k trezoru.
  • Přiřazená oprávnění k vašemu trezoru služby Backup (nebo spravované identitě přiřazené uživatelem) pro přístup k šifrovacím klíčům z trezoru klíčů.
  • Povolili jsme obnovitelné odstranění a ochranu před vymazáním trezoru klíčů.
  • Přiřadili jste platný šifrovací klíč pro váš trezor služby Backup.

Proces konfigurace a provádění záloh do trezoru služby Backup, který je šifrovaný prostřednictvím sad CMK, je stejný jako proces konfigurace a provádění záloh do trezoru, který používá sady PMK. V prostředí nejsou žádné změny.

Podpora privátních koncových bodů

Službu Azure Key Vault s privátním koncovým bodem (PE) můžete použít pomocí spravované identity přiřazené systémem trezoru.

Pokud je přístup k veřejné síti služby Azure Key Vault zakázaný, omezení přístupu vám znemožní použití webu Azure Portal mimo síťový počítač s povoleným privátním koncovým bodem k výběru služby Key Vault a klíče v okně Nastavení šifrování. Pomocí identifikátoru URI klíče služby Key Vault však můžete zadat podrobnosti o klíči služby Key Vault v nastavení šifrování.

Řešení chyb operací pro nastavení šifrování

Tato část uvádí různé scénáře řešení potíží, se kterými se můžete setkat při šifrování trezoru služby Backup.

Selhání operací zálohování, obnovení a operací na pozadí

Příčiny:

  • Příčina 1: Pokud došlo k problému s nastavením šifrování trezoru služby Backup, například jste odebrali oprávnění služby Key Vault ze spravované identity nastavení šifrování, zakázanou identitu přiřazenou systémem nebo odpojili nebo odstranili spravovanou identitu z trezoru služby Backup, který používáte pro nastavení šifrování, pak úlohy zálohování a obnovení selžou.

  • Příčina 2: Vrstvení bodů obnovení a úloh vypršení platnosti bodů obnovení selže bez zobrazení chyb na webu Azure Portal nebo jiných rozhraních (například rozhraní REST API nebo rozhraní příkazového řádku). Tyto operace budou i nadále selhávat a účtují se za ně náklady.

Doporučené akce:

  • Doporučení 1: Obnovte oprávnění, aktualizujte podrobnosti spravované identity, které mají přístup k trezoru klíčů.

  • Doporučení 2: Obnovte požadovaná nastavení šifrování do trezoru služby Backup.

Chybějící oprávnění pro spravovanou identitu

Kód chyby: UserErrorCMKMissingMangedIdentityPermissionOnKeyVault

Příčina: K této chybě dochází v těchto případech:

  • Spravovaná identita, kterou používáte pro nastavení šifrování, nemá oprávnění pro přístup k trezoru klíčů. Úlohy zálohování nebo obnovení také můžou selhat s tímto kódem chyby, pokud se přístup odebere po aktualizaci nastavení šifrování nebo zakázání nebo odpojení spravované identity z trezoru služby Backup.
  • Používáte identifikátor URI klíče jiného typu než RSA.

Doporučená akce: Ujistěte se, že spravovaná identita, kterou používáte pro nastavení šifrování, má požadovaná oprávnění a klíč je typem RSA. Potom zkuste operaci zopakovat.

Selhání ověřování trezoru

Kód chyby: UserErrorCMKKeyVaultAuthFailure

Příčina: Spravovaná identita v nastavení šifrování nemá požadovaná oprávnění pro přístup k trezoru klíčů nebo klíči. Spravovaná identita trezoru záloh (identita přiřazená systémem nebo identita přiřazená uživatelem používaná pro nastavení šifrování) by měla mít ve vašem trezoru klíčů následující oprávnění:

  • Pokud váš trezor klíčů používá konfiguraci RBAC založenou na IAM, potřebujete předdefinovaná oprávnění uživatele šifrování kryptografických služeb Key Vault.

  • Pokud používáte zásady přístupu, potřebujete oprávnění Get, Wrap a Unwrap .

  • Key Vault a klíč neexistují a nejsou dostupné službě Azure Backup prostřednictvím nastavení sítě.

Doporučená akce: Zkontrolujte zásady přístupu ke službě Key Vault a odpovídajícím způsobem udělte oprávnění.

Selhání odstranění trezoru

Kód chyby: CloudServiceRetryableError

Příčina: Pokud došlo k problému s nastavením šifrování trezoru služby Backup (například jste odebrali oprávnění služby Key Vault nebo MHSM ze spravované identity nastavení šifrování, zakázaná identita přiřazená systémem, odpojila nebo odstranila spravovanou identitu z trezoru záloh použitého pro nastavení šifrování nebo se odstraní trezor klíčů nebo klíč MHSM), odstranění trezoru může selhat.

Doporučená akce: Pokud chcete tento problém vyřešit:

  • Ujistěte se, že spravovaná identita používaná pro nastavení šifrování má stále oprávnění pro přístup k trezoru klíčů nebo MHSM. Než budete pokračovat v odstranění trezoru, obnovte je.
  • Znovu se připojte nebo povolte spravovanou identitu a přiřaďte požadovaná oprávnění služby Key Vault nebo MHSM.
  • Pokud se klíč trezoru klíčů odstraní, může dojít k selhání odstranění trezoru. Pokud ale chcete obnovit odstraněný klíč ze stavu obnovitelného odstranění, ujistěte se, že máte požadovaná oprávnění ke spravované identitě v trezoru klíčů nebo MHSM a pak zkuste operaci odstranění trezoru služby Backup zopakovat.

Ověření kódů chyb

Služba Azure Backup ověří vybranou službu Azure Key Vault při použití klíče CMK v trezoru záloh. Pokud služba Key Vault nemá požadovaná nastavení konfigurace (povoleno obnovitelné odstranění a povolená ochrana před vymazáním), zobrazí se následující kódy chyb:

UserErrorCMKPurgeProtectionNotEnabledOnKeyVault

Kód chyby: UserErrorCMKPurgeProtectionNotEnabledOnKeyVault

Příčina: Obnovitelné odstranění není ve službě Key Vault povolené.

Doporučená akce: Povolte obnovitelné odstranění ve službě Key Vault a zkuste operaci zopakovat.

UserErrorCMKSoftDeleteNotEnabledOnKeyVault

Kód chyby: UserErrorCMKSoftDeleteNotEnabledOnKeyVault

Příčina: Ochrana před vymazáním není ve službě Key Vault povolená.

Doporučená akce: Povolení ochrany před vymazáním ve službě Key Vault a následné opakování operace

Další krok