Sdílet prostřednictvím

Obměna klíčů spravovaných zákazníkem pro důvěrné virtuální počítače

  • Článek

Důvěrné virtuální počítače (důvěrné virtuální počítače) v podpora Azure klíče spravované zákazníkem. Klíče spravované zákazníkem pomáhají důvěrným virtuálním počítačům a přidruženým artefaktům správně fungovat. Tyto klíče můžete spravovat ve službě Azure Key Vault nebo prostřednictvím spravovaného modulu hardwarového zabezpečení (spravovaného HSM). Tento článek se zaměřuje na správu klíčů prostřednictvím spravovaného HSM, pokud není uvedeno jinak.

Pokud chcete použít klíč spravovaný zákazníkem, musíte při vytváření důvěrného virtuálního počítače zadat prostředek Sady šifrování disků. Sada šifrování disků musí odkazovat na klíč spravovaný zákazníkem. Obvykle můžete přidružit jednu sadu šifrování disků k více důvěrným virtuálním počítačům. Doporučuje se pravidelně obměňovat klíč spravovaný zákazníkem jako osvědčený postup zabezpečení. Četnost rotace je rozhodnutí o zásadách organizace. Obměně je nutná také v případě ohrožení klíče spravovaného zákazníkem.

Změna klíče spravovaného zákazníkem

Klíč, který používáte pro důvěrné virtuální počítače, můžete kdykoli změnit. Obměna klíče spravovaného zákazníkem:

  1. Přihlaste se k portálu Azure.
  2. Přejděte do služby Virtual Machines .
  3. Zastavte všechny důvěrné virtuální počítače se stejnou sadou šifrování disků. Pokud jeden nebo více virtuálních počítačů není v zastaveném stavu, žádný z virtuálních počítačů nemůže nový klíč přijmout.
  4. Přejděte do služby Disk Encryption Sets .
  5. Vyberte prostředek Sady šifrování disků, který je přidružený k vašemu důvěrnému virtuálnímu počítači.
  6. V nabídce prostředku v části Nastavení vyberte Klíč.
  7. Vyberte Změnit klíč.
  8. Vyberte příslušný trezor klíčů, klíč a verzi.
  9. Uloží vaše změny. Operace uložení aktualizuje klíč pro všechny důvěrné artefakty virtuálního počítače.

Opakování obměně klíče

Ve výjimečných případech se klíč spravovaný zákazníkem nemusí obměňovat pro všechny důvěrné virtuální počítače, i když byly všechny virtuální počítače zastaveny. Pokud se klíč spravovaný zákazníkem nestřídá, prostředek Sady šifrování disků stále obsahuje odkaz na starý klíč. V tomto stavu můžou mít některé důvěrné virtuální počítače nový klíč a některé můžou mít starý klíč.

Pokud chcete tento problém vyřešit, opakujte kroky aktualizace sady šifrování disku.

Omezení

  • U důvěrných virtuálních počítačů se v současné době nepodporuje automatická obměně klíčů.
  • Obměně klíčů se u dočasných disků nepodporuje. Doporučujeme mít samostatnou sadu šifrování disků pro důvěrné virtuální počítače s dočasným diskem. Pokud důvěrné virtuální počítače s dočasnými a dočasnými disky sdílejí stejnou sadu šifrování disků, musíte před otočením klíčů pro důvěrné virtuální počítače s nepomíjnými disky odstranit důvěrné virtuální počítače s dočasnými disky.