Delen via

Door de klant beheerde sleutels roteren voor vertrouwelijke VM's

  • Artikel

Vertrouwelijke virtuele machines (vertrouwelijke VM's) in ondersteuning voor Azure door de klant beheerde sleutels. Door de klant beheerde sleutels helpen vertrouwelijke VM's en bijbehorende artefacten goed te werken. U kunt deze sleutels beheren in Azure Key Vault of via een beheerde Hardware Security Module (beheerde HSM). Dit artikel is gericht op het beheren van de sleutels via een beheerde HSM, tenzij anders vermeld.

Als u een door de klant beheerde sleutel wilt gebruiken, moet u een resource voor schijfversleutelingssets opgeven wanneer u uw vertrouwelijke VM maakt. De schijfversleutelingsset moet verwijzen naar de door de klant beheerde sleutel. Normaal gesproken kunt u één schijfversleutelingsset koppelen aan meerdere vertrouwelijke VM's. Het wordt aanbevolen om periodiek een door de klant beheerde sleutel te roteren als best practice voor beveiliging. De frequentie van rotatie is een beslissing van het organisatiebeleid. Rotatie is ook nodig als een door de klant beheerde sleutel wordt aangetast.

Door de klant beheerde sleutel wijzigen

U kunt de sleutel die u gebruikt voor vertrouwelijke VM's op elk gewenst moment wijzigen. Een door de klant beheerde sleutel roteren:

  1. Meld u aan bij de Azure-portal.
  2. Ga naar de service Virtual Machines .
  3. Stop alle vertrouwelijke VM's met dezelfde schijfversleutelingsset. Als een of meer VM's niet de status Gestopt hebben, kunnen geen van de VM's de nieuwe sleutel ontvangen.
  4. Ga naar de service Schijfversleutelingssets .
  5. Selecteer de schijfversleutelingssetresource die is gekoppeld aan uw vertrouwelijke VM.
  6. Selecteer Sleutel in het menu van de resource onder Instellingen.
  7. Selecteer Sleutel wijzigen.
  8. Selecteer de juiste sleutelkluis, sleutel en versie.
  9. Uw wijzigingen opslaan. De opslagbewerking werkt de sleutel voor alle vertrouwelijke VM-artefacten bij.

Sleutelrotatie opnieuw proberen

In zeldzame gevallen wordt de door de klant beheerde sleutel mogelijk niet geroteerd voor alle vertrouwelijke VM's, zelfs niet wanneer alle VM's zijn gestopt. Als de door de klant beheerde sleutel niet wordt gedraaid, bevat de resource Schijfversleutelingsset nog steeds een verwijzing naar de oude sleutel. In deze status kunnen sommige vertrouwelijke VM's de nieuwe sleutel hebben en sommige kunnen de oude sleutel hebben.

Herhaal de stappen voor het bijwerken van de schijfversleutelingsset om dit probleem op te lossen.

Beperkingen

  • Automatische sleutelrotatie wordt momenteel niet ondersteund voor vertrouwelijke VM's.
  • Sleutelrotatie wordt niet ondersteund voor tijdelijke schijven. Het is raadzaam om een afzonderlijke schijfversleutelingsset te hebben voor vertrouwelijke VM's met een tijdelijke schijf. Als vertrouwelijke VM's met tijdelijke en niet-tijdelijke schijven dezelfde schijfversleutelingsset delen, moet u de vertrouwelijke VM's met tijdelijke schijven verwijderen voordat u de sleutels voor de vertrouwelijke VM's met niet-tijdelijke schijven roteert.