Udostępnij za pośrednictwem

Rotacja kluczy zarządzanych przez klienta dla poufnych maszyn wirtualnych

  • Artykuł

Poufne maszyny wirtualne (poufne maszyny wirtualne) w kluczach zarządzanych przez klienta pomoc techniczna platformy Azure. Klucze zarządzane przez klienta ułatwiają prawidłowe działanie poufnych maszyn wirtualnych i skojarzonych artefaktów. Możesz zarządzać tymi kluczami w usłudze Azure Key Vault lub za pomocą zarządzanego sprzętowego modułu zabezpieczeń (zarządzanego modułu HSM). Ten artykuł koncentruje się na zarządzaniu kluczami za pośrednictwem zarządzanego modułu HSM, chyba że określono inaczej.

Jeśli chcesz użyć klucza zarządzanego przez klienta, musisz podać zasób Zestawu szyfrowania dysków podczas tworzenia poufnej maszyny wirtualnej. Zestaw szyfrowania dysków musi odwoływać się do klucza zarządzanego przez klienta. Zazwyczaj można skojarzyć pojedynczy zestaw szyfrowania dysków z wieloma poufnymi maszynami wirtualnymi. Zaleca się okresowe obracanie klucza zarządzanego przez klienta jako najlepsze rozwiązanie w zakresie zabezpieczeń. Częstotliwość rotacji to decyzja dotycząca zasad organizacyjnych. Rotacja jest również konieczna w przypadku naruszenia zabezpieczeń klucza zarządzanego przez klienta.

Zmiana klucza zarządzanego przez klienta

W dowolnym momencie możesz zmienić klucz używany dla poufnych maszyn wirtualnych. Aby obrócić klucz zarządzany przez klienta:

  1. Zaloguj się w witrynie Azure Portal.
  2. Przejdź do usługi Virtual Machines .
  3. Zatrzymaj wszystkie poufne maszyny wirtualne z tym samym zestawem szyfrowania dysków. Jeśli co najmniej jedna maszyna wirtualna nie znajduje się w stanie zatrzymania, żadna z maszyn wirtualnych nie może odebrać nowego klucza.
  4. Przejdź do usługi Zestawy szyfrowania dysków.
  5. Wybierz zasób Zestaw szyfrowania dysków skojarzony z poufnej maszyny wirtualnej.
  6. W menu zasobu w obszarze Ustawienia wybierz pozycję Klucz.
  7. Wybierz pozycję Zmień klucz.
  8. Wybierz odpowiedni magazyn kluczy, klucz i wersję.
  9. Zapisz zmiany. Operacja zapisywania aktualizuje klucz dla wszystkich poufnych artefaktów maszyny wirtualnej.

Ponów próbę rotacji kluczy

W rzadkich przypadkach klucz zarządzany przez klienta może nie zostać obrócony dla wszystkich poufnych maszyn wirtualnych, nawet jeśli wszystkie maszyny wirtualne zostały zatrzymane. Jeśli klucz zarządzany przez klienta nie jest obracany, zasób Zestawu szyfrowania dysków nadal zawiera odwołanie do starego klucza. W tym stanie niektóre poufne maszyny wirtualne mogą mieć nowy klucz, a niektóre mogą mieć stary klucz.

Aby rozwiązać ten problem, powtórz kroki aktualizacji zestawu szyfrowania dysków.

Ograniczenia

  • Automatyczna rotacja kluczy nie jest obecnie obsługiwana w przypadku poufnych maszyn wirtualnych.
  • Rotacja kluczy nie jest obsługiwana w przypadku dysków efemerycznych. Zaleca się posiadanie oddzielnego zestawu szyfrowania dysków dla poufnych maszyn wirtualnych z efemerycznym dyskiem. Jeśli poufne maszyny wirtualne z efemeryjnymi i nie efemeryjnymi dyskami współużytkować ten sam zestaw szyfrowania dysków, należy usunąć poufne maszyny wirtualne z dyskami efemeryjnymi przed wymianą kluczy dla poufnych maszyn wirtualnych z dyskami nie efemeryjnymi.