Używanie witryny Azure Portal do włączania szyfrowania po stronie serwera przy użyciu kluczy zarządzanych przez klienta dla dysków zarządzanych

Dotyczy: ✔️ Maszyny wirtualne z systemem Linux maszyny ✔️ wirtualne z ✔️ systemem Windows

Usługa Azure Disk Storage umożliwia zarządzanie własnymi kluczami podczas korzystania z szyfrowania po stronie serwera (SSE) dla dysków zarządzanych, jeśli wybierzesz. Aby uzyskać informacje koncepcyjne dotyczące SSE z kluczami zarządzanymi przez klienta i innymi typami szyfrowania dysków zarządzanych przez klienta, zobacz sekcję Klucze zarządzane przez klienta w artykule Dotyczącym szyfrowania dysków: Klucze zarządzane przez klienta

Wymagania wstępne

Brak

Ograniczenia

Na razie klucze zarządzane przez klienta mają następujące ograniczenia:

  • Jeśli ta funkcja jest włączona dla dysku z migawkami przyrostowymi, nie można jej wyłączyć na tym dysku ani jego migawkach. Aby obejść ten problem, skopiuj wszystkie dane na zupełnie inny dysk zarządzany, który nie korzysta z kluczy zarządzanych przez klienta. Można to zrobić za pomocą interfejsu wiersza polecenia platformy Azure lub modułu Azure PowerShell.
  • Dysk i wszystkie skojarzone z nim migawki przyrostowe muszą mieć ten sam zestaw szyfrowania dysku.
  • Obsługiwane są tylko klucze oprogramowania i modułu HSM RSA o rozmiarach 2048-bitowych, 3072-bitowych i 4096-bitowych, bez innych kluczy ani rozmiarów.
    • Klucze HSM wymagają warstwy Premium usługi Azure Key Vault.
  • Tylko w przypadku dysków w warstwie Ultra Disk i SSD w warstwie Premium w wersji 2:
    • Dyski utworzone na podstawie migawek zaszyfrowanych za pomocą szyfrowania po stronie serwera i kluczy zarządzanych przez klienta muszą być szyfrowane przy użyciu tego samego zestawu szyfrowania dysków.
    • Tożsamości zarządzane przypisane przez użytkownika nie są obsługiwane w przypadku dysków w warstwie Ultra i dysków SSD w warstwie Premium w wersji 2 zaszyfrowanych przy użyciu kluczy zarządzanych przez klienta.
    • Szyfrowanie dysków w warstwie Ultra i dysków SSD w warstwie Premium w wersji 2 przy użyciu kluczy zarządzanych przez klienta przy użyciu usługi Azure Key Vault przechowywanych w innej dzierżawie identyfikatora Entra firmy Microsoft nie jest obecnie obsługiwane.
  • Większość zasobów związanych z kluczami zarządzanymi przez klienta (zestawy szyfrowania dysków, maszyny wirtualne, dyski i migawki) musi znajdować się w tej samej subskrypcji i regionie.
    • Usługi Azure Key Vault mogą być używane z innej subskrypcji, ale muszą znajdować się w tym samym regionie co zestaw szyfrowania dysków. Jako wersja zapoznawcza możesz używać usługi Azure Key Vault z różnych dzierżaw firmy Microsoft Entra.
  • Dyski zaszyfrowane za pomocą kluczy zarządzanych przez klienta mogą być przenoszone tylko do innej grupy zasobów, jeśli maszyna wirtualna, do której są dołączone, zostanie cofnięto przydział.
  • Dysków, migawek i obrazów zaszyfrowanych przy użyciu kluczy zarządzanych przez klienta nie można przenosić między subskrypcjami.
  • Dyski zarządzane obecnie lub wcześniej zaszyfrowane przy użyciu usługi Azure Disk Encryption nie mogą być szyfrowane przy użyciu kluczy zarządzanych przez klienta.
  • Można utworzyć maksymalnie 5000 zestawów szyfrowania dysków na region na subskrypcję.
  • Aby uzyskać informacje na temat używania kluczy zarządzanych przez klienta z galeriami obrazów udostępnionych, zobacz Wersja zapoznawcza: używanie kluczy zarządzanych przez klienta do szyfrowania obrazów.

W poniższych sekcjach opisano sposób włączania i używania kluczy zarządzanych przez klienta dla dysków zarządzanych:

Skonfigurowanie kluczy zarządzanych przez klienta dla dysków wymaga utworzenia zasobów w określonej kolejności, jeśli wykonujesz je po raz pierwszy. Najpierw należy utworzyć i skonfigurować usługę Azure Key Vault.

Konfigurowanie usługi Azure Key Vault

  1. Zaloguj się w witrynie Azure Portal.

  2. Wyszukaj i wybierz pozycję Magazyny kluczy.

    Zrzut ekranu witryny Azure Portal z rozwiniętym oknom dialogowym wyszukiwania.

    Ważne

    Zestaw szyfrowania dysków, maszyna wirtualna, dyski i migawki muszą znajdować się w tym samym regionie i subskrypcji, aby wdrożenie powiodło się. Usługi Azure Key Vault mogą być używane z innej subskrypcji, ale muszą znajdować się w tym samym regionie i dzierżawie co zestaw szyfrowania dysków.

  3. Wybierz pozycję +Utwórz , aby utworzyć nowy magazyn kluczy.

  4. Tworzenie nowej grupy zasobów

  5. Wprowadź nazwę magazynu kluczy, wybierz region i wybierz warstwę cenową.

    Uwaga

    Podczas tworzenia wystąpienia usługi Key Vault należy włączyć ochronę usuwania nietrwałego i przeczyszczania. Usuwanie nietrwałe gwarantuje, że usługa Key Vault przechowuje usunięty klucz dla danego okresu przechowywania (domyślna 90 dni). Ochrona przed przeczyszczeniem gwarantuje, że usunięty klucz nie może zostać trwale usunięty, dopóki okres przechowywania nie wygaśnie. Te ustawienia chronią cię przed utratą danych z powodu przypadkowego usunięcia. Te ustawienia są obowiązkowe w przypadku używania usługi Key Vault do szyfrowania dysków zarządzanych.

  6. Wybierz pozycję Przejrzyj i utwórz, zweryfikuj wybrane opcje, a następnie wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający środowisko tworzenia usługi Azure Key Vault z określonymi utworzonymi wartościami.

  7. Po zakończeniu wdrażania magazynu kluczy wybierz go.

  8. Wybierz pozycję Klucze w obszarze Obiekty.

  9. Wybierz Generuj/Import.

    Zrzut ekranu przedstawiający okienko ustawień zasobów usługi Key Vault z przyciskiem generowania/importowania w ustawieniach.

  10. Pozostaw wartość Typ klucza ustawioną na RSA i RSA Key Size (Rozmiar klucza RSA) ustawioną na wartość 2048.

  11. Wypełnij pozostałe opcje tak, jak chcesz, a następnie wybierz pozycję Utwórz.

    Zrzut ekranu przedstawiający okienko tworzenia klucza, które jest wyświetlane po wybraniu przycisku generowania/importowania.

Dodawanie roli RBAC platformy Azure

Po utworzeniu magazynu kluczy platformy Azure i klucza musisz dodać rolę RBAC platformy Azure, aby można było używać magazynu kluczy platformy Azure z zestawem szyfrowania dysków.

  1. Wybierz pozycję Kontrola dostępu (Zarządzanie dostępem i tożsamościami) i dodaj rolę.
  2. Dodaj role Administrator usługi Key Vault, Właściciel lub Współautor.

Konfigurowanie zestawu szyfrowania dysków

  1. Wyszukaj pozycję Zestawy szyfrowania dysków i wybierz je.

  2. W okienku Zestawy szyfrowania dysków wybierz pozycję +Utwórz.

  3. Wybierz grupę zasobów, nadaj zestawowi szyfrowania nazwę i wybierz ten sam region co magazyn kluczy.

  4. W polu Typ szyfrowania wybierz pozycję Szyfrowanie magazynowane przy użyciu klucza zarządzanego przez klienta.

    Uwaga

    Po utworzeniu zestawu szyfrowania dysku z określonym typem szyfrowania nie można go zmienić. Jeśli chcesz użyć innego typu szyfrowania, musisz utworzyć nowy zestaw szyfrowania dysków.

  5. Upewnij się, że wybrano pozycję Wybierz magazyn kluczy platformy Azure i klucz .

  6. Wybierz utworzony wcześniej magazyn kluczy i klucz oraz wersję.

  7. Jeśli chcesz włączyć automatyczną rotację kluczy zarządzanych przez klienta, wybierz pozycję Automatyczna rotacja kluczy.

  8. Wybierz pozycję Przeglądanie + tworzenie, a następnie pozycję Utwórz.

    Zrzut ekranu przedstawiający okienko tworzenia szyfrowania dysków. Wyświetlanie subskrypcji, grupy zasobów, nazwy zestawu szyfrowania dysków, regionu i magazynu kluczy i selektora kluczy.

  9. Przejdź do zestawu szyfrowania dysków po jego wdrożeniu i wybierz wyświetlony alert.

    Zrzut ekranu przedstawiający użytkownika wybierającego alert

  10. Spowoduje to przyznanie uprawnień magazynu kluczy do zestawu szyfrowania dysków.

    Zrzut ekranu przedstawiający potwierdzenie udzielenia uprawnień.

Wdrażanie maszyny wirtualnej

Po utworzeniu i skonfigurowaniu magazynu kluczy oraz zestawu szyfrowania dysków możesz wdrożyć maszynę wirtualną przy użyciu szyfrowania. Proces wdrażania maszyny wirtualnej jest podobny do standardowego procesu wdrażania. Jedyne różnice polegają na tym, że należy wdrożyć maszynę wirtualną w tym samym regionie co inne zasoby i wybrać użycie klucza zarządzanego przez klienta.

  1. Wyszukaj pozycję Maszyny wirtualne i wybierz pozycję + Utwórz , aby utworzyć maszynę wirtualną.

  2. W okienku Podstawowe wybierz ten sam region co zestaw szyfrowania dysków i usługę Azure Key Vault.

  3. Wypełnij inne wartości w okienku Podstawowe , jak chcesz.

    Zrzut ekranu przedstawiający środowisko tworzenia maszyny wirtualnej z wyróżnioną wartością regionu.

  4. W okienku Dyski w obszarze Zarządzanie kluczami wybierz zestaw szyfrowania dysków, magazyn kluczy i klucz z listy rozwijanej.

  5. Ustaw pozostałe opcje tak, jak chcesz.

    Zrzut ekranu przedstawiający środowisko tworzenia maszyny wirtualnej, okienko dysków i wybrany klucz zarządzany przez klienta.

Włączanie na istniejącym dysku

Uwaga

Włączenie szyfrowania dysków na wszystkich dyskach dołączonych do maszyny wirtualnej wymaga zatrzymania maszyny wirtualnej.

  1. Przejdź do maszyny wirtualnej, która znajduje się w tym samym regionie co jeden z zestawów szyfrowania dysków.

  2. Otwórz maszynę wirtualną i wybierz pozycję Zatrzymaj.

Zrzut ekranu przedstawiający główną nakładkę dla przykładowej maszyny wirtualnej z wyróżnionym przyciskiem Zatrzymaj.

  1. Po zakończeniu zatrzymywania maszyny wirtualnej wybierz pozycję Dyski, a następnie wybierz dysk, który chcesz zaszyfrować.

Zrzut ekranu przedstawiający przykładową maszynę wirtualną z otwartym okienkiem Dyski dysk systemu operacyjnego został wyróżniony jako przykładowy dysk do wybrania.

  1. Wybierz pozycję Szyfrowanie , a następnie w obszarze Zarządzanie kluczami wybierz magazyn kluczy i klucz z listy rozwijanej w obszarze Klucz zarządzany przez klienta.

  2. Wybierz pozycję Zapisz.

Zrzut ekranu przedstawiający przykładowy dysk systemu operacyjnego, okienko szyfrowania jest otwarte, wybrano szyfrowanie magazynowane przy użyciu klucza zarządzanego przez klienta, a także przykładową usługę Azure Key Vault.

  1. Powtórz ten proces dla wszystkich innych dysków dołączonych do maszyny wirtualnej, którą chcesz zaszyfrować.

  2. Po zakończeniu przełączania dysków do kluczy zarządzanych przez klienta, jeśli nie ma innych dołączonych dysków, które chcesz zaszyfrować, uruchom maszynę wirtualną.

Ważne

Klucze zarządzane przez klienta opierają się na tożsamościach zarządzanych dla zasobów platformy Azure— funkcji identyfikatora Entra firmy Microsoft. Podczas konfigurowania kluczy zarządzanych przez klienta tożsamość zarządzana jest automatycznie przypisywana do zasobów w ramach tych elementów. Jeśli następnie przeniesiesz subskrypcję, grupę zasobów lub dysk zarządzany z jednego katalogu firmy Microsoft Entra do innego, tożsamość zarządzana skojarzona z dyskami zarządzanymi nie zostanie przeniesiona do nowej dzierżawy, więc klucze zarządzane przez klienta mogą już nie działać. Aby uzyskać więcej informacji, zobacz Przenoszenie subskrypcji między katalogami firmy Microsoft Entra.

Włączanie automatycznego obracania kluczy w istniejącym zestawie szyfrowania dysków

  1. Przejdź do zestawu szyfrowania dysków, dla którego chcesz włączyć automatyczną rotację kluczy.

  2. W obszarze Ustawienia wybierz pozycję Klucz.

  3. Wybierz pozycję Automatyczna rotacja kluczy i wybierz pozycję Zapisz.