Rotera kundhanterade nycklar för konfidentiella virtuella datorer

Konfidentiella virtuella datorer (konfidentiella virtuella datorer) i Azure stöder kundhanterade nycklar. Kundhanterade nycklar hjälper konfidentiella virtuella datorer och associerade artefakter att fungera korrekt. Du kan hantera dessa nycklar i Azure Key Vault eller via en hanterad maskinvarusäkerhetsmodul (hanterad HSM). Den här artikeln fokuserar på att hantera nycklarna via en hanterad HSM, om inget annat anges.

Om du vill använda en kundhanterad nyckel måste du ange en diskkrypteringsuppsättningsresurs när du skapar din konfidentiella virtuella dator. Diskkrypteringsuppsättningen måste referera till den kundhanterade nyckeln. Vanligtvis kan du associera en enda diskkrypteringsuppsättning med flera konfidentiella virtuella datorer. Vi rekommenderar att du regelbundet roterar en kundhanterad nyckel som bästa praxis för säkerhet. Rotationsfrekvensen är ett beslut om organisationsprinciper. Rotation krävs också om en kundhanterad nyckel komprometteras.

Ändra kundhanterad nyckel

Du kan när som helst ändra den nyckel som du använder för konfidentiella virtuella datorer. Så här roterar du en kundhanterad nyckel:

1. Logga in på Azure-portalen.
2. Gå till tjänsten Virtual Machines .
3. Stoppa alla konfidentiella virtuella datorer med samma diskkrypteringsuppsättning. Om en eller flera virtuella datorer inte är i stoppat tillstånd kan ingen av de virtuella datorerna ta emot den nya nyckeln.
4. Gå till tjänsten DiskKrypteringsuppsättningar .
5. Välj den diskkrypteringsuppsättningsresurs som är associerad med den konfidentiella virtuella datorn.
6. Välj Nyckel under Inställningar på resursmenyn.
7. Välj Ändra nyckel.
8. Välj rätt nyckelvalv, nyckel och version.
9. Spara dina ändringar. Spara-åtgärden uppdaterar nyckeln för alla konfidentiella VM-artefakter.

Återförsök av nyckelrotation

I sällsynta fall kanske den kundhanterade nyckeln inte roteras för alla konfidentiella virtuella datorer, även när alla virtuella datorer stoppades. Om den kundhanterade nyckeln inte roteras innehåller diskkrypteringsuppsättningsresursen fortfarande en referens till den gamla nyckeln. I det här tillståndet kan vissa konfidentiella virtuella datorer ha den nya nyckeln och vissa kan ha den gamla nyckeln.

Lös problemet genom att upprepa stegen för att uppdatera diskkrypteringsuppsättningen.

Begränsningar

• Automatisk nyckelrotation stöds för närvarande inte för konfidentiella virtuella datorer.
• Nyckelrotation stöds inte för tillfälliga diskar. Vi rekommenderar att du har en separat diskkrypteringsuppsättning för konfidentiella virtuella datorer med en tillfällig disk. Om konfidentiella virtuella datorer med tillfälliga och icke-tillfälliga diskar delar samma diskkrypteringsuppsättning måste du ta bort de konfidentiella virtuella datorerna med tillfälliga diskar innan du roterar nycklarna för de konfidentiella virtuella datorerna med icke-tillfälliga diskar.