适用于:✔️ Linux VM ✔️ Windows VM ✔️
Azure 磁盘存储使你能在对托管磁盘使用服务器端加密 (SSE) 时管理自己的密钥(如果你选择)。 有关使用客户管理的密钥的 SSE 以及其他托管磁盘加密类型的概念信息,请参阅客户管理的密钥这一磁盘加密文章的“客户管理的密钥”部分
你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于:✔️ Linux VM ✔️ Windows VM ✔️
Azure 磁盘存储使你能在对托管磁盘使用服务器端加密 (SSE) 时管理自己的密钥(如果你选择)。 有关使用客户管理的密钥的 SSE 以及其他托管磁盘加密类型的概念信息,请参阅客户管理的密钥这一磁盘加密文章的“客户管理的密钥”部分
目前,客户托管密钥具有以下限制:
以下部分介绍如何为托管磁盘启用客户管理的密钥以及如何使用这种密钥:
如果你是第一次执行此操作,则为磁盘设置客户管理的密钥时会要求你按特定顺序创建资源。 首先,需要创建并设置 Azure Key Vault。
登录 Azure 门户。
搜索并选择“Key Vault”。
重要
磁盘加密集、VM、磁盘和快照必须都位于同一区域和订阅中才能成功部署。 Azure Key Vault 可以在不同的订阅中使用,但必须与磁盘加密集位于同一区域和租户中。
选择“+创建”以创建新的 Key Vault。
创建新的资源组。
输入 Key Vault 名称,选择区域,然后选择定价层。
注意
创建 Key Vault 实例时,必须启用软删除和清除保护。 软删除可确保 Key Vault 在给定的保留期(默认为 90 天)内保留已删除的密钥。 清除保护可确保在保留期结束之前,无法永久删除已删除的密钥。 这些设置可防止由于意外删除而丢失数据。 使用 Key Vault 加密托管磁盘时,这些设置是必需的。
选择“审阅 + 创建”,验证选择,然后选择“创建” 。
Key Vault 部署完成后,请选择它。
选择“对象”下的“密钥”。
选择“生成/导入”。
将“密钥类型”设置为“RSA”,将“RSA 密钥大小”设置为“2048” 。
根据需要填写其余选项,然后选择“创建”。
你已创建 Azure 密钥保管库和密钥,现在必须添加 Azure RBAC 角色,以便可以将 Azure 密钥保管库用于磁盘加密集。
搜索“磁盘加密集”并选择它。
在“磁盘加密集”窗格中,选择“+ 创建”。
选择资源组,命名加密集,然后选择与 Key Vault 相同的区域。
对于“加密类型”,请选择“使用客户管理的密钥进行静态加密”。
注意
一旦创建了具有特定加密类型的磁盘加密集,就无法对其进行更改。 如果要使用其他加密类型,则必须创建新的磁盘加密集。
确保选择了“选择 Azure 密钥保管库和密钥”。
选择先前创建的密钥保管库和密钥,以及版本。
如果要启用客户管理的密钥的自动轮换,请选择“自动密钥轮换”。
选择“审阅 + 创建”,然后选择“创建” 。
部署磁盘加密集后,导航到该加密集,然后选择显示的警报。
这会向磁盘加密集授予密钥保管库权限。
创建并设置好 Key Vault 和磁盘加密集之后,接下来即可使用加密来部署 VM。 VM 部署过程与标准部署过程类似,唯一的差别在于,你需要将 VM 部署到与其他资源相同的区域中,并选择使用客户托管密钥。
注意
在附加到 VM 的任何磁盘上启用磁盘加密都需要你停止 VM。
导航到与磁盘加密集位于同一区域中的 VM。
打开 VM 并选择“停止”。
选择“加密”,然后在“密钥管理”下的下拉列表中选择密钥保管库和密钥(在“客户管理的密钥”下)。
选择“保存”。
对于附加到你想要加密的 VM 的任何其他磁盘,请重复此过程。
当磁盘切换到客户管理的密钥后,如果没有其他需要进行加密的附加磁盘,请启动 VM。
重要
客户管理的密钥依赖于 Azure 资源的托管标识,后者是 Microsoft Entra ID 的一项功能。 配置客户托管密钥时,实际上会自动将托管标识分配给你的资源。 如果随后在两个 Microsoft Entra 目录之间移动订阅、资源组或托管磁盘,则与托管磁盘关联的托管标识不会转移到新租户,因此客户管理的密钥可能不再有效。 有关详细信息,请参阅在 Microsoft Entra 目录之间转移订阅。
导航到要在其上启用自动密钥轮换的磁盘加密集。
在“设置”下,选择“密钥” 。
选择“自动密钥轮换”,然后选择“保存” 。