使用客戶自控金鑰來加密備份保存庫中的備份資料
您可以使用 Azure 備份來透過客戶自控金鑰 (CMK) 加密備份資料,而不是使用預設啟用的平台代控金鑰 (PMK)。 用以加密備份資料的金鑰必須儲存在 Azure Key Vault 中。
用於加密備份的加密金鑰可能與用於來源的加密金鑰不同。 AES 256 型資料加密金鑰 (DEK) 可協助保護資料。 因此,金鑰加密金鑰 (KEK) 也有助於保護 DEK。 您能夠完整控制資料和金鑰。
若要允許加密,您必須將您想要用於 CMK 的備份保存庫受控識別授與存取金鑰保存庫中加密金鑰的許可權。 您可以視需要變更金鑰。
注意
加密設定 和 CMK 會交替使用。
支援的區域
備份保存庫的 CMK 目前適用於所有 Azure 公用區域。
金鑰保存庫和受控 HSM 金鑰需求
在備份保存庫上啟用加密之前,請先檢閱下列需求:
加密設定會使用 Azure Key Vault 或受控硬體安全性模組 (HSM) 金鑰,以及備份保存庫受控識別的詳細資料。
備份保存庫的受控識別必須具備下列項目:
- 如果金鑰保存庫使用以身分識別和存取權管理 (IAM) 為基礎的角色型存取控制 (RBAC) 設定,則會指派密碼編譯服務加密使用者角色。
- 如果您的金鑰保存庫使用以存取原則為基礎的設定,則需要取得、包裝和取消包裝權限。
- 如果您使用受控 HSM,則需要透過透過金鑰上的本機 RBAC 授與取得、包裝和取消包裝權限。 深入了解。
請確定您具備有效的已啟用 Key Vault 金鑰。 因為過期或停用的金鑰無法用於待用加密,並會導致備份和還原作業失敗,所以請勿這類金鑰。 如果您先前未記下受控 HSM,Key Vault 字詞也會指出一項受控 HSM。
Key Vault 必須先行啟用虛刪除與清除保護。
加密設定僅支援大小為 2,048、3,072 和 4,096 的 Azure Key Vault RSA 和 RSA-HSM 金鑰。 深入了解金鑰。 在考慮使用 Key Vault 區域進行加密設定之前,請參閱區域容錯移轉支援的 Key Vault 災害復原案例,。
考量
在備份保存庫上啟用加密之前,請先檢閱下列考慮:
在針對備份保存庫使用 CMK 啟用加密之後,您就無法回頭使用 PMK (預設值)。 您可以變更加密金鑰或受控識別來滿足需求。
CMK 會套用至 Azure 備份 記憶體保存庫和保存庫封存層。 CMK 不適用於作業層。
目前不支援在資源群組和訂用帳戶之間移動 CMK 加密的備份保存庫。
在備份保存庫上啟用加密設定之後,請勿停用或中斷連結受控識別,或移除用於加密設定的 Key Vault 權限。 這些動作會導致備份、還原、分層處理和還原點到期作業失敗。 這會在備份保存庫中產生儲存資料的成本,直到:
- 還原 Key Vault 權限。
- 重新啟用系統指派的身分識別、對其授與金鑰保存庫權限,以及更新加密設定 (如果使用系統指派的身分識別進行加密設定)。
- 可以重新連結受控識別,確保其具有存取金鑰保存庫的權限,以及用於使用新使用者指派身分識別的金鑰。
加密設定會使用 Azure Key Vault 金鑰和備份保存庫的受控識別詳細資料。
如果您使用的金鑰或 金鑰保存庫 遭到刪除或存取權遭到撤銷且無法還原,您將失去備份保存庫中所儲存資料的存取權。 此外,請確保您具有適當的權限,以提供和更新受控識別、備份保存庫和金鑰保存庫的詳細資料。
使用使用者指派受控識別進行 CMK 加密的保存庫不支援使用私人端點進行 Azure 備份。
CMK 加密的使用者指派受控識別目前不支援限制存取特定網路的密鑰保存庫。
在保存庫建立時,使用客戶自控金鑰來啟用加密
當您建立備份保存庫時,可以使用客戶自控金鑰在備份上啟用加密。 了解如何建立備份保存庫。
選擇用戶端:
若要啟用加密,請遵循下列步驟:
在 Azure 入口網站 中,移至備份保存庫。
在 [保存庫屬性] 所引標籤上,選取 [新增身分識別]。
在 [選取使用者指派的受控識別] 刀鋒視窗上,從您想要用於加密的清單中選取 [受控識別],然後選取 [新增]。
針對 [加密類型],請選取 [使用客戶自控金鑰]。
若要指定要用於加密的金鑰,請選取適當的選項。
若要啟用備份保存庫所用加密金鑰版本的自動調整,請選擇 [從 金鑰保存庫 選取]。 或選取 [ 輸入金鑰 URI],從金鑰 URI 移除版本元件。 深入了解自動輪替。
提供加密金鑰的 URI。 您也可以瀏覽並選取一個金鑰。
新增使用者指派的受控識別,以使用 CMK 來管理加密。
在保存庫建立期間,僅可以針對 CMK 使用使用者指派的受控識別。
若要搭配系統指派的受控識別使用 CMK,請在建立保存庫之後更新保存庫屬性。
若要在備份儲存體基礎架構上啟用加密,請選取 [基礎結構加密]。
在建立和使用客戶自控密鑰 (CMK) 期間,您只能在新的儲存庫上啟用基礎結構加密。
新增標籤 (選用),並繼續建立保存庫。
使用客戶自控金鑰更新備份保存庫屬性,以進行加密
您可以在下列案例中修改備份保存庫的 [加密設定]:
- 針對已經存在的保存庫啟用客戶自控金鑰。 針對備份保存庫,您可以在保護保存庫的項目之前或之後啟用 CMK。
- 更新 [加密設定] 中的詳細資料,例如受控識別或加密金鑰。
讓我們針對現有保存庫啟用客戶自控金鑰。
若要設定保存庫,請依序執行下列動作:
啟用備份保存庫的受控識別。
請將權限指派給備份保存庫,以存取 Azure Key Vault 中的加密金鑰。
在 Azure Key Vault 上啟用虛刪除和清除保護。
將加密金鑰指派給備份保存庫。
下列幾節將詳細討論這些動作。
啟用備份保存庫的受控識別
Azure 備份會使用備份保存庫的系統指派受控識別和使用者指派受控識別,以存取儲存在 Azure Key Vault 中的加密金鑰。 您可以選擇要使用的受控識別。
注意
啟用受控識別後,您不得將其停用 (即使只是暫時性)。 停用受控識別可能會導致不一致的行為。
基於安全性考慮,您無法在單一要求中更新 Key Vault 金鑰 URI 和受控識別。 請一次更新一個屬性。
為保存庫啟用系統指派的受控識別
選擇用戶端:
若要為備份保存庫啟用系統指派的受控識別,請遵循下列步驟:
前往您的備份保存庫>身分識別。
選取 [系統指派] 索引標籤。
將 [狀態] 變更為 [開啟]。
選取 [儲存],以啟用保存庫的身分識別。
前述步驟會產生物件識別碼,也就是保存庫的系統指派受控識別。
將使用者指派的受控識別指派給保存庫
若要為備份保存庫新增使用者指派的受控識別,請遵循下列步驟:
前往您的備份保存庫>身分識別。
選取 [使用者指派 (預覽)] 索引標籤。
選取 [+新增],以新增使用者指派的受控識別。
在 [新增使用者指派的受控識別] 窗格中,為身分識別選取訂用帳戶。
從清單中選取身分識別。 您也可以依身分識別或資源群組的名稱進行篩選。
選取 [新增] 以完成身分識別指派。
注意
目前尚未支援以限制存取特定網路的金鑰保存庫搭配使用者指派受控識別進行 CMK 加密。
將許可權指派給備份保存庫的受控識別(系統或使用者指派),以存取 Azure 中的加密密鑰 金鑰保存庫
選擇用戶端:
您必須允許備份保存庫的受控識別,才能存取內含加密金鑰的金鑰保存庫。
案例: Key Vault 已啟用存取控制 (IAM) 設定
執行下列步驟:
- 前往您的金鑰保存庫>[存取控制],然後選取 [新增角色指派]。
- 從 [工作職能] 角色中選取 [Key Vault 密碼編譯服務加密使用者] 角色。
- 選取 [下一步]>[存取權指派對象]>[受控識別]>[選取成員]。
- 選取備份保存庫的受控識別。
- 選取 [下一步] 並進行指派。
案例: 金鑰保存庫已啟用存取原則設定
執行下列步驟:
前往您的金鑰保存庫>[存取原則],然後選取 [+建立]。
指定要在金鑰上允許的動作。 在 [金鑰權限] 下,選取 [取得]、[列出]、[取消包裝金鑰] 和 [包裝金鑰] 作業。 然後選取下一步。
在 [主體] 索引標籤上,使用保存庫名稱或受控識別,在搜尋方塊中搜尋保存庫。 當儲存庫出現時,請加以選取,然後選取 [下一步]。
選取 [新增] 以新增存取原則。
選取 [儲存],即可儲存對金鑰保存庫存取原則所做的變更。
如果您使用使用者指派的身分識別,就必須為其指派相同的權限。
您也可以將 RBAC 角色指派給包含上述權限的備份保存庫,例如「Key Vault 密碼編譯長」 角色。 此角色可能包含其他權限。
在 Azure Key Vault 上啟用虛刪除和清除保護
您必須在儲存加密金鑰的金鑰保存庫上啟用虛刪除和清除保護。
選擇用戶端:
如下列螢幕擷取畫面所示,您可以從 Azure Key Vault 介面啟用啟用這些屬性。 或在建立 Key Vault 時設定這些屬性。 深入了解這些 Key Vault 屬性。
將加密金鑰指派給備份保存庫
在您選取儲存庫的加密金鑰之前,請確定您已成功:
- 啟用備份保存庫的受控識別,並將所需的權限指派至其中。
- 啟用金鑰保存庫的虛刪除和清除保護。
注意
如果 [加密設定] 中目前 Key Vault 詳細資料的更新包含新的金鑰保存庫,則用於 [加密設定] 的受控識別必須保留原始 Key Vault 的存取權並包含 Get 和 Unwrap 權限,且金鑰應處於「已啟用」狀態。 需要此存取權,才能執行從上一個密鑰到新金鑰的密鑰輪替。
若要取得金鑰,請遵循下列步驟:
移至 [備份保存庫]>[屬性]。
針對 [加密設定],選取 [更新]。
在 [ 加密設定] 刀鋒視窗中,選取 [使用您自己的金鑰 ],然後使用下列其中一個選項來指定密鑰。 請務必使用處於已啟用和作用中狀態的 RSA 金鑰。
選取 [輸入金鑰 URI]。 在 [金鑰 URI] 方塊中,輸入要用於加密此備份保存庫資料的金鑰 URI。 您也可以從金鑰保存庫中的相應金鑰取得此金鑰 URI。
請確保正確地複製金鑰 URI。 建議您使用金鑰識別碼所提供的 [複製到剪貼簿] 按鈕。
在嘗試更新加密設定,但更新作業因為發生內部錯誤而失敗時,加密設定會更新為 [不一致] 且需要您特別留意。 在這種情況下,請檢查您的加密設定詳細數據,確定它們正確無誤。 例如,更新加密設定作業會以連結至保存庫的現有受控識別再次執行。 如果加密設定詳細數據相同,則更新作業不會受到影響。
此外,如果您停用或中斷連結加密設定中使用的受控識別,除非您重新啟用系統指派身分識別(如果使用),否則加密設定會變更為「不一致」狀態,請授與必要的 金鑰保存庫許可權,然後再次執行加密設定更新作業。 針對 [使用者指派的身分識別],當您重新附加身分識別時,如果 金鑰保存庫 許可權存在,則會自動還原 [加密設定] 狀態。
在使用完整金鑰 URI 搭配版本元件來指定加密金鑰時,將不會自動輪替該金鑰。 您必須在必要時指定新金鑰或版本,以手動更新金鑰。 或者,移除金鑰 URI 的版本元件,以取得自動金鑰版本輪替。
選擇 [從 Key Vault 選取]。 在 [金鑰選擇器] 窗格中,瀏覽並選取金鑰保存庫中的金鑰。
當您使用 [ 金鑰選擇器 ] 窗格指定加密金鑰時,每當啟用金鑰的新版本時,金鑰版本就會自動調整。 深入了解如何啟用加密金鑰自動輪替。
選取更新。
請在 [通知] 底下追蹤加密密鑰指派的進度和狀態。
更新加密設定
您可以隨時更新加密設定。 每當您想要使用新的金鑰 URI 時,請確定現有的金鑰保存庫仍可存取受控識別,且金鑰有效。 否則更新作業將會失敗。
要用於加密的受控識別需要適當的權限。
備份至透過客戶自控金鑰加密的保存庫
設定備份保護之前,請先確認您已成功:
- 建立備份保存庫。
- 啟用備份保存庫的系統指派受控識別,或將使用者指派的受控識別指派給保存庫。
- 將權限指派給備份保存庫 (或使用者指派的受控識別),以從金鑰保存庫存取加密金鑰。
- 為金鑰保存庫啟用虛刪除和清除保護。
- 為備份保存庫指派有效的加密金鑰。
設定和執行透過 CMK 加密之備份保存庫的備份流程,與設定和執行使用 PMK 之保存庫的備份流程相同。 在體驗上沒有任何不同。
私人端點支援
您可以使用保存庫的系統指派受控識別,搭配私人端點使用 Azure 金鑰保存庫 (PE)。
如果已停用 Azure 金鑰保存庫 的公用網路存取,則存取限制會防止您在啟用私人端點的網路機器外部使用 Azure 入口網站,在 [加密設定] 刀鋒視窗上選取 [金鑰保存庫 和密鑰]。 不過,您可以使用 金鑰保存庫 金鑰 URI,在加密設定中提供 金鑰保存庫 金鑰詳細數據。
疑難排解加密設定的作業錯誤
本節列出備份保存庫加密時可能會遇到的各種移難排解案例。
備份、還原、背景作業失敗
原因:
原因 1:如果備份保存庫加密設定發生問題 (例如您已從 [加密設定] 的受控識別移除 Key Vault 權限、已停用系統指派的身分識別,或已從用於加密設定的備份保存庫中斷連結/刪除受控識別),則備份和還原作業會失敗。
原因 2:還原點和還原點到期作業的階層處理將失敗,並不會在 Azure 入口網站或其他介面 (例如 REST API 或 CLI) 中顯示錯誤。 這些作業將繼續失敗,並會產生成本。
建議的動作:
建議 1:還原權限、更新可存取金鑰保存庫的受控識別詳細資料。
建議 2:將必要加密設定還原至備份保存庫。
缺少受控識別的權限
錯誤碼: UserErrorCMKMissingMangedIdentityPermissionOnKeyVault
原因: 此錯誤的發生條件如下:
- 您用於加密設定的受控識別,沒有存取金鑰保存庫的權限。 此外,如果在更新加密設定、停用受控識別或從備份保存庫中斷連結之後移除存取權,備份或還原作業可能會因為此錯誤碼而失敗。
- 您使用非 RSA 金鑰 URI。
建議動作: 請確定您用於加密設定的受控識別具有必要的權限,且金鑰為 RSA 類型。 然後再重試作業。
保存庫驗證失敗
錯誤碼: UserErrorCMKKeyVaultAuthFailure
原因: 加密設定中的受控識別,沒有存取金鑰保存庫或金鑰的必要權限。 備份保存庫的受控識別 (用於加密設定的系統指派或使用者指派身分識別) 應該具有金鑰保存庫的下列權限:
如果金鑰保存庫使用以 IAM 為基礎的 RBAC 設定,您就需要 Key Vault 密碼編譯服務加密使用者內建角色權限。
如果使用存取原則,您就需要 [取得]、[包裝] 和 [取消包裝] 權限。
Key Vault 和金鑰不存在,並無法透過網路設定連線至 Azure 備份服務。
建議動作: 檢查 Key Vault 存取原則並據此授與權限。
保存庫刪除失敗
錯誤碼: CloudServiceRetryableError
原因:如果您的備份保存庫加密設定發生問題(例如您已從加密設定的受控識別中移除 金鑰保存庫/MHSM 許可權、停用系統指派的身分識別、從用於加密設定的備份保存庫卸離/刪除受控識別,或刪除密鑰保存庫/MHSM 金鑰),則保存庫刪除可能會失敗。
建議的動作:若要解決此問題:
- 請確定用於加密設定的受控識別仍具有存取金鑰保存庫/MHSM 的許可權。 在繼續刪除保存庫之前先還原它們。
- 重新附加/啟用受控識別,並指派必要的 金鑰保存庫/MHSM 許可權。
- 如果金鑰保存庫金鑰已刪除,則保存庫刪除可能會失敗。 不過,若要從 虛刪除 狀態復原已刪除的金鑰,請確定您具有密鑰保存庫/MHSM 上受控識別的必要許可權,然後重試 刪除備份保存庫 作業。
驗證錯誤碼
在備份保存庫上套用 CMK 時,Azure 備份會驗證所選的 Azure Key Vault。 如果 Key Vault 沒有必要組態設定 (已啟用虛刪除和已啟用清除保護),則會顯示下列錯誤碼:
UserErrorCMKPurgeProtectionNotEnabledOnKeyVault
錯誤碼: UserErrorCMKPurgeProtectionNotEnabledOnKeyVault
原因:Key Vault 未啟用虛刪除。
建議動作:在 Key Vault 上啟用虛刪除,並重試作業。
UserErrorCMKSoftDeleteNotEnabledOnKeyVault
錯誤碼: UserErrorCMKSoftDeleteNotEnabledOnKeyVault
原因:Key Vault 未啟用清除保護。
建議動作:在 Key Vault 上啟用清除保護,並重試作業。