管理 Azure 彈性 SAN 的客戶自控金鑰
所有寫入 彈性 SAN 磁碟區的資料都會使用資料加密金鑰 (DEK) 自動靜態加密。 Azure DEK 一律為平台代控 (由 Microsoft 管理)。 Azure 使用信封加密 (也稱為包裝,其涉及使用金鑰加密金鑰 (KEK)) 來加密 DEK。 依預設,KEK 由平台代控,但您可自行建立並管理自己的 KEK。 客戶自控金鑰可讓您更有彈性管理存取控制,並協助您符合組織安全性和合規性需求。
您可控制金鑰加密金鑰的所有層面,包含:
- 使用的金鑰
- 儲存金鑰的位置
- 輪替金鑰的方式
- 在客戶自控和平台代控金鑰之間切換的功能
本文說明如何管理客戶自控 KEK。
注意
信封加密可讓您變更金鑰設定,而不會影響彈性 SAN 磁碟區。 變更時,彈性 SAN 服務會使用新金鑰重新加密資料加密金鑰。 資料加密金鑰的保護會變更,但彈性 SAN 磁碟區中的資料會一直保持加密。 您不需要在電腦上執行其他動作,就可以確保您的資料受到保護。 變更金鑰設定不會影響效能,且不會發生這類變更相關聯的停機。
限制
下列清單包含目前提供彈性 SAN 的區域及哪些區域同時支援區域備援儲存體 (ZRS) 和本地備援儲存體 (LRS) 或僅支援 LRS:
- 澳大利亞東部 - LRS
- 巴西南部 - LRS
- 加拿大中部 - LRS
- 美國中部 - LRS
- 東亞 - LRS
- 美國東部 - LRS
- 美國東部 2 - LRS
- 法國中部 - LRS 和 ZRS
- 德國中西部 - LRS
- 印度中部 - LRS
- 日本東部 - LRS
- 南韓中部 - LRS
- 北歐 - LRS 和 ZRS
- 挪威東部 - LRS
- 南非北部 - LRS
- 美國中南部 - LRS
- 東南亞 - LRS
- 瑞典中部 - LRS
- 瑞士北部 - LRS
- 阿拉伯聯合大公國北部 - LRS
- 英國南部 - LRS
- 西歐 - LRS 和 ZRS
- 美國西部 2 - LRS 和 ZRS
- 美國西部 3 - LRS
Azure 彈性 SAN 也適用於下列區域,但不支援可用性區域:
- 加拿大東部 - LRS
- 日本西部 - LRS
- 美國中北部 - LRS
若要啟用這些區域,請執行下列命令來註冊必要的功能旗標:
Register-AzProviderFeature -FeatureName "EnableElasticSANRegionalDeployment" -ProviderNamespace "Microsoft.ElasticSan"
變更金鑰
您可隨時變更 Azure 彈性 SAN 加密所使用的金鑰。
若要透過 PowerShell 變更金鑰,請呼叫 Update-AzElasticSanVolumeGroup並提供新金鑰名稱和版本。 如果新的金鑰位於不同的金鑰保存庫,則您也須更新金鑰保存庫 URI。
如果新金鑰位於不同的金鑰保存庫中,您必須授與新保存庫中金鑰的受控識別存取權。 如果您選擇手動更新金鑰版本,您也必須更新金鑰保存庫 URI。
更新金鑰版本
遵循密碼編譯最佳做法表示定期 (通常至少每兩年一次) 輪替保護彈性 SAN 磁碟區群組的金鑰。 Azure 彈性 SAN 一律不會修改金鑰保存庫中的金鑰,但您可以設定金鑰輪替原則,根據您的合規性需求輪替金鑰。 如需詳細資訊,請參閱在 Azure Key Vault 中設定密碼編譯金鑰自動輪替。
在金鑰保存庫中輪替金鑰後,必須更新彈性 SAN 磁碟區群組的客戶自控 KEK 設定,才能使用新金鑰版本。 客戶自控金鑰支援自動和手動更新 KEK 版本。 您可以決定在初始設定客戶自控金鑰時或更新設定時要使用的方法。
當您修改金鑰或金鑰版本時,根加密金鑰的保護會變更,但 Azure 彈性 SAN 磁碟區群組中的資料會一直保持加密。 您不需要採取額外動作以確保您的資料受到保護。 輪替金鑰版本不會影響效能,且不會發生與輪替金鑰版本相關聯的停機。
重要
若要輪替金鑰,請根據您的合規性需求,在金鑰保存庫中建立新版本的金鑰。 Azure 彈性 SAN 不會處理金鑰輪替,因此您必須對金鑰保存庫中的金鑰進行輪替管理。
當您輪替客戶自控金鑰使用的金鑰時,該動作目前不會記錄至 Azure 彈性 SAN 的 Azure 監視器記錄中。
自動更新金鑰版本
若要在有可用的新版本時自動更新客戶自控金鑰,請在您使用客戶自控金鑰啟彈性 SAN 磁碟區群組的加密時,省略金鑰版本。 如果省略金鑰版本,Azure 彈性 SAN 會每天檢查金鑰保存庫的新版本客戶自控金鑰。 如果有可用的金鑰新版本,Azure 彈性 SAN 會自動使用最新版本的金鑰。
Azure 彈性 SAN 每天只會檢查金鑰保存庫是否有新的金鑰版本一次。 當您輪替金鑰時,請務必等候 24 小時,再停用舊版金鑰。
如果之前已將彈性 SAN 磁碟區群組設定為手動更新金鑰版本並想要將其變更為自動更新,則可能需要將金鑰版本明確變更為空白字串。 如需如何執行此操作的詳細資料,請參閱手動金鑰版本輪替。
手動更新金鑰版本
若要使用特定版本的金鑰進行 Azure 彈性 SAN 加密,請在使用客戶自控金鑰啟用彈性 SAN 磁碟區群組的加密時指定該金鑰版本。 如果您指定金鑰版本,則 Azure 彈性 SAN 會使用該版本進行加密,直到您手動更新金鑰版本為止。
明確指定金鑰版本時,您必須在建立新版本時,手動更新彈性 SAN 磁碟區群組以使用新的金鑰版本 URI。 若要瞭解如何更新彈性 SAN 磁碟區群組以使用新版本的金鑰,請參閱使用儲存在 Azure Key Vault 中的客戶自控金鑰來設定加密。
撤銷使用客戶自控金鑰的磁碟區群組存取權
若要暫時撤銷使用客戶自控金鑰的彈性 SAN 磁碟區群組存取權,請停用金鑰保存庫中目前所使用的金鑰。 沒有與停用和重新啟用金鑰相關聯的效能影響或停機時間。
停用金鑰之後,用戶端即無法作業以讀取或寫入磁碟區群組中的磁碟區或其中繼資料。
警告
當您停用金鑰保存庫中的金鑰時,Azure 彈性 SAN 磁碟區群組中的資料會保持加密狀態,但在您重新啟用金鑰之前,該金鑰會變成無法存取。
若要使用 PowerShell 撤銷客戶自控金鑰,請呼叫 Update-AzKeyVaultKey 命令,如下列範例所示。 請記得將括弧中的預留位置值取代為您自己的值以定義變數,或使用先前範例中定義的變數。
$KvName = "<key-vault-name>"
$KeyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it
# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $KeyName -VaultName $KvName
# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $KvName -Name $KeyName -Enable $enabled
切換回平台代控金鑰
您可隨時使用 Azure PowerShell 模組或 Azure CLI,從客戶自控金鑰切換為平台代控金鑰。
若要使用 PowerShell 從客戶自控金鑰切換回平台代控金鑰,請使用 -Encryption
選項呼叫 Update-AzElasticSanVolumeGroup,如下列範例所示。 請記得將預留位置值取代為您自己的值,並使用先前的範例中定義的變數。
Update-AzElasticSanVolumeGroup -ResourceGroupName "ResourceGroupName" -ElasticSanName "ElasticSanName" -Name "ElasticSanVolumeGroupName" -Encryption EncryptionAtRestWithPlatformKey