Verwenden des Azure-Portals zum Aktivieren der serverseitigen Verschlüsselung mit kundenseitig verwalteten Schlüsseln für verwaltete Datenträger

Gilt für: ✔️ Linux-VMs ✔️ Windows-VMs ✔️

Mit Azure Disk Storage können Sie Ihre eigenen Schlüssel verwalten, wenn Sie die serverseitige Verschlüsselung (Server Side Encryption, SSE) für verwaltete Datenträger verwenden. Informationen zum Konzept der SSE mit kundenseitig verwalteten Schlüsseln sowie weitere Verschlüsselungstypen für verwaltete Datenträger finden Sie im Abschnitt Vom Kunden verwaltete Schlüssel in folgendem Artikel zur Datenträgerverschlüsselung: Kundenseitig verwalteter Schlüssel

Beschränkungen

Vorerst gelten für vom Kunden verwaltete Schlüssel die folgenden Einschränkungen:

  • Es werden ausschließlich Software- und HSM RSA-Schlüssel der Größen 2.048 Bit, 3.072 Bit und 4.096 Bit unterstützt.
    • Für HSM-Schlüssel ist der Premium-Tarif von Azure Key Vault erforderlich.
  • Datenträger, die aus benutzerdefinierten Images erstellt werden, die mit serverseitiger Verschlüsselung und vom Kunden verwalteten Schlüsseln verschlüsselt wurden, müssen mit denselben vom Kunden verwalteten Schlüsseln verschlüsselt werden und sich im selben Abonnement befinden.
  • Momentaufnahmen, die von Datenträgern erstellt werden, die mit serverseitiger Verschlüsselung und vom Kunden verwalteten Schlüsseln verschlüsselt wurden, müssen mit denselben vom Kunden verwalteten Schlüsseln verschlüsselt werden.
  • Die meisten Ressourcen, die sich auf Ihre vom Kunden verwalteten Schlüssel (Datenträgerverschlüsselungssätze, VMs, Datenträger und Momentaufnahmen) beziehen, müssen sich im selben Abonnement und in derselben Region befinden.
    • Azure Key Vault-Instanzen können aus einem anderen Abonnement verwendet werden, müssen sich aber in derselben Region und demselben Mandanten wie Ihr Datenträgerverschlüsselungssatz befinden.
  • Mit vom Kunden verwalteten Schlüsseln verschlüsselte Datenträger, Momentaufnahmen und Images können nicht in andere Ressourcengruppen und Abonnements verschoben werden.
  • Verwaltete Datenträger, die bisher oder aktuell mit Azure Disk Encryption verschlüsselt wurden, können nicht mit kundenseitig verwalteten Schlüsseln verschlüsselt werden.
  • Pro Region und Abonnement können nur bis zu 1.000 Datenträgerverschlüsselungssätze erstellt werden.
  • Informationen über die Verwendung von kundenseitig verwalteter Schlüssel mit Shared Image Gallerys finden Sie unter Vorschau: Verwenden von kundenseitig verwalteten Schlüsseln zum Verschlüsseln von Images.

In den folgenden Abschnitten wird erläutert, wie Sie von Kunden verwaltete Schlüssel für verwaltete Datenträger aktivieren und verwenden:

Das erstmalige Einrichten von kundenseitig verwalteten Schlüssel für Ihre Datenträger erfordert die Erstellung von Ressourcen in einer bestimmten Reihenfolge. Zuerst müssen Sie eine Azure Key Vault-Instanz erstellen und einrichten.

Einrichten des Azure-Schlüsseltresors

  1. Melden Sie sich beim Azure-Portal an.

  2. Suchen Sie nach Schlüsseltresore, und wählen Sie diese Option aus.

    Screenshot of the Azure portal with the search dialog box expanded.

    Wichtig

    Für eine erfolgreiche Bereitstellung müssen sich Ihr Datenträgerverschlüsselungssatz, die VM, die Datenträger und die Momentaufnahmen alle in derselben Region und im selben Abonnement befinden. Azure Key Vault-Instanzen können aus einem anderen Abonnement verwendet werden, müssen sich aber in derselben Region und demselben Mandanten wie Ihr Datenträgerverschlüsselungssatz befinden.

  3. Wählen Sie +Erstellen aus, um einen neuen Schlüsseltresor zu erstellen.

  4. Erstellen Sie eine neue Ressourcengruppe.

  5. Geben Sie einen Namen für den Schlüsseltresor ein, wählen Sie eine Region aus, und wählen Sie dann einen Tarif aus.

    Hinweis

    Beim Erstellen der Key Vault-Instanz müssen Sie vorläufiges Löschen und den Schutz vor endgültigem Löschen aktivieren. Durch vorläufiges Löschen wird sichergestellt, dass der Schlüsseltresor einen gelöschten Schlüssel für einen bestimmten Aufbewahrungszeitraum (standardmäßig 90 Tage) speichert. Der Schutz vor endgültigem Löschen stellt sicher, dass ein gelöschter Schlüssel erst nach Ablauf der Aufbewahrungsdauer dauerhaft gelöscht werden kann. Diese Einstellungen schützen Sie vor dem Verlust von Daten durch versehentliches Löschen. Diese Einstellungen sind obligatorisch, wenn ein Schlüsseltresor für die Verschlüsselung verwalteter Datenträger verwendet wird.

  6. Wählen Sie Bewerten + erstellen aus, überprüfen Sie Ihre Auswahl, und wählen Sie dann Erstellen aus.

    Screenshot of the Azure Key Vault creation experience. Showing the particular values you create

  7. Nach Abschluss der Bereitstellung Ihres Schlüsseltresors wählen Sie diesen aus.

  8. Wählen Sie unter Einstellungen die Option Schlüssel aus.

  9. Wählen Sie die Option Generieren/Importieren aus.

    Screenshot of the Key Vault resource settings pane. Shows the generate/import button inside settings.

  10. Lassen Sie Schlüsseltyp auf RSA und RSA-Schlüsselgröße auf 2048 festgelegt.

  11. Treffen Sie Ihre Auswahl für die verbleibenden Optionen nach Wunsch, und wählen Sie dann Erstellen aus.

    Screenshot of the create a key pane that appears once generate/import button is selected

Hinzufügen einer Azure RBAC-Rolle

Nachdem Sie den Azure-Schlüsseltresor und einen Schlüssel erstellt haben, müssen Sie eine Azure RBAC-Rolle hinzufügen, damit Sie Ihren Azure-Schlüsseltresor mit Ihrem Datenträgerverschlüsselungssatz verwenden können.

  1. Wählen Sie Zugriffssteuerung (IAM) aus, und fügen Sie eine Rolle hinzu.
  2. Fügen Sie die Rolle Key Vault-Administrator,Besitzeroder Mitwirkender hinzu.

Einrichten des Datenträgerverschlüsselungssatzes

  1. Suchen Sie nach Datenträgerverschlüsselungssätze, und wählen Sie sie aus.

  2. Wählen Sie im Bereich Datenträgerverschlüsselungssätze die Option +Erstellen aus.

  3. Wählen Sie Ihre Ressourcengruppe aus, geben Sie Ihrem Verschlüsselungssatz einen Namen, und wählen Sie dieselbe Region aus wie Ihr Schlüsseltresor.

  4. Wählen Sie als SSE-Verschlüsselungstyp die Option Verschlüsselung ruhender Daten mit einem kundenseitig verwalteten Schlüssel aus.

    Hinweis

    Nachdem Sie einen Datenträgerverschlüsselungssatz mit einem bestimmten Verschlüsselungstyp erstellt haben, kann er nicht mehr geändert werden. Wenn Sie einen anderen Verschlüsselungstyp verwenden möchten, müssen Sie einen neuen Datenträgerverschlüsselungssatz erstellen.

  5. Wählen Sie die Option Klicken Sie hier, um einen Schlüssel auszuwählen.

  6. Wählen Sie den Schlüsseltresor und den Schlüssel, die Sie zuvor erstellt haben, sowie die Version aus.

  7. Drücken Sie Auswählen.

  8. Wenn Sie die automatische Rotation von kundenseitig verwalteten Schlüsseln aktivieren möchten, wählen Sie Automatische Schlüsselrotation aus.

  9. Wählen Sie Überprüfen + erstellen und danach Erstellen aus.

    Screenshot of the disk encryption creation pane. Showing the subscription, resource group, disk encryption set name, region, and key vault + key selector.

  10. Navigieren Sie zu dem Datenträgerverschlüsselungssatz, nachdem er bereitgestellt wurde, und wählen Sie die angezeigte Benachrichtigung aus.

    Screenshot of user selecting the 'To associate a disk, image, or snapshot with this disk encryption set, you must grant permissions to the key vault' alert.

  11. Dadurch erhält Ihr Schlüsseltresor Berechtigungen für den Datenträgerverschlüsselungssatz.

    Screenshot of confirmation that permissions have been granted.

Bereitstellen einer VM

Nachdem Sie nun Ihren Schlüsseltresor und den Datenträgerverschlüsselungssatz erstellt und eingerichtet haben, können Sie eine VM mit der Verschlüsselung bereitstellen. Das Verfahren zur VM-Bereitstellung ähnelt dem Standardbereitstellungsverfahren. Die einzigen Unterschiede bestehen darin, dass Sie den virtuellen Computer in derselben Region wie Ihre anderen Ressourcen bereitstellen müssen und einen vom Kunden verwalteten Schlüssel verwenden.

  1. Suchen Sie nach Virtuelle Computer, und wählen Sie + Hinzufügen aus, um eine VM zu erstellen.

  2. Wählen Sie auf dem Blatt Standard dieselbe Region aus, in der sich Ihr Datenträgerverschlüsselungssatz und Ihre Azure Key Vault-Instanz befinden.

  3. Geben Sie die anderen Werte auf dem Blatt Standard nach Wunsch ein.

    Screenshot of the VM creation experience, with the region value highlighted.

  4. Wählen Sie auf dem Blatt Datenträger die Option Verschlüsselung ruhender Daten mit einem kundenseitig verwalteten Schlüssel aus.

  5. Wählen Sie den Datenträgerverschlüsselungssatz in der Dropdownliste Datenträgerverschlüsselungssatz aus.

  6. Treffen Sie die verbleibende Auswahl nach Wunsch.

    Screenshot of the VM creation experience, the disks blade. With the disk encryption set drop-down highlighted.

Aktivieren auf einem vorhandenen Datenträger

Achtung

Zum Aktivieren der Datenträgerverschlüsselung auf Datenträgern, die an eine VM angefügt sind, müssen Sie die VM beenden.

  1. Navigieren Sie zu einer VM, die sich in derselben Region befindet wie einer Ihrer Datenträgerverschlüsselungssätze.

  2. Öffnen Sie die VM, und wählen Sie Beenden aus.

    Screenshot of the main overlay for your example VM, with the Stop button highlighted.

  3. Nachdem die VM beendet wurde, wählen Sie Datenträger und dann den Datenträger aus, den Sie verschlüsseln möchten.

    Screenshot of your example VM, with the Disks blade open. The OS disk is highlighted, as an example disk for you to select.

  4. Wählen Sie Verschlüsselung, anschließend Verschlüsselung ruhender Daten mit einem kundenseitig verwalteten Schlüssel und dann in der Dropdownliste den Datenträgerverschlüsselungssatz aus.

  5. Wählen Sie Speichern aus.

    Screenshot of your example OS disk. The encryption blade is open, encryption at rest with a customer-managed key is selected, as well as your example Azure Key Vault. After making those selections, the save button is selected.

  6. Wiederholen Sie diesen Vorgang für alle anderen an die VM angefügten Datenträger, die Sie verschlüsseln möchten.

  7. Wenn die Umstellung der Datenträger auf kundenseitig verwaltete Schlüssel abgeschlossen ist und Sie keine weiteren angefügten Datenträger mehr verschlüsseln möchten, können Sie Ihren virtuellen Computer starten.

Wichtig

Von Kunden verwaltete Schlüssel basieren auf verwalteten Identitäten für Azure-Ressourcen, einem Feature von Azure Active Directory (Azure AD). Wenn Sie vom Kunden verwaltete Schlüssel konfigurieren, wird Ihren Ressourcen im Hintergrund automatisch eine verwaltete Identität zugewiesen. Wenn Sie anschließend das Abonnement, die Ressourcengruppe oder den verwalteten Datenträger von einem Azure AD-Verzeichnis in ein anderes Verzeichnis verschieben, wird die den verwalteten Datenträgern zugeordnete verwaltete Identität nicht an den neuen Mandanten übertragen, sodass kundenseitig verwaltete Schlüssel möglicherweise nicht mehr funktionieren. Weitere Informationen finden Sie unter Übertragen eines Abonnements zwischen Azure AD-Verzeichnissen.

Aktivieren der automatischen Schlüsselrotation für einen vorhandenen Datenträgerverschlüsselungssatz

  1. Navigieren Sie zum Datenträgerverschlüsselungssatz, auf dem Sie die automatische Schlüsselrotation aktivieren möchten.
  2. Wählen Sie unter Einstellungen die Option Schlüssel aus.
  3. Wählen Sie automatische Schlüsselrotation und dann Speichern.

Nächste Schritte