A Azure Portal használatával engedélyezheti a kiszolgálóoldali titkosítást a felügyelt lemezek ügyfél által felügyelt kulcsaival

A következőkre vonatkozik: ✔️ Linux ✔️ rendszerű virtuális gépek Windows virtuális gépek ✔️

Az Azure Disk Storage lehetővé teszi a saját kulcsok kezelését, ha kiszolgálóoldali titkosítást (SSE) használ felügyelt lemezekhez, ha úgy dönt. Az ügyfél által felügyelt kulcsokkal rendelkező SSE-vel és más felügyelt lemeztitkosítási típusokkal kapcsolatos fogalmi információkért tekintse meg a lemeztitkosítási cikk ügyfél által felügyelt kulcsokkal foglalkozó szakaszát: Ügyfél által felügyelt kulcsok

Korlátozások

Egyelőre az ügyfél által felügyelt kulcsokra a következő korlátozások vonatkoznak:

  • Ha ez a funkció engedélyezve van a lemezen, nem tilthatja le. Ha ezt meg kell tennie, az összes adatot át kell másolnia egy teljesen más felügyelt lemezre, amely nem használ ügyfél által felügyelt kulcsokat:

  • Csak a 2048 bites, 3072 bites és 4096 bites szoftveres és HSM RSA-kulcsok támogatottak, más kulcsok és méretek nélkül.
  • A kiszolgálóoldali titkosítással és az ügyfél által felügyelt kulcsokkal titkosított egyéni rendszerképekből létrehozott lemezeket ugyanazokkal az ügyfél által felügyelt kulcsokkal kell titkosítani, és ugyanabban az előfizetésben kell lenniük.
  • A kiszolgálóoldali titkosítással és az ügyfél által felügyelt kulcsokkal titkosított lemezekről létrehozott pillanatképeket ugyanazokkal az ügyfél által felügyelt kulcsokkal kell titkosítani.
  • Az ügyfél által felügyelt kulcsokhoz (lemeztitkosítási készletekhez, virtuális gépekhez, lemezekhez és pillanatképekhez) kapcsolódó legtöbb erőforrásnak ugyanabban az előfizetésben és régióban kell lennie.
    • Az Azure Key Vaultok egy másik előfizetésből is használhatók, de ugyanabban a régióban és bérlőben kell lenniük, mint a lemeztitkosítási csoportnak.
  • Az ügyfél által felügyelt kulcsokkal titkosított lemezek, pillanatképek és képek nem helyezhetők át egy másik erőforráscsoportba és előfizetésbe.
  • A Azure Disk Encryption használatával jelenleg vagy korábban titkosított felügyelt lemezek nem titkosíthatók ügyfél által felügyelt kulcsokkal.
  • Előfizetésenként régiónként legfeljebb 1000 lemeztitkosítási készlet hozható létre.
  • Az ügyfél által felügyelt kulcsok megosztott rendszerkép-katalógusokkal való használatáról az előzetes verzióban talál további információt: Ügyfél által felügyelt kulcsok használata a képek titkosításához.

A következő szakaszok az ügyfél által felügyelt kulcsok felügyelt lemezekhez való engedélyezését és használatát ismertetik:

Az ügyfél által felügyelt kulcsok lemezhez való beállításához adott sorrendben kell létrehoznia az erőforrásokat, ha első alkalommal végzi el. Először létre kell hoznia és be kell állítania egy Azure-Key Vault.

Az Azure Key Vault beállítása

  1. Jelentkezzen be az Azure Portalra.

  2. Keresse meg és válassza ki a Key Vaultokat.

    Screenshot of the Azure portal with the search dialog box expanded.

    Fontos

    A sikeres üzembe helyezéshez a lemeztitkosítási csoportnak, a virtuális gépnek, a lemezeknek és a pillanatképeknek ugyanabban a régióban és előfizetésben kell lenniük. Az Azure Key Vaultok egy másik előfizetésből is használhatók, de ugyanabban a régióban és bérlőben kell lenniük, mint a lemeztitkosítási csoportnak.

  3. Új Key Vault létrehozásához válassza a +Létrehozás lehetőséget.

  4. Új erőforráscsoport létrehozása.

  5. Adjon meg egy kulcstartónevet, válasszon ki egy régiót, és válasszon ki egy tarifacsomagot.

    Megjegyzés

    A Key Vault példány létrehozásakor engedélyeznie kell a helyreállítható törlést és a törlés elleni védelmet. A helyreállítható törlés biztosítja, hogy a Key Vault egy adott megőrzési időszakra (alapértelmezés szerint 90 napos) törölt kulccsal rendelkezik. A törlés elleni védelem biztosítja, hogy a törölt kulcsok nem törölhetők véglegesen, amíg a megőrzési idő el nem telik. Ezek a beállítások védelmet nyújtanak a véletlen törlés miatti adatvesztéstől. Ezek a beállítások kötelezőek, ha Key Vault használ a felügyelt lemezek titkosításához.

  6. Válassza a Véleményezés + Létrehozás lehetőséget, ellenőrizze a választási lehetőségeket, majd válassza a Létrehozás lehetőséget.

    Screenshot of the Azure Key Vault creation experience. Showing the particular values you create

  7. Miután a kulcstartó üzembe helyezése befejeződött, jelölje ki.

  8. A Gépház alatt válassza a Kulcsok lehetőséget.

  9. Válassza a Létrehozás/Importálás lehetőséget.

    Screenshot of the Key Vault resource settings pane. Shows the generate/import button inside settings.

  10. Hagyja a kulcstípustRSA-ra és RSA-kulcsméretre2048-ra állítva.

  11. Töltse ki a többi kijelölést tetszés szerint, majd válassza a Létrehozás lehetőséget.

    Screenshot of the create a key pane that appears once generate/import button is selected

Azure RBAC-szerepkör hozzáadása

Most, hogy létrehozta az Azure Key Vaultot és egy kulcsot, hozzá kell adnia egy Azure RBAC-szerepkört, hogy az Azure Key Vaultot a lemeztitkosítási készlettel együtt használhassa.

  1. Válassza a Hozzáférés-vezérlés (IAM) lehetőséget, és adjon hozzá egy szerepkört.
  2. Adja hozzá a Key Vault rendszergazdai, tulajdonosi vagy közreműködői szerepköröket.

A lemeztitkosítási csoport beállítása

  1. Keresse meg a lemeztitkosítási készleteket , és jelölje ki.

  2. A Lemeztitkosítási készletek panelen válassza a +Létrehozás lehetőséget.

  3. Válassza ki az erőforráscsoportot, nevezze el a titkosítási csoportot, és válassza ki ugyanazt a régiót, mint a kulcstartó.

  4. Az SSE-titkosítás típusaként válassza az inaktív állapotban lévő titkosítást egy ügyfél által felügyelt kulccsal.

    Megjegyzés

    Miután létrehozott egy lemeztitkosítási csoportot egy adott titkosítási típussal, az nem módosítható. Ha más titkosítási típust szeretne használni, létre kell hoznia egy új lemeztitkosítási csoportot.

  5. Kattintson a Kattintás gombra a kulcs kiválasztásához.

  6. Válassza ki a korábban létrehozott kulcstartót és kulcsot, valamint a verziót.

  7. Nyomja le a Select billentyűt.

  8. Ha engedélyezni szeretné az ügyfél által kezelt kulcsok automatikus rotálását, válassza az Automatikus kulcsváltás lehetőséget.

  9. Válassza az Áttekintés és létrehozás, majd a Létrehozás lehetőséget.

    Screenshot of the disk encryption creation pane. Showing the subscription, resource group, disk encryption set name, region, and key vault + key selector.

  10. Az üzembe helyezés után lépjen a lemeztitkosítási csoporthoz, és válassza ki a megjelenített riasztást.

    Screenshot of user selecting the 'To associate a disk, image, or snapshot with this disk encryption set, you must grant permissions to the key vault' alert.

  11. Ez engedélyeket ad a kulcstartónak a lemeztitkosítási csoport számára.

    Screenshot of confirmation that permissions have been granted.

Virtuális gép üzembe helyezése

Most, hogy létrehozta és beállította a kulcstartót és a lemeztitkosítási csoportot, üzembe helyezhet egy virtuális gépet a titkosítás használatával. A virtuális gépek üzembehelyezési folyamata hasonló a standard üzembehelyezési folyamathoz, az egyetlen különbség az, hogy a virtuális gépet ugyanabban a régióban kell üzembe helyeznie, mint a többi erőforrást, és az ügyfél által felügyelt kulcs használata mellett dönt.

  1. Keressen Virtual Machines, és válassza a + Hozzáadás lehetőséget a virtuális gép létrehozásához.

  2. Az Alapszintű panelen válassza ki ugyanazt a régiót, mint a lemeztitkosítási csoport és az Azure Key Vault.

  3. Töltse ki a többi értéket az Alapszintű panelen tetszés szerint.

    Screenshot of the VM creation experience, with the region value highlighted.

  4. A Lemezek panelen válassza az Inaktív adatok titkosítása lehetőséget egy ügyfél által felügyelt kulccsal.

  5. Válassza ki a lemeztitkosítási készletet a Lemeztitkosítási csoport legördülő listában .

  6. Tetszés szerint végezze el a többi kijelölést.

    Screenshot of the VM creation experience, the disks blade. With the disk encryption set drop-down highlighted.

Engedélyezés meglévő lemezen

Figyelemfelhívás

A virtuális géphez csatlakoztatott lemezek lemeztitkosításának engedélyezéséhez le kell állítania a virtuális gépet.

  1. Lépjen egy olyan virtuális gépre, amely ugyanabban a régióban található, mint az egyik lemeztitkosítási készlet.

  2. Nyissa meg a virtuális gépet, és válassza a Leállítás lehetőséget.

    Screenshot of the main overlay for your example VM, with the Stop button highlighted.

  3. Miután a virtuális gép leállt, válassza a Lemezek lehetőséget, majd válassza ki a titkosítani kívánt lemezt.

    Screenshot of your example VM, with the Disks blade open. The OS disk is highlighted, as an example disk for you to select.

  4. Válassza a Titkosítás lehetőséget, és válassza ki az inaktív titkosítást egy ügyfél által felügyelt kulccsal , majd válassza ki a lemeztitkosítási készletet a legördülő listában.

  5. Kattintson a Mentés gombra.

    Screenshot of your example OS disk. The encryption blade is open, encryption at rest with a customer-managed key is selected, as well as your example Azure Key Vault. After making those selections, the save button is selected.

  6. Ismételje meg ezt a folyamatot a titkosítani kívánt virtuális géphez csatolt többi lemez esetében.

  7. Ha a lemezek befejezik a váltást az ügyfél által felügyelt kulcsokra, ha nincs más titkosítandó csatlakoztatott lemez, elindíthatja a virtuális gépet.

Fontos

Az ügyfél által felügyelt kulcsok az Azure-erőforrások felügyelt identitásaira támaszkodnak, amely a Azure Active Directory (Azure AD) egyik funkciója. Az ügyfél által felügyelt kulcsok konfigurálásakor a rendszer automatikusan hozzárendel egy felügyelt identitást az erőforrásokhoz a háttérben. Ha ezt követően áthelyezi az előfizetést, az erőforráscsoportot vagy a felügyelt lemezt az egyik Azure AD könyvtárból egy másikba, a felügyelt lemezekhez társított felügyelt identitás nem kerül át az új bérlőbe, így előfordulhat, hogy az ügyfél által felügyelt kulcsok már nem működnek. További információ: Előfizetés átvitele Azure AD címtárak között.

Az automatikus kulcsrotálás engedélyezése meglévő lemeztitkosítási csoportban

  1. Lépjen arra a lemeztitkosítási készletre, amelyen engedélyezni szeretné az automatikus kulcsrotálást .
  2. A Gépház alatt válassza a Kulcs lehetőséget.
  3. Válassza az Automatikus kulcsváltás lehetőséget, majd a Mentés lehetőséget.

Következő lépések