Gunakan portal Azure untuk mengaktifkan enkripsi sisi server dengan kunci yang dikelola pelanggan untuk disk terkelola

Berlaku untuk: ✔️ Mesin Virtual Linux ✔️ Mesin Virtual Windows ✔️

Penyimpanan Disk Azure memungkinkan Anda mengelola kunci Anda sendiri saat menggunakan enkripsi sisi server (SSE) untuk disk terkelola, jika Anda mau. Untuk informasi konseptual mengenai SSE dengan kunci yang dikelola pelanggan, serta jenis enkripsi disk terkelola lainnya, lihat bagian Kunci yang dikelola pelanggan dari artikel enkripsi disk kami: Kunci yang dikelola pelanggan

Batasan

Untuk saat ini, kunci yang dikelola pelanggan memiliki batasan berikut:

  • Jika fitur ini diaktifkan untuk disk Anda, Anda tidak dapat menonaktifkannya. Jika perlu melakukannya, Anda harus menyalin semua data ke disk terkelola yang sama sekali berbeda dan tidak menggunakan kunci yang dikelola pelanggan:

  • Hanya kunci RSA perangkat lunak dan HSM dengan ukuran 2.048-bit, 3.072-bit, dan 4.096-bit yang didukung, tidak ada kunci atau ukuran lain.
    • Kunci HSM memerlukan tingkat premium Azure Key Vault.
  • Disk yang dibuat dari gambar kustom yang dienkripsi menggunakan enkripsi sisi server dan kunci yang dikelola pelanggan harus dienkripsi menggunakan kunci yang dikelola pelanggan yang sama dan harus dalam langganan yang sama.
  • Rekam jepret yang dibuat dari disk yang dienkripsi dengan enkripsi sisi server dan kunci yang dikelola pelanggan harus dienkripsi dengan kunci yang dikelola pelanggan yang sama.
  • Semua sumber daya yang terkait dengan kunci yang dikelola pelanggan (Azure Key Vault, set enkripsi disk, VM, disk, dan snapshot) harus berada dalam langganan dan wilayah yang sama.
    • Azure Key Vaults dapat digunakan dari langganan yang berbeda tetapi harus berada di wilayah dan penyewa yang sama dengan set enkripsi disk Anda.
  • Disk, rekam jepret, dan gambar yang dienkripsi dengan kunci yang dikelola pelanggan tidak dapat dipindahkan ke grup sumber daya dan langganan lain.
  • Disk yang dikelola saat ini atau sebelumnya dienkripsi menggunakan Azure Disk Encryption tidak dapat dienkripsi menggunakan kunci yang dikelola pelanggan.
  • Hanya dapat membuat hingga 1000 set enkripsi disk di setiap wilayah per langganan.
  • Untuk informasi tentang menggunakan kunci yang dikelola pelanggan dengan galeri gambar bersama, lihat Pratinjau: Menggunakan kunci yang dikelola pelanggan untuk mengenkripsi gambar.

Bagian berikut membahas cara mengaktifkan dan menggunakan kunci yang dikelola pelanggan untuk disk terkelola:

Menyiapkan kunci yang dikelola pelanggan untuk disk Anda akan mengharuskan Anda membuat sumber daya dalam urutan tertentu, jika Anda melakukannya untuk pertama kalinya. Pertama, Anda harus membuat dan menyiapkan Azure Key Vault.

Menyiapkan Azure Key Vault

  1. Masuk ke portal Microsoft Azure.

  2. Cari dan pilih Key Vault.

    Screenshot of the Azure portal with the search dialog box expanded.

    Penting

    Set enkripsi disk, mesin virtual, disk, dan snapshot Anda semua harus berada di wilayah dan langganan yang sama agar penyebaran berhasil. Azure Key Vaults dapat digunakan dari langganan yang berbeda tetapi harus berada di wilayah dan penyewa yang sama dengan set enkripsi disk Anda.

  3. Pilih +Buat untuk membuat Key Vault baru.

  4. Membuat grup sumber daya baru.

  5. Masukkan nama key vault, pilih wilayah, dan pilih tingkat harga.

    Catatan

    Saat membuat instans Key Vault, Anda harus mengaktifkan penghapusan sementara dan perlindungan pembersihan. Penghapusan sementara memastikan bahwa Key Vault memegang kunci yang dihapus untuk periode retensi tertentu (default 90 hari). Perlindungan pembersihan memastikan bahwa kunci yang dihapus tidak dapat dihapus secara permanen hingga periode retensi berakhir. Pengaturan ini melindungi Anda dari kehilangan data karena tidak sengaja terhapus. Pengaturan ini wajib dilakukan ketika menggunakan Key Vault untuk mengenkripsi disk terkelola.

  6. Pilih Tinjau + Buat, verifikasi pilihan Anda, lalu pilih Buat.

    Screenshot of the Azure Key Vault creation experience. Showing the particular values you create

  7. Setelah key vault Anda selesai disebarkan, pilihlah.

  8. Pilih Kunci di bawah Pengaturan.

  9. Pilih Hasilkan/Impor.

    Screenshot of the Key Vault resource settings pane. Shows the generate/import button inside settings.

  10. Biarkan kedua Jenis Kunci diatur ke RSA dan Ukuran Kunci RSA diatur ke 2048.

  11. Isi pilihan yang tersisa sesuka Anda lalu pilih Buat.

    Screenshot of the create a key pane that appears once generate/import button is selected

Menambahkan peran RBAC Azure

Setelah membuat Azure Key Vault dan kunci, Anda harus menambahkan peran Azure RBAC, sehingga Anda dapat menggunakan Azure Key Vault dengan set enkripsi disk.

  1. Pilih Kontrol akses (IAM) dan tambahkan peran.
  2. Tambahkan peran Admin Azure Key Vault, Pemilik, atau Kontributor.

Menyiapkan set enkripsi disk Anda

  1. Cari Set Enkripsi Disk dan pilihlah.

  2. Di panel Set Enkripsi Disk, pilih +Buat.

  3. Pilih grup sumber daya Anda, beri nama set enkripsi Anda, dan pilih wilayah yang sama dengan key vault Anda.

  4. Untuk Jenis Enkripsi SSE, pilih Enkripsi saat istirahat dengan kunci yang dikelola pelanggan.

    Catatan

    Setelah Anda membuat set enkripsi disk yang diatur dengan jenis enkripsi tertentu, enkripsi tersebut tidak dapat diubah. Jika ingin menggunakan jenis enkripsi yang berbeda, Anda harus membuat set enkripsi disk baru.

  5. Pilih Klik untuk memilih kunci.

  6. Pilih key vault dan kunci yang Anda buat sebelumnya, dan versinya.

  7. Tekan Pilih.

  8. Jika Anda ingin mengaktifkan rotasi otomatis kunci yang dikelola pelanggan, pilih Rotasi kunci otomatis.

  9. Pilih Tinjau ulang + Buat, lalu pilih Buat.

    Screenshot of the disk encryption creation pane. Showing the subscription, resource group, disk encryption set name, region, and key vault + key selector.

  10. Navigasikan ke kumpulan enkripsi disk setelah disebarkan, dan pilih pemberitahuan yang ditampilkan.

    Screenshot of user selecting the 'To associate a disk, image, or snapshot with this disk encryption set, you must grant permissions to the key vault' alert.

  11. Hal ini akan memberikan izin brankas kunci Anda ke kumpulan enkripsi disk.

    Screenshot of confirmation that permissions have been granted.

Menyebarkan VM

Setelah membuat dan menyiapkan brankas kunci dan kumpulan enkripsi disk, Anda dapat menyebarkan VM menggunakan enkripsi. Proses penyebaran VM mirip dengan proses penyebaran standar, bedanya adalah Anda perlu menyebarkan VM di wilayah yang sama dengan sumber daya Anda yang lain dan Anda memilih untuk menggunakan kunci yang dikelola pelanggan.

  1. Cari Virtual Machines, lalu pilih + Tambahkan untuk membuat VM.

  2. Pada bilah Dasar, pilih wilayah yang sama dengan kumpulan enkripsi disk Anda dan Azure Key Vault.

  3. Isi nilai lain pada bilah Basic sesuai kebutuhan.

    Screenshot of the VM creation experience, with the region value highlighted.

  4. Pada bilah Disk, pilih Enkripsi saat tidak aktif dengan kunci yang dikelola pelanggan.

  5. Pilih kumpulan enkripsi disk Anda di drop-down Kumpulan enkripsi disk.

  6. Buat pilihan lainnya sesuai kebutuhan.

    Screenshot of the VM creation experience, the disks blade. With the disk encryption set drop-down highlighted.

Mengaktifkan pada disk yang ada

Perhatian

Mengaktifkan enkripsi disk pada disk yang terpasang pada VM akan mengharuskan Anda menghentikan VM.

  1. Navigasikan ke VM yang berada di wilayah yang sama dengan salah satu kumpulan enkripsi disk Anda.

  2. Buka VM dan pilih Stop.

    Screenshot of the main overlay for your example VM, with the Stop button highlighted.

  3. Setelah VM berhenti, pilih Disk lalu pilih disk yang ingin dienkripsi.

    Screenshot of your example VM, with the Disks blade open. The OS disk is highlighted, as an example disk for you to select.

  4. Pilih Enkripsi dan pilih Enkripsi saat tidak aktif dengan kunci yang dikelola pelanggan lalu pilih kumpulan enkripsi disk Anda di daftar drop-down.

  5. Pilih Simpan.

    Screenshot of your example OS disk. The encryption blade is open, encryption at rest with a customer-managed key is selected, as well as your example Azure Key Vault. After making those selections, the save button is selected.

  6. Ulangi proses ini untuk disk lain yang terpasang pada VM yang ingin Anda enkripsi.

  7. Setelah disk Anda beralih ke kunci yang dikelola pelanggan, jika tidak ada disk terpasang lain yang ingin dienkripsi, Anda dapat memulai VM.

Penting

Kunci yang dikelola pelanggan bergantung pada identitas terkelola untuk sumber daya Azure, yaitu fitur Microsoft Azure Active Directory. Saat Anda mengonfigurasi kunci yang dikelola pelanggan di portal Azure, identitas terkelola secara otomatis ditetapkan di bawah penutup. Jika Anda kemudian memindahkan langganan, grup sumber daya, atau disk terkelola dari satu direktori Azure AD ke direktori lain, identitas terkelola yang terkait dengan disk terkelola tidak ditransfer ke penyewa baru, sehingga kunci yang dikelola pelanggan mungkin tidak lagi berfungsi. Untuk informasi selengkapnya, lihat Mentransfer langganan di antara direktori Azure AD.

Mengaktifkan rotasi kunci otomatis pada set enkripsi disk yang sudah ada

  1. Arahkan ke set enkripsi disk yang ingin Anda aktifkan rotasi kunci otomatis.
  2. Di Pengaturan, pilih Kunci.
  3. Pilih Rotasi kunci otomatis dan pilih Simpan.

Langkah berikutnya