Edit

Gunakan portal Azure untuk mengaktifkan enkripsi sisi server dengan kunci yang dikelola pelanggan untuk disk terkelola

  • Bagaimana

Berlaku untuk: ✔️ Mesin Virtual Linux ✔️ Mesin Virtual Windows ✔️

Penyimpanan Disk Azure memungkinkan Anda mengelola kunci Anda sendiri saat menggunakan enkripsi sisi server (SSE) untuk disk terkelola, jika Anda memilih. Untuk informasi konseptual tentang SSE dengan kunci yang dikelola pelanggan, dan jenis enkripsi disk terkelola lainnya, lihat bagian Kunci yang dikelola pelanggan dari artikel enkripsi disk kami: Kunci yang dikelola pelanggan

Prasyarat

Tidak

Pembatasan

Untuk saat ini, kunci yang dikelola pelanggan memiliki batasan berikut:

  • Jika fitur ini diaktifkan untuk disk dengan rekam jepret bertahap, fitur ini tidak dapat dinonaktifkan pada disk tersebut atau rekam jepretnya. Untuk mengatasi hal ini, salin semua data ke disk terkelola yang sama sekali berbeda yang tidak menggunakan kunci yang dikelola pelanggan. Anda dapat melakukannya dengan Azure CLI atau modul Azure PowerShell.
  • Hanya kunci RSA perangkat lunak dan HSM dengan ukuran 2.048-bit, 3.072-bit, dan 4.096-bit yang didukung, tidak ada kunci atau ukuran lain.
    • Kunci HSM memerlukan tingkat premium Azure Key Vault.
  • Hanya untuk Disk Ultra dan disk Premium SSD v2:
    • Rekam jepret yang dibuat dari disk yang dienkripsi dengan enkripsi sisi server dan kunci yang dikelola pelanggan harus dienkripsi dengan kunci yang dikelola pelanggan yang sama.
    • Identitas terkelola yang ditetapkan pengguna tidak didukung untuk disk Ultra Disk dan Premium SSD v2 yang dienkripsi dengan kunci yang dikelola pelanggan.
  • Sebagian besar sumber daya yang terkait dengan kunci yang dikelola pelanggan (set enkripsi disk, Mesin Virtual, disk, dan snapshot) harus berada dalam langganan dan wilayah yang sama.
    • Azure Key Vault dapat digunakan dari langganan yang berbeda tetapi harus berada di wilayah yang sama dengan set enkripsi disk Anda. Sebagai pratinjau, Anda dapat menggunakan Azure Key Vaults dari penyewa Microsoft Entra yang berbeda.
  • Disk yang dienkripsi dengan kunci yang dikelola pelanggan hanya dapat berpindah ke grup sumber daya lain jika VM yang dilampirkan ke dibatalkan alokasinya.
  • Disk, rekam jepret, dan gambar yang dienkripsi dengan kunci yang dikelola pelanggan tidak dapat dipindahkan di antara langganan.
  • Disk terkelola saat ini atau yang sebelumnya dienkripsi menggunakan Azure Disk Encryption tidak dapat dienkripsi menggunakan kunci yang dikelola pelanggan.
  • Hanya dapat membuat hingga 5000 set enkripsi disk per wilayah per langganan.
  • Untuk informasi tentang menggunakan kunci yang dikelola pelanggan dengan galeri gambar bersama, lihat Pratinjau: Menggunakan kunci yang dikelola pelanggan untuk mengenkripsi gambar.

Bagian berikut membahas cara mengaktifkan dan menggunakan kunci yang dikelola pelanggan untuk disk terkelola:

Menyiapkan kunci yang dikelola pelanggan untuk disk Anda mengharuskan Anda membuat sumber daya dalam urutan tertentu, jika Anda melakukannya untuk pertama kalinya. Pertama, Anda harus membuat dan menyiapkan Azure Key Vault.

Menyiapkan Azure Key Vault

  1. Masuk ke portal Azure.

  2. Cari dan pilih Key Vault.

    Cuplikan layar portal Azure dengan kotak dialog penelusuran diperluas.

    Penting

    Kumpulan enkripsi disk, VM, disk, dan snapshot Anda semua harus berada di region dan langganan yang sama agar penyebaran berhasil. Azure Key Vaults dapat digunakan dari langganan yang berbeda tetapi harus berada di wilayah dan penyewa yang sama dengan kumpulan enkripsi disk Anda.

  3. Pilih +Buat untuk membuat Key Vault baru.

  4. Membuat grup sumber daya baru.

  5. Masukkan nama key vault, pilih wilayah, dan pilih tingkat harga.

    Catatan

    Saat membuat instans Azure Key Vault, Anda harus mengaktifkan penghapusan sementara dan perlindungan pembersihan. Penghapusan sementara memastikan bahwa Azure Key Vault memegang kunci yang dihapus untuk periode retensi tertentu (default 90 hari). Perlindungan pembersihan memastikan bahwa kunci yang dihapus tidak dapat dihapus secara permanen hingga periode retensi berakhir. Pengaturan ini melindungi Anda dari kehilangan data karena tidak sengaja terhapus. Pengaturan ini wajib dilakukan ketika menggunakan Azure Key Vault untuk mengenkripsi disk terkelola.

  6. Pilih Tinjau + Buat, verifikasi pilihan Anda, lalu pilih Buat.

    Cuplikan layar pengalaman pembuatan Azure Key Vault, memperlihatkan nilai tertentu yang Anda buat.

  7. Setelah key vault Anda selesai disebarkan, pilihlah.

  8. Pilih Kunci di bawah Objek.

  9. Pilih Buat/impor.

    Cuplikan layar panel pengaturan sumber daya Key Vault, memperlihatkan tombol buat/impor di dalam pengaturan.

  10. Biarkan kedua Jenis Kunci diatur ke RSA dan Ukuran Kunci RSA diatur ke 2048.

  11. Isi pilihan yang tersisa sesuka Anda lalu pilih Buat.

    Cuplikan layar panel buat kunci yang muncul setelah tombol buat/impor dipilih.

Menambahkan peran RBAC Azure

Setelah membuat Azure Key Vault dan kunci, Anda harus menambahkan peran Azure RBAC, sehingga Anda dapat menggunakan Azure Key Vault dengan set enkripsi disk.

  1. Pilih Kontrol akses (IAM) dan tambahkan peran.
  2. Tambahkan peran Admin Azure Key Vault, Pemilik, atau Kontributor.

Menyiapkan set enkripsi disk Anda

  1. Cari Set Enkripsi Disk dan pilihlah.

  2. Pada panel Set Enkripsi Disk, pilih +Buat.

  3. Pilih grup sumber daya Anda, beri nama set enkripsi Anda, dan pilih wilayah yang sama dengan key vault Anda.

  4. Untuk Jenis Enkripsi, pilih Enkripsi saat istirahat dengan kunci yang dikelola pelanggan.

    Catatan

    Setelah Anda membuat set enkripsi disk yang diatur dengan jenis enkripsi tertentu, enkripsi tersebut tidak dapat diubah. Jika ingin menggunakan jenis enkripsi yang berbeda, Anda harus membuat set enkripsi disk baru.

  5. Pastikan Pilih brankas kunci Azure dan kunci dipilih.

  6. Pilih key vault dan kunci yang Anda buat sebelumnya, dan versinya.

  7. Jika Anda ingin mengaktifkan rotasi otomatis kunci yang dikelola pelanggan, pilih Rotasi kunci otomatis.

  8. Pilih Tinjau ulang + Buat, lalu pilih Buat.

    Cuplikan layar panel pembuatan enkripsi disk. Menunjukkan langganan, grup sumber daya, nama kumpulan enkripsi disk, wilayah, dan brankas kunci + pemilih kunci.

  9. Navigasi ke set enkripsi disk setelah disebarkan, dan pilih pemberitahuan yang ditampilkan.

    Cuplikan layar pengguna yang memilih 'Untuk mengaitkan disk, gambar, atau snapshot dengan set enkripsi disk ini, Anda harus memberikan izin ke peringatan brankas kunci'.

  10. Hal ini akan memberikan izin brankas kunci Anda ke kumpulan enkripsi disk.

    Cuplikan layar konfirmasi bahwa izin telah diberikan.

Menyebarkan VM

Setelah membuat dan menyiapkan brankas kunci dan kumpulan enkripsi disk, Anda dapat menyebarkan VM menggunakan enkripsi. Proses penyebaran VM mirip dengan proses penyebaran standar, bedanya adalah Anda perlu menyebarkan VM di wilayah yang sama dengan sumber daya Anda yang lain dan Anda memilih untuk menggunakan kunci yang dikelola pelanggan.

  1. Cari Komputer Virtual dan pilih + Buat untuk membuat VM.

  2. Pada panel Dasar , pilih wilayah yang sama dengan kumpulan enkripsi disk Anda dan Azure Key Vault.

  3. Isi nilai lain di panel Dasar sesuka Anda.

    Cuplikan layar pengalaman pembuatan VM, dengan nilai wilayah disorot.

  4. Pada panel Disk , untuk Manajemen kunci pilih set enkripsi disk, brankas kunci, dan kunci Anda di menu drop-down.

  5. Buat pilihan lainnya sesuai kebutuhan.

    Cuplikan layar pengalaman pembuatan VM, panel disk, kunci yang dikelola pelanggan dipilih.

Aktifkan pada disk yang ada

Perhatian

Mengaktifkan enkripsi disk pada disk apa pun yang terpasang pada VM mengharuskan Anda menghentikan VM.

  1. Navigasikan ke VM yang berada di wilayah yang sama dengan salah satu kumpulan enkripsi disk Anda.

  2. Buka VM dan pilih Stop.

Cuplikan layar overlay utama untuk VM contoh Anda, dengan tombol Stop disorot.

  1. Setelah VM selesai dihentikan, pilih Disk, lalu pilih disk yang ingin Anda enkripsi.

Cuplikan layar contoh VM Anda, dengan panel Disk terbuka, disk OS disorot, sebagai contoh disk untuk Anda pilih.

  1. Pilih Enkripsi dan di bawah Manajemen kunci pilih brankas kunci dan kunci Anda di daftar drop-down, di bawah Kunci yang dikelola pelanggan.

  2. Pilih Simpan.

Cuplikan layar contoh disk OS Anda, panel enkripsi terbuka, enkripsi saat tidak aktif dengan kunci yang dikelola pelanggan dipilih, serta contoh Azure Key Vault Anda.

  1. Ulangi proses ini untuk disk lain yang terpasang pada VM yang ingin Anda enkripsi.

  2. Ketika disk Anda selesai beralih ke kunci yang dikelola pelanggan, jika tidak ada disk terlampir lain yang ingin Anda enkripsi, mulai VM Anda.

Penting

Kunci yang dikelola pelanggan mengandalkan identitas terkelola untuk sumber daya Azure, fitur ID Microsoft Entra. Saat Anda mengonfigurasi kunci yang dikelola pelanggan, identitas terkelola secara otomatis ditetapkan ke sumber daya Anda di bawah perlindungan. Jika Anda kemudian memindahkan langganan, grup sumber daya, atau disk terkelola dari satu direktori Microsoft Entra ke direktori lain, identitas terkelola yang terkait dengan disk terkelola tidak ditransfer ke penyewa baru, sehingga kunci yang dikelola pelanggan mungkin tidak lagi berfungsi. Untuk informasi selengkapnya, lihat Mentransfer langganan antara direktori Microsoft Entra.

Mengaktifkan rotasi kunci otomatis pada set enkripsi {i>disk

  1. Navigasikan ke set enkripsi disk yang ingin Anda aktifkan rotasi kunci otomatisnya.

  2. Di Pengaturan, pilih Kunci.

  3. Pilih Rotasi kunci otomatis dan pilih Simpan.

Konten terkait