Delen via

Gebruik de Azure-portal om versleuteling aan de serverzijde in te schakelen met door de klant beheerde sleutels voor beheerde schijven

Van toepassing op: ✔️ Linux-VM's, Windows-VM's ✔️ ✔️

Azure Disk Storage kunt u uw eigen sleutels beheren wanneer u SSE (Server-Side Encryption) gebruikt voor beheerde schijven, indien u dat kiest. Voor conceptuele informatie over SSE met door de klant beheerde sleutels en andere typen beheerde schijfversleuteling raadpleegt u de sectie Door de klant beheerde sleutels van ons artikel over schijfversleuteling: Door de klant beheerde sleutels

Vereisten

Geen

Beperkingen

Op dit moment hebben door de klant beheerde sleutels de volgende beperkingen:

  • Als deze functie is ingeschakeld voor een schijf met incrementele momentopnamen, kan deze niet worden uitgeschakeld op die schijf of de bijbehorende momentopnamen. U kunt dit omzeilen door alle gegevens te kopiëren naar een volledig andere beheerde schijf die geen door de klant beheerde sleutels gebruikt. U kunt dit doen met de Azure CLI of de module Azure PowerShell.
  • Een schijf en alle bijbehorende incrementele momentopnamen moeten dezelfde schijfversleutelingsset hebben.
  • Alleen software- en HSM RSA-sleutels van grootten 2048-bits, 3072-bits en 4.096-bits worden ondersteund, geen andere sleutels of grootten.
    • voor HSM-sleutels is de premiumlaag van Azure Sleutelkluizen vereist.
  • Alleen voor Ultra Disks en Premium SSD v2-schijven:
    • (Preview) Door de gebruiker toegewezen beheerde identiteiten zijn beschikbaar voor Ultra Disks- en Premium SSD v2-schijven die zijn versleuteld met door de klant beheerde sleutels.
  • De meeste resources met betrekking tot uw door de klant beheerde sleutels (schijfversleutelingssets, VM's, schijven en momentopnamen) moeten zich in hetzelfde abonnement en dezelfde regio bevinden.
  • Schijven die zijn versleuteld met door de klant beheerde sleutels, kunnen alleen worden verplaatst naar een andere resourcegroep als de virtuele machine waaraan ze gekoppeld zijn, gedealloceerd is.
  • Schijven, momentopnamen en afbeeldingen die zijn versleuteld met door de klant beheerde sleutels, kunnen niet worden verplaatst tussen abonnementen.
  • Beheerde schijven die momenteel of eerder zijn versleuteld met Azure Disk Encryption kunnen niet worden versleuteld met door de klant beheerde sleutels.
  • Kan maximaal 5000 schijfversleutelingssets per regio per abonnement maken.
  • Zie Preview: gebruik van door de klant beheerde sleutels met gedeelde afbeeldingsgalerijen voor meer informatie over het gebruik van door de klant beheerde sleutels voor het versleutelen van afbeeldingen.

In de volgende secties wordt beschreven hoe u door de klant beheerde sleutels voor beheerde schijven inschakelt en gebruikt:

Als u door de klant beheerde sleutels voor uw schijven instelt, moet u resources in een bepaalde volgorde maken, als u dit voor het eerst doet. Eerst moet u een Azure Key Vault maken en instellen.

Uw Azure Key Vault instellen

  1. Meld u aan bij de Azure-portal.

  2. Zoek en selecteer Sleutelkluizen.

    Schermopname van de Azure-portal met het zoekdialoogvenster uitgevouwen.

    Belangrijk

    Uw schijfversleutelingsset, VM, schijven en momentopnamen moeten zich allemaal in dezelfde regio en hetzelfde abonnement bevinden om te kunnen worden geïmplementeerd.

  3. Selecteer +Maken om een nieuwe Key Vault te maken.

  4. Een nieuwe resourcegroep maken.

  5. Voer een sleutelkluisnaam in, selecteer een regio en selecteer een prijscategorie.

    Notitie

    Wanneer u de Key Vault-instantie maakt, moet u soft delete en purge protection inschakelen. Voorlopig verwijderen zorgt ervoor dat de Key Vault een verwijderde sleutel bevat voor een bepaalde bewaarperiode (standaard 90 dagen). Beveiliging tegen opschonen zorgt ervoor dat een verwijderde sleutel pas definitief kan worden verwijderd als de bewaarperiode is verstreken. Met deze instellingen kunt u geen gegevens kwijtraken vanwege onbedoelde verwijdering. Deze instellingen zijn verplicht wanneer u een Key Vault gebruikt voor het versleutelen van beheerde schijven.

  6. Selecteer Beoordelen + Maken, controleer uw keuzes, en selecteer Maken.

    Schermopname van de ervaring voor het maken van Azure Key Vault, met de specifieke waarden die u maakt.

  7. Nadat de implementatie van uw sleutelkluis is voltooid, selecteert u deze.

  8. Selecteer Sleutels onder Objecten.

  9. Selecteer Genereren/Importeren.

    Schermopname van het deelvenster met resource-instellingen voor Key Vault, toont de knop genereren/importeren in settings.

  10. Laat zowel sleuteltype ingesteld op RSA als RSA-sleutelgrootte ingesteld op 2048.

  11. Vul de resterende selecties in zoals u wilt en selecteer Maken.

    Schermopname van het maken van een sleutelvenster dat wordt weergegeven zodra de knop Genereren/importeren is geselecteerd.

Een Azure RBAC-rol toevoegen

Nu u de Azure sleutelkluis en een sleutel hebt gemaakt, moet u een Azure RBAC-rol toevoegen, zodat u uw Azure sleutelkluis kunt gebruiken met uw schijfversleutelingsset.

  1. Selecteer Toegangsbeheer (IAM) en voeg een rol toe.
  2. Voeg de rollen Key Vault Administrator, Owner of Contributor toe.

Stel uw schijfversleutelingsset in

  1. Zoek naar Schijfversleutelingssets en selecteer deze.

  2. In het deelvenster Schijfversleutelingssets, selecteer +Nieuw.

  3. Selecteer uw resourcegroep, geef uw versleutelingsset een naam en selecteer dezelfde regio als uw sleutelkluis.

  4. Voor het versleutelingstype selecteert u Versleuteling-at-rest met een door de klant beheerde sleutel.

    Notitie

    Wanneer u een schijfversleutelingsset met een bepaald versleutelingstype hebt gemaakt, kan deze niet worden gewijzigd. Als u een ander versleutelingstype wilt gebruiken, moet u een nieuwe schijfversleutelingsset maken.

  5. Zorg ervoor dat Azure-sleutelkluis en -sleutel selecteren is geselecteerd.

  6. Selecteer de sleutelkluis en sleutel die je eerder hebt gemaakt en de versie.

    Notitie

    Voor beheerde schijven met door de klant beheerde sleutels voor meerdere tenants kan de geselecteerde sleutel zich in een Key Vault in een andere Microsoft Entra tenant bevinden.

  7. Als u automatische rotatie van door de klant beheerde sleutels wilt inschakelen, selecteert u Automatische sleutelrotatie.

  8. Selecteer Review + Create en vervolgens Maken.

    Schermopname van het deelvenster Schijfversleuteling maken. Het abonnement, de resourcegroep, de naam van de schijfversleutelingsset, de regio en de sleutelkluis en de sleutelkiezer worden weergegeven.

  9. Navigeer naar de schijfversleutelingsset zodra deze is geïmplementeerd en selecteer de weergegeven waarschuwing.

    Schermopname van gebruiker die de waarschuwing 'Om een schijf, afbeelding of snapshot met deze schijfversleutelingsset te associëren, moet u machtigingen verlenen aan de sleutelkluis' selecteert.

  10. Hiermee verleent u uw sleutelkluis machtigingen aan de schijfversleutelingsset.

    Schermopname van bevestiging dat machtigingen zijn verleend.

Een virtuele machine implementeren

Nu u uw sleutelkluis en de schijfversleutelingsset hebt gemaakt en ingesteld, kunt u een virtuele machine implementeren met behulp van de versleuteling. Het VM-implementatieproces is vergelijkbaar met het standaardimplementatieproces. De enige verschillen zijn dat u de VIRTUELE machine in dezelfde regio als uw andere resources moet implementeren en u ervoor kiest om een door de klant beheerde sleutel te gebruiken.

  1. Zoek Virtual Machines en selecteer + Maken om een virtuele machine te maken.

  2. Selecteer in het deelvenster Basic dezelfde regio als de schijfversleutelingsset en Azure Key Vault.

  3. Vul de andere waarden in het deelvenster Basis in zoals u wilt.

    Schermopname van het aanmaken van de virtuele machine, met de regiowaarde gemarkeerd.

  4. Selecteer in het deelvenster Schijven voor Sleutelbeheer uw schijfversleutelingsset, sleutelkluis en sleutel in de vervolgkeuzelijst.

  5. Maak de resterende selecties zoals u wilt.

    Schermopname van de VM-aanmaakervaring, in het deelvenster Schijven, met geselecteerde door klant beheerde sleutel.

Inschakelen op een bestaande schijf

Let op

Als u schijfversleuteling inschakelt op schijven die zijn gekoppeld aan een virtuele machine, moet u de VIRTUELE machine stoppen.

  1. Navigeer naar een virtuele machine die zich in dezelfde regio bevindt als een van uw schijfversleutelingssets.

  2. Open de virtuele machine en selecteer Stoppen.

Schermopname van de hoofd-overlay voor uw voorbeeld-VM, met de knop Stoppen gemarkeerd.

  1. Nadat de VIRTUELE machine is gestopt, selecteert u Schijven en selecteert u vervolgens de schijf die u wilt versleutelen.

Schermopname van uw voorbeeld-VM, met het deelvenster Schijven geopend, de besturingssysteemschijf is gemarkeerd als een voorbeeldschijf die u kunt selecteren.

  1. Selecteer Versleuteling en selecteer onder Sleutelbeheer uw sleutelkluis en sleutel in de vervolgkeuzelijst, onder Door de klant beheerde sleutel.

  2. Selecteer Opslaan.

Schermopname van de voorbeeldschijf van het besturingssysteem, het versleutelingsvenster is geopend, versleuteling-at-rest met een door de klant beheerde sleutel is geselecteerd, evenals uw voorbeeld Azure Key Vault.

  1. Herhaal dit proces voor alle andere schijven die zijn gekoppeld aan de VIRTUELE machine die u wilt versleutelen.

  2. Wanneer uw schijven klaar zijn met het overschakelen naar door de klant beheerde sleutels, start u de VM als er geen andere gekoppelde schijven zijn die u wilt versleutelen.

Belangrijk

Door de klant beheerde sleutels zijn afhankelijk van beheerde identiteiten voor Azure resources, een functie van Microsoft Entra ID. Wanneer u klantbeheerde sleutels configureert, wordt er automatisch een beheerde identiteit toegekend aan uw resources achter de schermen. Als u vervolgens het abonnement, de resourcegroep of de beheerde schijf van de ene Microsoft Entra map naar een andere verplaatst, wordt de beheerde identiteit die is gekoppeld aan de beheerde schijven niet overgebracht naar de nieuwe tenant, zodat door de klant beheerde sleutels mogelijk niet meer werken. Zie Transferring van een abonnement tussen Microsoft Entra mappen voor meer informatie.

Automatische sleutelrotatie inschakelen voor een bestaande schijfversleutelingsset

  1. Navigeer naar de schijfversleutelingsset waarvoor u automatische sleutelrotatie wilt inschakelen.

  2. Selecteer onder Instellingen de optie Sleutel.

  3. Selecteer Automatisch sleutelrotatie en selecteer Opslaan.

Gerelateerde inhoud

  • Last updated on