关于对Azure-虚拟机-磁盘-使用-key Vault 中的 key 加密的理解和记录

先记录一下，可能会经常会看到的几个专业名词

数据加密密钥：data encryption key (DEK)

客户管理的密钥：Customer Managed Keys (CMK)

平台管理的密钥：Platform-managed key (PMK)

+++++++++++++++++++++++++++++++++++++++++++++++++++++

我们可以选择使用自己的密钥在每个托管磁盘的级别管理加密。

指定客户托管密钥时，该密钥用于保护和控制对数据加密密钥的访问。 使用客户托管密钥可以更灵活地管理访问控制。

必须使用下列其中一个 Azure 密钥存储来存储客户管理的密钥：

Azure Key Vault
Azure Key Vault 托管硬件安全模块 (HSM)

可以将 RSA 密钥导入 Key Vault，也可以在 Azure Key Vault 中生成新的 RSA 密钥。 Azure 托管磁盘使用信封加密以完全透明的方式处理加密和解密。

它使用基于 AES 256 的数据加密密钥 (DEK) 对数据进行加密，DEK 反过来使用你的密钥进行保护。

存储服务生成数据加密密钥，并使用 RSA 加密通过客户托管密钥对其进行加密。

通过信封加密，可以根据合规性策略定期轮替（更改）密钥，而不会影响 VM。 轮替密钥时，存储服务会使用新的客户托管密钥对数据加密密钥进行重新加密。

 

笔者这里，都是使用的自己管理的 RSA 类型的 key 加密（非对称加密）， 存储在 Key Vault 中， 使用到了 虚拟机磁盘 及 Storage Account 

看了一下 Key 中， 还有一种选择为 EC 加密 ( P-256 & P-384 & P-521 &  P-256K )，未使用过，这里的key，可以自己创建，也可以导入

 

注意点：

1、对虚拟机磁盘加密时，要求虚拟机关机，并在 deallocated 解除分配的情况下，才能操作，磁盘操作界面也有如下提示

Changes to encryption settings can only be made when the disk is unattached or the managing virtual machine(s) are deallocated.

2、关于 Key的Rotate ，需要在 Key Vault 处 和 使用者（如磁盘和Storage）位置处，都需要进行设置的

3、数据加密密钥（DEK）‌：由 Azure 平台自动生成的对称密钥（如 AES-256），‌直接加密磁盘数据‌。DEK 本身会被 CMK 加密后存储在磁盘元数据中‌ （AI FYI）

 

 

尊重别人的劳动成果 转载请务必注明出处：https://www.cnblogs.com/5201351/p/18960194