Configure customer-managed key encryption at rest in Azure VMware Solution

2025-04-13

В этой статье показано, как шифровать ключи шифрования ключей VMware vSAN (KEKs) с помощью ключей (CMK), управляемых клиентом и хранящихся в принадлежащем клиенту экземпляре Azure Key Vault.

Если шифрование CMK включено в частном облаке Azure VMware Solution, решение Azure VMware использует CMK из хранилища ключей для шифрования KEK vSAN. Каждый узел ESXi, участвующий в кластере vSAN, использует случайным образом созданные ключи шифрования дисков (DEK), которые ESXi использует для шифрования неактивных данных диска. vSAN шифрует все DEK с помощью KEK, предоставляемого системой управления ключами Azure VMware Solution. Частное облако Решение Azure VMware и хранилище ключей не должны находиться в одной подписке.

При управлении собственными ключами шифрования можно:

Управление доступом Azure к ключам vSAN.
Centrally manage the lifecycle of CMKs.
Отмена доступа Azure к KEK.

Функция CMKs поддерживает следующие типы ключей и их размеры ключей:

RSA: 2048, 3072, 4096
RSA-HSM: 2048, 3072, 4096

Топология

The following diagram shows how Azure VMware Solution uses Microsoft Entra ID and a key vault to deliver the CMK.

Предварительные условия

Прежде чем приступить к включению функций CMK, убедитесь, что выполнены следующие требования:

Для использования функций CMK требуется хранилище ключей. Если у вас нет хранилища ключей, вы можете создать его, воспользовавшись Кратким руководством: Создание хранилища ключей с помощью портала Azure.
Если вы включили ограниченный доступ к Key Vault, необходимо разрешить доверенным службам Майкрософт обойти брандмауэр Key Vault. Дополнительные сведения см. в разделе "Настройка параметров сети Azure Key Vault".

Примечание.

После того как правила брандмауэра вступают в силу, пользователи могут выполнять только операции уровня данных Key Vault, когда их запросы исходят из разрешенных виртуальных машин или диапазонов адресов IPv4. Это ограничение также применяется к доступу к Key Vault из портал Azure. It also affects the Key Vault Picker by Azure VMware Solution. Пользователи могут просматривать список хранилищ ключей, но не перечислять ключи, если правила брандмауэра препятствуют своему клиентскому компьютеру или у пользователя нет разрешения на список в Key Vault.
Enable System Assigned identity on your Azure VMware Solution private cloud if you didn't enable it during software-defined datacenter (SDDC) provisioning.
- Портал
- Azure CLI
Чтобы включить системно назначенную идентификацию, выполните следующие действия.
1. Войдите на портал Azure.
2. Перейдите к Решение Azure VMware и найдите частное облако.
3. On the leftmost pane, open Manage and select Identity.
4. In System Assigned, select Enable>Save. System Assigned identity should now be enabled.
After System Assigned identity is enabled, you see the tab for Object ID. Запишите идентификатор объекта для последующего использования.
Получите идентификатор ресурса частного облака и сохраните его в переменной. You need this value in the next step to update the resource with System Assigned identity.
```
privateCloudId=$(az vmware private-cloud show --name $privateCloudName --resource-group $resourceGroupName --query id | tr -d '"')
```
To configure the system-assigned identity on Azure VMware Solution private cloud with the Azure CLI, call az-resource-update and provide the variable for the private cloud resource ID that you previously retrieved.
```
az resource update --ids $privateCloudId --set identity.type=SystemAssigned --api-version "2021-12-01"
```
Configure the key vault access policy to grant permissions to the managed identity. Вы используете его для авторизации доступа к хранилищу ключей.
- Портал
- Azure CLI
1. Войдите на портал Azure.
2. Перейдите в хранилища ключей и найдите хранилище ключей , которое вы хотите использовать.
3. В левой области в разделе "Параметры" выберите политики доступа.
4. В политиках доступа выберите «Добавить политику доступа», а затем:
  1. В раскрывающемся списке Разрешения ключей выберите Выбрать, Получить, Завернуть ключ и Распаковать ключ.
  2. Under Select principal, select None selected. Откроется новое главное окно с полем поиска.
  3. В поле поиска вставьте идентификатор объекта из предыдущего шага. Или найдите имя частного облака, которое вы хотите использовать. Выберите Выбрать, когда закончите.
  4. Нажмите кнопку ADD (Добавить).
  5. Убедитесь, что новая политика отображается в разделе "Приложение текущей политики".
  6. Выберите Сохранить, чтобы зафиксировать изменения.
Get the principal ID for the system-assigned managed identity and save it to a variable. Это значение необходимо на следующем шаге, чтобы создать политику доступа к хранилищу ключей.
```
principalId=$(az vmware private-cloud show --name $privateCloudName --resource-group $resourceGroupName --query identity.principalId | tr -d '"')
```
Чтобы настроить политику доступа к хранилищу ключей с помощью Azure CLI, вызовите az keyvault set-policy. Provide the variable for the principal ID that you previously retrieved for the managed identity.
```
az keyvault set-policy --name $keyVault --resource-group $resourceGroupName --object-id $principalId --key-permissions get unwrapKey wrapKey
```
Узнайте больше о том, как назначить политику доступа хранилища ключей.

Жизненный цикл версий ключей, управляемых клиентом

Вы можете изменить cmK, создав новую версию ключа. Создание новой версии не прерывает рабочий процесс виртуальной машины.

В Решение Azure VMware смена версии ключа CMK зависит от параметра выбора ключа, выбранного во время установки CMK.

Key selection setting 1

Клиент включает шифрование CMK без предоставления определенной версии ключа для CMK. Решение Azure VMware выбирает последнюю версию ключа для CMK из хранилища ключей клиента, чтобы зашифровать пакеты KEK vSAN. Azure VMware Solution tracks the CMK for version rotation. Когда создается новая версия ключа CMK в Key Vault, оно автоматически фиксируется решением Azure VMware для шифрования vSAN KEKs.

Примечание.

Решение Azure VMware может занять до 10 минут, чтобы обнаружить новую версию ключа с автоматическим определением.

Key selection setting 2

Клиент может включить шифрование CMK для указанной версии ключа CMK, чтобы предоставить полный URI версии ключа в параметре Enter Key from URI. После истечения срока действия текущего ключа клиента необходимо продлить срок действия ключа CMK или отключить CMK.

Enable CMK with system-assigned identity

System-assigned identity is restricted to one per resource and is tied to the lifecycle of the resource. You can grant permissions to the managed identity on Azure resource. The managed identity is authenticated with Microsoft Entra ID, so you don't have to store any credentials in code.

Внимание

Убедитесь, что Key Vault находится в том же регионе, что и частное облако Решение Azure VMware.

Портал
Azure CLI

Go to your Key Vault instance and provide access to the SDDC on Key Vault by using the principal ID captured on the Enable MSI tab.

В частном облаке Azure VMware Solution в разделе Управление выберите Шифрование. Затем выберите ключи, управляемые клиентом (CMKs).
CMK предоставляет два варианта выбора ключей из Key Vault:

Вариант 1:
1. В разделе "Ключ шифрования" выберите выбор из Key Vault.
2. Выберите тип шифрования. Then select the Select Key Vault and key option.
3. Select the Key Vault and key from the dropdown. Затем выберите Выбрать.
Вариант 2.
1. В разделе "Ключ шифрования" выберите ввод ключа из URI.
2. Введите конкретный URI ключа в поле Ключ URI.
Внимание

Если вы хотите выбрать определенную версию ключа вместо автоматической выбранной последней версии, необходимо указать универсальный код ресурса (URI) ключа с версией ключа. Этот выбор влияет на жизненный цикл версии ключа CMK.

Параметр "Управляемый аппаратный модуль безопасности Хранилища ключей" (HSM) поддерживается только с параметром URI ключа.
Нажмите кнопку "Сохранить", чтобы предоставить доступ к ресурсу.

Чтобы настроить ключи управления (КМК) для частного облака решения Azure VMware с автоматическим обновлением версии ключа, выполните команду az vmware private-cloud enable-cmk-encryption. Получите URL-адрес хранилища ключей и сохраните его в переменной. Это значение необходимо на следующем шаге, чтобы включить CMK.

keyVaultUrl =$(az keyvault show --name <keyvault_name> --resource-group <resource_group_name> --query properties.vaultUri --output tsv)

Следующие варианты 1 и 2 демонстрируют разницу между тем, чтобы не предоставлять определенную версию ключа и предоставлять ее.

Вариант 1

В этом примере показан клиент, не предоставляющий определенную версию ключа.

az vmware private-cloud enable-cmk-encryption --private-cloud <private_cloud_name> --resource-group <resource_group_name> --enc-kv-url $keyVaultUrl --enc-kv-key-name <keyvault_key_name>

Вариант 2

Supply the key version as an argument to use CMKs with a specific key version, as previously mentioned in the Azure portal option 2. В следующем примере показан клиент, предоставляющий определенную версию ключа.

az vmware private-cloud enable-cmk-encryption --private-cloud <private_cloud_name> --resource-group <resource_group_name> --enc-kv-url $keyVaultUrl --enc-kv-key-name --enc-kv-key-version <keyvault_key_keyVersion>

Переход с управляемого клиентом ключа на управляемый корпорацией Майкрософт

Когда клиент хочет изменить ключ CMK на управляемый корпорацией Майкрософт ключ (MMK), рабочая нагрузка виртуальной машины не прерывается. To make the change from a CMK to an MMK:

В разделе Управление выберите Шифрование из частного облака Azure VMware Solution.
Выберите управляемые корпорацией Майкрософт ключи (MMK).
Выберите Сохранить.

Ограничения

Key Vault должен быть настроен как доступный для восстановления. Вам нужно:

Настройте Key Vault с параметром мягкого удаления.
Turn on Purge Protection to guard against force deletion of the secret vault, even after soft delete.

Обновление параметров CMK не работает, если срок действия ключа истек или был отменен ключ доступа Решение Azure VMware.

Диагностика и рекомендации

Ниже приведены советы по устранению некоторых распространенных проблем, которые могут возникнуть, а также рекомендации.

Случайное удаление ключа

Если вы случайно удалите ключ в хранилище ключей, частное облако не может выполнять некоторые операции изменения кластера. To avoid this scenario, we recommend that you keep soft deletes enabled in the key vault. Этот параметр гарантирует, что при удалении ключа его можно восстановить в течение 90-дневного периода в рамках стандартного хранения мягко удаленных данных. Если вы находитесь в течение 90-дневного периода, вы можете восстановить ключ для устранения проблемы.

Восстановить разрешение для хранилища ключей

Если у вас есть частное облако, которое потеряло доступ к CMK, проверьте, нуждается ли управляемая системная идентификация (MSI) в разрешениях в хранилище ключей. Уведомление об ошибке, возвращенное из Azure, может неправильно указывать, что MSI требует разрешений в хранилище ключей в качестве основной причины. Помните, что необходимые разрешения : getwrapKeyи unwrapKey. См. шаг 4 в предварительных требованиях.

Исправление ключа с истекшим сроком действия

Если вы не используете функцию автозапуска и срок действия CMK истек в Key Vault, можно изменить дату окончания срока действия ключа.

Восстановление доступа к хранилищу ключей

Ensure that the MSI is used for providing private cloud access to the key vault.

Deletion of MSI

If you accidentally delete the MSI associated with a private cloud, you need to disable the CMK. Затем выполните действия, чтобы включить CMK с самого начала.

Следующие шаги

Узнайте о резервном копировании и восстановлении Azure Key Vault.
Узнайте о восстановлении Azure Key Vault.