就目前来说,无论是我们创建虚拟机时的系统卷/系统磁盘,还是单独创建一个数据磁盘时,都必须要求选择一个密钥进行加密了
也就是说,以后Azure上的每一块磁盘,都是有加密的,在密钥选择的时候,有如下3种选择
1、平台管理的密钥(PMK)
2、客户管理的密钥(CMK)
3、平台托管密钥和客户管理的密钥
关于上面的密钥,这里单独说明一下
客户管理的密钥(CMK)是由客户在 Azure Key Vault 中生成、存储、管理的密钥加密密钥,这个是需要先创建磁盘加密集(磁盘加密集中会指明使用那个key)
平台托管密钥和客户管理的密钥,代表的是,双重加密是 2 层加密: 具有平台管理的密钥的基础结构加密层,以及具有磁盘加密集定义的客户管理的密钥的磁盘加密层。
今天笔者主要讲一下创建磁盘时,如何选择我们磁盘加密集中的密钥
关于密码加密集,可以参考之前的文章 , https://www.cnblogs.com/5201351/p/17672868.html
1、如果是创建数据磁盘时,要求磁盘的location与磁盘加密集(还有密钥保管库)的位置保持一致,如笔者这里都是在 (Asia Pacific) Japan East
2、在加密处,选择上的我们此前创建的磁盘加密集,即可,点下拉也是可以看到此磁盘加密集,包含-引用的具体的密钥保管库和密钥的,最后创建即可
另外:如果是磁盘虚拟机或者数据磁盘,已经创建好了,在Azure中也是可以对磁盘加密使用的密钥进行更改的
点进具体的磁盘,在【设置】的【加密】菜单下,也是通过下接进行选择更行,当然这个的要求是:只有在磁盘未附加或解除分配管理虚拟机时,才能对加密设置进行更改。
在磁盘加密,密钥更换这一点,Azure确实要比AWS方便快速得多,在AWS如果要更换磁盘的KMS,那么是需要先对原磁盘创建快照,然后再根据快照创建磁盘时,才能指定新的KMS
尊重别人的劳动成果 转载请务必注明出处:https://www.cnblogs.com/5201351/p/17673573.html