关于Azure-虚拟机-磁盘-数据磁盘-创建时-使用密钥加密-和更换密钥的方法

就目前来说，无论是我们创建虚拟机时的系统卷/系统磁盘，还是单独创建一个数据磁盘时，都必须要求选择一个密钥进行加密了

也就是说，以后Azure上的每一块磁盘，都是有加密的，在密钥选择的时候，有如下3种选择

1、平台管理的密钥（PMK）
2、客户管理的密钥（CMK）
3、平台托管密钥和客户管理的密钥

关于上面的密钥，这里单独说明一下

客户管理的密钥(CMK)是由客户在 Azure Key Vault 中生成、存储、管理的密钥加密密钥，这个是需要先创建磁盘加密集（磁盘加密集中会指明使用那个key）

平台托管密钥和客户管理的密钥，代表的是，双重加密是 2 层加密: 具有平台管理的密钥的基础结构加密层，以及具有磁盘加密集定义的客户管理的密钥的磁盘加密层。

 

今天笔者主要讲一下创建磁盘时，如何选择我们磁盘加密集中的密钥

关于密码加密集，可以参考之前的文章 ， https://www.cnblogs.com/5201351/p/17672868.html

 

1、如果是创建数据磁盘时，要求磁盘的location与磁盘加密集(还有密钥保管库)的位置保持一致，如笔者这里都是在 (Asia Pacific) Japan East

2、在加密处，选择上的我们此前创建的磁盘加密集，即可，点下拉也是可以看到此磁盘加密集，包含-引用的具体的密钥保管库和密钥的，最后创建即可

 

另外：如果是磁盘虚拟机或者数据磁盘，已经创建好了，在Azure中也是可以对磁盘加密使用的密钥进行更改的

点进具体的磁盘，在【设置】的【加密】菜单下，也是通过下接进行选择更行，当然这个的要求是：只有在磁盘未附加或解除分配管理虚拟机时，才能对加密设置进行更改。

在磁盘加密，密钥更换这一点，Azure确实要比AWS方便快速得多，在AWS如果要更换磁盘的KMS，那么是需要先对原磁盘创建快照，然后再根据快照创建磁盘时，才能指定新的KMS

 

 

 

尊重别人的劳动成果 转载请务必注明出处：https://www.cnblogs.com/5201351/p/17673573.html