Uso de Azure Portal para habilitar el cifrado del lado servidor con claves administradas por el cliente para los discos administrados

  • Instrucciones

Se aplica a: ✔️ Máquinas virtuales Linux ✔️ Máquinas virtuales Windows ✔️

Azure Disk Storage le permite administrar sus propias claves al usar el cifrado del lado servidor (SSE) para discos administrados, si así lo decide. Para información conceptual sobre SSE con claves administradas por el cliente, así como otros tipos de cifrado de discos administrados, consulte la sección Claves administradas por el cliente de nuestro artículo sobre el cifrado de discos Claves administradas por el cliente.

Requisitos previos

None

Restricciones

Por ahora, las claves administradas por el cliente tienen las siguientes restricciones:

  • Si esta característica está habilitada para un disco con instantáneas incrementales, no se puede deshabilitar en ese disco ni en sus instantáneas. Para encontrar una solución alternativa, copie todos los datos en un disco administrado totalmente diferente que no use claves administradas por el cliente. Puede hacerlo con la CLI de Azure o el módulo de Azure PowerShell.
  • Solo se admiten software y claves RSA de HSM con un tamaño de 2048 bits, 3072 bits y 4096 bits, ninguna otra clave o tamaño.
    • Las claves de HSM requieren el nivel premium de los almacenes Azure Key Vault.
  • Solo para Ultra Disks y discos SSD prémium v2:
    • Las instantáneas creadas a partir de discos que están cifrados con cifrado del lado servidor y claves administradas por el cliente deben cifrarse con las mismas claves administradas por el cliente.
    • Las identidades administradas asignadas por el usuario no se admiten para Ultra Disks y discos SSD prémium v2 cifrados con claves administradas por el cliente.
    • Actualmente no se admite en Azure Government o Azure China.
  • La mayoría de los recursos relacionados con las claves administradas por el cliente (conjuntos de cifrado de disco, máquinas virtuales, discos e instantáneas) deben estar en la misma suscripción y región.
    • Las instancias de Azure Key Vault se puede usar desde otra suscripción, pero deben encontrarse en la misma región que el conjunto de cifrado de disco. Como versión preliminar, puede usar instancias de Azure Key Vault en distintos inquilinos de Microsoft Entra.
  • Los discos cifrados con claves administradas por el cliente solo pueden moverse a otro grupo de recursos si la máquina virtual a la que están conectados está desasignada.
  • Los discos, instantáneas e imágenes cifrados con claves administradas por el cliente no se pueden trasladar entre suscripciones.
  • Los discos administrados cifrados actual o anteriormente mediante Azure Disk Encryption no se pueden cifrar mediante claves administradas por el cliente.
  • Solo puede crear hasta 5000 conjuntos de cifrado de disco por región y por suscripción.
  • Para obtener información sobre el uso de claves administradas por el cliente con galerías de imágenes compartidas, consulte Versión preliminar: uso de claves administradas por el cliente para el cifrado de imágenes.

En las secciones siguientes se explica cómo habilitar y usar las claves administradas por el cliente para discos administrados:

Para configurar claves administradas por el cliente para los discos, es necesario crear recursos en un orden determinado, si lo va a hacer por primera vez. En primer lugar, tendrá que crear y configurar una instancia de Azure Key Vault.

Configuración de Azure Key Vault

  1. Inicie sesión en Azure Portal.

  2. Busque y seleccione Key Vaults.

    Captura de pantalla de Azure Portal con el cuadro de diálogo de búsqueda expandido.

    Importante

    El conjunto de cifrado de disco, la VM, los discos y las instantáneas deben estar en la misma región y suscripción para que la implementación se realice correctamente. Las instancias de Azure Key Vault se puede usar desde otra suscripción, pero deben encontrarse en la misma región e inquilino que el conjunto de cifrado de disco.

  3. Seleccione +Crear para crear una instancia de Key Vault.

  4. Cree un nuevo grupo de recursos.

  5. Escriba un nombre de almacén de claves, seleccione una región y seleccione un plan de tarifa.

    Nota:

    Al crear la instancia de Key Vault, debe habilitar la eliminación temporal y la protección de purgas. La eliminación temporal garantiza que la instancia de Key Vault conserva una clave eliminada durante un período de retención determinado (valor predeterminado de 90 días). La protección de purgas garantiza que una clave eliminada no se puede eliminar permanentemente hasta que transcurra el período de retención. Esta configuración le protege contra la pérdida de datos debido a la eliminación accidental. Estos valores son obligatorios cuando se usa una instancia de Key Vault para cifrar discos administrados.

  6. Seleccione Revisar y crear, compruebe las opciones y, a continuación, seleccione Crear.

    Captura de pantalla de la experiencia de creación de Azure Key Vault, que muestra los valores concretos que ha creado.

  7. Una vez que el almacén de claves termine de implementarse, selecciónelo.

  8. Selecciona Claves en Objetos.

  9. Seleccione Generar o importar.

    Captura de pantalla del panel de configuración de recursos de Key Vault, que muestra el botón Generar o importar dentro de la configuración.

  10. Deje Tipo de clave establecido en RSA y Tamaño de la clave RSA establecido en 2048.

  11. Rellene las selecciones restantes como desee y, a continuación, seleccione Crear.

    Captura de pantalla del panel

Adición de un rol RBAC de Azure

Ahora que ha creado el almacén de Azure Key Vault y una clave, debe agregar un rol RBAC de Azure para poder usar la instancia de Azure Key Vault con el conjunto de cifrado de disco.

  1. Seleccione Control de acceso (IAM) y agregue un rol.
  2. Agregue los roles Administrador de Key Vault, Propietario o Colaborador.

Configuración del conjunto de cifrado de disco

  1. Busque conjuntos de cifrado de disco y seleccione la opción.

  2. En el panel Conjuntos de cifrado de disco, seleccione +Crear.

  3. Seleccione el grupo de recursos, asigne un nombre al conjunto de cifrado y seleccione la misma región que el almacén de claves.

  4. En Tipo de cifrado, seleccione Cifrado en reposo con una clave administrada por el cliente.

    Nota

    Una vez que cree un conjunto de cifrado de disco con un tipo de cifrado en particular, no se puede cambiar. Si desea usar otro tipo de cifrado, debe crear un nuevo conjunto de cifrado de disco.

  5. Asegúrese de elegir la opción Seleccionar el almacén de claves y la clave de Azure.

  6. Seleccione el almacén de claves y la clave que creó anteriormente, así como la versión.

  7. Si quiere habilitar la rotación automática de claves administradas por el cliente, seleccione Auto key rotation (Rotación automática de claves).

  8. Seleccione Revisar y crear y, a continuación, Crear.

    Captura de pantalla del panel de creación de cifrado de disco. Muestra la suscripción, el grupo de recursos, el nombre del conjunto de cifrado de disco, la región y el selector de claves y de almacenes de claves.

  9. Una vez implementado, vaya al conjunto de cifrado de disco y seleccione la alerta mostrada.

    Captura de pantalla del usuario seleccionando la alerta

  10. Esto concederá al almacén de claves permisos para el conjunto de cifrado de disco.

    Captura de pantalla de confirmación de que se han concedido permisos.

Implementación de una máquina virtual

Ahora que ha creado y configurado el almacén de claves y el conjunto de cifrado de disco, puede implementar una VM mediante el cifrado. El proceso de implementación de VM es similar al proceso de implementación estándar, las únicas diferencias son que debe implementar la VM en la misma región que los demás recursos y optar por usar una clave administrada por el cliente.

  1. Busque Máquinas virtuales y seleccione +Crear para crear una máquina virtual.

  2. En la pestaña Básico, seleccione la misma región que la del conjunto de cifrado de disco y Azure Key Vault.

  3. Rellene los demás valores del panel Básico como prefiera.

    Captura de pantalla de la experiencia de creación de la máquina virtual, con el valor de región resaltado.

  4. En el panel Discos, en Administración de claves, seleccione el conjunto de cifrado de disco, el almacén de claves y la clave en la lista desplegable.

  5. Realice las selecciones restantes como desee.

    Captura de pantalla de la experiencia de creación de máquinas virtuales, el panel discos y la clave administrada por el cliente seleccionada.

Habilitación en un disco existente

Precaución

Para habilitar el cifrado de disco en los discos conectados a una máquina virtual, es necesario detener esta.

  1. Vaya a una VM que esté en la misma región que uno de los conjuntos de cifrado de disco.

  2. Abra la VM y seleccione Detener.

Captura de pantalla de la superposición principal de la máquina virtual de ejemplo, con el botón Detener resaltado.

  1. Una vez que se ha detenido la máquina virtual, seleccione Discos y, después, elija el disco que quiere cifrar.

Captura de pantalla de la máquina virtual de ejemplo, con el panel Discos abierto. El disco del sistema operativo está resaltado, como un disco de ejemplo para que lo seleccione.

  1. Seleccione Cifrado y, en Administración de claves, en Clave administrada por el cliente, seleccione el almacén de claves y la clave en la lista desplegable.

  2. Seleccione Guardar.

Captura de pantalla del disco del sistema operativo de ejemplo, el panel de cifrado está abierto, está seleccionado el cifrado en reposo con una clave administrada por el cliente, además de la instancia de Azure Key Vault de ejemplo.

  1. Repita este proceso para todos los demás discos conectados a la VM que desea cifrar.

  2. Cuando los discos terminen de cambiar a las claves administradas por el cliente, si no hay ningún otro disco conectado que quiera cifrar, inicie la máquina virtual.

Importante

Las claves administradas por el cliente dependen de identidades administradas para los recursos de Azure, una característica de Microsoft Entra ID. Al configurar claves administradas por el cliente, se asigna automáticamente una identidad administrada a los recursos en segundo plano. Si posteriormente mueve la suscripción, el grupo de recursos o el disco administrado de un directorio de Microsoft Entra a otro, la identidad administrada asociada a los discos administrados no se transfiere al nuevo inquilino, por lo que es posible que las claves administradas por el cliente dejen de funcionar. Para más información, consulte Transferencia de una suscripción entre directorios de Microsoft Entra.

Habilitación de la rotación automática de claves en un conjunto de cifrado de disco existente

  1. Vaya al conjunto de cifrado de disco en el que desee habilitar la rotación automática de claves.

  2. En Configuración, seleccione Clave.

  3. Seleccione Rotación automática de claves y, a continuación, Guardar.

Contenido relacionado