于2020年7月17日更新：现在可以使用客户管理的密钥进行服务器端加密。有关更多信息，请参阅博客文章，宣布使用客户托管密钥对Azure托管磁盘进行服务器端加密。今天，我们将为Azure托管磁盘介绍带有客户托管密钥（CMK）的服务器端加密（SSE）预览。Azure客户已经从服务器端加密中获益，默认情况下，Azure托管磁盘的平台托管密钥（PMK）已启用。客户还可以从Azure磁盘加密（ADE）中获益，该加密利用Windows的BitLocker功能和Linux的DM Crypt功能，在来宾虚拟机中使用客户托管密钥加密托管磁盘。使用客户管理密钥的服务器端加密通过让您控制加密密钥来满足您的法规遵从性需求，改进了平台托管密钥。它通过加密存储服务中的数据，使您能够为虚拟机使用任何操作系统类型和映像，从而改进了Azure磁盘加密。带有客户托管密钥的服务器端加密与Azure密钥保险库（AKV）集成，后者为硬件安全模块（HSM）支持的RSA加密密钥提供高度可用、可扩展的安全存储。您可以将您的RSA密钥导入Azure密钥保管库，也可以在Azure密钥保管库中生成新的RSA密钥。Azure存储使用信封加密以完全透明的方式处理加密和解密。它使用基于高级加密标准（AES）256的数据加密密钥加密数据，而数据加密密钥又使用存储在Azure密钥库中的密钥进行保护。您拥有对密钥的完全控制权，并且Azure托管磁盘使用Azure Active Directory中系统分配的托管标识来访问Azure密钥保险库中的密钥。在Azure密钥保管库中具有所需权限的用户必须首先授予权限，然后Azure受管磁盘才能访问密钥。您可以通过禁用密钥或取消密钥的访问控制来阻止Azure托管磁盘访问您的密钥。此外，您可以通过Azure密钥保险库监控跟踪密钥使用情况，以确保只有Azure托管磁盘或其他受信任的Azure服务访问您的密钥。要为Azure托管磁盘启用客户托管密钥，必须首先创建名为DiskEncryptionSet的新资源类型的实例，该类型表示客户管理的密钥。您必须将磁盘、快照和映像与DiskEncryptionSet相关联，才能使用客户管理的密钥对它们进行加密。可以与同一DiskEncryptionSet关联的资源数量没有限制。可利用性服务器端加密客户管理的密钥可用于标准HDD、标准SSD和高级SSD受管磁盘。现在，您可以通过Azure Compute Rest API 2019-07-01版在美国中西部地区执行以下操作：从Azure Marketplace映像创建虚拟机，操作系统磁盘使用客户管理的密钥进行服务器端加密。使用客户管理的密钥创建一个用服务器端加密加密的自定义映像。从自定义映像创建一个虚拟机，操作系统磁盘使用客户管理的密钥进行服务器端加密。创建使用客户管理密钥的服务器端加密加密的数据磁盘。使用客户管理的密钥创建服务器端加密加密的快照。我们将很快添加对Azure SDK和其他区域的支持。入门请发电子邮件AzureDisks@microsoft.com以访问预览。请参阅托管磁盘的"使用客户托管密钥进行服务器端加密"预览文档，以了解如何执行以下操作：从Azure marketplace映像创建一个虚拟机，其中磁盘使用客户管理的密钥通过服务器端加密进行加密从自定义映像创建一个虚拟机，其中磁盘使用客户管理的密钥通过服务器端加密进行加密创建一个空的托管磁盘，该磁盘使用客户托管密钥进行服务器端加密，然后将其连接到虚拟机从虚拟机中创建一个新的自定义映像，该映像使用客户管理的密钥使用服务器端加密进行加密，磁盘使用客户管理的密钥进行服务器端加密。