今天，我们宣布了针对Azure托管磁盘的带有客户托管密钥（CMK）的服务器端加密（SSE）的全面可用性。Azure客户已经从SSE中受益，默认情况下已启用托管磁盘的平台托管密钥。SSE with CMK通过让您控制加密密钥来满足您的法规遵从性需求，从而改进了平台托管密钥。如今，客户还可以使用Azure磁盘加密，它利用Windows BitLocker功能和Linux dm crypt功能在来宾虚拟机（VM）中使用CMK加密托管磁盘。SSE with CMK通过加密Azure存储服务中的数据，使您能够为VM使用任何操作系统类型和映像（包括自定义映像），从而改进了Azure磁盘加密。SSE with CMK与Azure Key Vault集成，后者为硬件安全模块支持的密钥提供高可用性和可扩展的安全存储。您可以将自己的密钥（BYOK）带到密钥库中，也可以在密钥库中生成新密钥。关于密钥管理托管磁盘使用256位高级加密标准（AES）加密透明地加密和解密，AES是可用的最强的分组密码之一。存储服务使用信封加密以完全透明的方式处理加密和解密。它使用基于AES的256位数据加密密钥加密数据，而这些密钥又使用存储在密钥库中的密钥进行保护。存储服务生成数据加密密钥，并使用CMK使用RSA加密对其进行加密。信封加密允许您根据法规遵从性策略定期旋转（更改）密钥，而不会影响您的虚拟机。当您旋转密钥时，存储服务使用新的CMK重新加密数据加密密钥。完全控制你的钥匙您可以完全控制钥匙库中的钥匙。托管磁盘使用Azure Active Directory（Azure AD）中系统分配的托管标识访问密钥保管库中的密钥。在密钥保管库中具有所需权限的管理员必须首先授予对密钥保管库中受管磁盘的访问权限，才能使用密钥对数据加密密钥进行加密和解密。您可以通过禁用密钥或取消密钥的访问控制来阻止受管磁盘访问密钥。这样做对于连接到正在运行的vm的磁盘，将导致VMs失败。此外，您可以通过密钥保管库监视来跟踪密钥使用情况，以确保只有托管磁盘或其他受信任的Azure服务访问您的密钥。SSE与CMK的可用性SSE with CMK可用于标准HDD、标准SSD和高级SSD受管磁盘，这些磁盘可以连接到Azure虚拟机和VM规模集。超级磁盘存储支持将另行宣布。SSE with CMK现在已在所有公共和Azure政府区域启用，并将在几周后在德国（主权）和中国地区提供。你可以使用Azure Backup来备份你的虚拟机，使用带有CMK的SSE加密的受管磁盘。此外，您还可以选择使用密钥保险库中存储的密钥（而不是默认情况下可用的平台管理密钥）加密恢复服务保险库中的备份数据。有关使用CMK加密备份的详细信息，请参阅文档。您可以使用Azure Site Recovery将已使用SSE with CMK加密的受管磁盘的Azure虚拟机复制到其他Azure区域以进行灾难恢复。您还可以将本地虚拟机复制到Azure中使用SSE和CMK加密的受管磁盘。了解有关使用使用带有CMK的SSE加密的受管磁盘复制虚拟机的更多信息。开始要对受管磁盘启用CMK加密，必须首先创建名为DiskEncryptionSet的新资源类型的实例，然后授予实例对密钥保险库的访问权限。DiskEncryptionSet表示密钥保险库中的密钥，并允许您重用同一密钥对具有相同密钥的多个磁盘、快照和映像进行加密。让我们看一个创建DiskEncryptionSet实例的示例：1通过在密钥保管库中指定密钥来创建DiskEncryptionSet的实例。keyVaultId=$（az keyvault show--name yourKeyVaultName--query[id]-o tsv）keyVaultKeyUrl=$（az keyvault key show--vault名称yourKeyVaultName--name yourKeyName--query[钥匙。孩子]-o tsv）az磁盘加密集create-n yourDiskEncryptionSetName-l WestCentralUS-g yourResourceGroupName--源保险库$keyVaultId--密钥url$keyVaultKeyUrl2授予实例访问密钥保险库的权限。创建实例时，系统自动在Azure AD中创建系统分配的托管标识，并将标识与实例关联。标识必须能够访问密钥保险库才能执行所需的操作，如wrapkey、unwrapkey和get。desIdentity=$（az disk encryption set show-n yourDiskEncryptionSetName-g yourResourceGroupName--query[身份.principalId]-o tsv）az keyvault set policy-n yourKeyVaultName-g yoursourcegroupname--对象id$desIdentity--密钥权限wrapkey unwrapkey getaz角色分配创建--分配者$desIdentity--角色读取器--范围$keyVaultId您可以通过将磁盘、快照和映像与DiskEncryptionSet实例关联来启用对它们的加密。可以与同一DiskEncryptionSet关联的资源数量没有限制。让我们看一个为现有磁盘启用的示例：1要对连接到VM的磁盘启用加密，必须停止（取消分配）虚拟机。az vm stop--资源组MyResourceGroup--名称MyVm2通过将连接的磁盘与DiskEncryptionSet的实例关联来启用对该磁盘的加密。diskEncryptionSetId=$（az磁盘加密集show-n yourDiskEncryptionSetName-g yourResourceGroupName--query[id]-o tsv）az disk update-n yourDiskEncryptionSetName-g yourResourceGroupName--加密类型EncryptionTrestWithCustomerKey--磁盘加密集$diskEncryptionSetId三。启动虚拟机。az vm start-g MyResourceGroup-n MyVm有关使用CMK为受管磁盘启用服务器端加密的详细说明，请参阅受管磁盘文档。将您的反馈发送给我们我们期待听到您对上海证交所CMK的反馈。请给我们发邮件。