你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
如果虚拟机(VM)丢失其闩锁密钥的副本,则会将磁盘迁移到新的 VM。 如果发生任何其他密钥不匹配,则 VM 无法访问 Wireserver 或实例元数据服务(IMDS)。 如果密钥丢失或主机与来宾之间不匹配,重置密钥将使 VM 恢复正常状态。
VM 所有者必须请求密钥重置。 元数据服务无法区分请求重置的对象是攻击者还是 GPA,当密钥丢失时,所以无法从 VM 内部进行重置。
重置 VM 密钥
平台始终确保 keyIncarnationId VM 模型中的密钥与存储中的实际密钥匹配。 通过递增此值,将触发密钥重置。 有关更多详细信息,请参阅 “配置 ”。
PATCH https://management.azure.com/subscriptions/{subscription_id}/resourceGroups/{resource_group_name}/providers/Microsoft.Compute/virtualMachines/{virtualMachine_Name}?api-version=2024-03-01
{
"properties": {
"securityProfile": {
"proxyAgentSettings": {
"keyIncarnationId": 10
}
}
}
}
确认重置已发生
检查在 VM 实例视图中的 AzureProxyAgentExtension 以确认已生成新密钥。 更改传播到端到端后,你会看到你的新 keyIncarnationId。
"keyLatchStatus":{
"status":"RUNNING",
"message":"Found key details from local and ready to use. - 122",
"states":{
"imdsRuleId":"/SUBSCRIPTIONS/{subscription_id}/RESOURCEGROUPS/{resource_group}/PROVIDERS/MICROSOFT.COMPUTE/GALLERIES/GALLERYXX/INVMACCESSCONTROLPROFILES/WINDOWSIMDS/VERSIONS/{data_version}",
"secureChannelState":"WireServer Enforce - IMDS Enforce",
"keyIncarnationId":"10",
"keyGuid":"e3882f98-da8d-4410-8394-06c23462781c",
"wireServerRuleId":"/SUBSCRIPTIONS/{subscription_id}/RESOURCEGROUPS/{resource_group}/PROVIDERS/MICROSOFT.COMPUTE/GALLERIES/GALLERYXX/INVMACCESSCONTROLPROFILES/WINDOWSWIRESERVER/VERSIONS/{data_version}"
}
}
注释
这些请求是幂等的。 但是,如果发出带有多个 keyIncarnationId 的多个请求,不能保证你观察到的 keyIncarnationId 的数量和顺序。 最终状态反映哪个请求使用了最大值。
重置虚拟机规模集的密钥。
密钥数据对于每个 Scale Set 中的实例都是唯一的。 密钥必须按实例重置。
我们仅支持特定虚拟机规模集 VM 实例的重置密钥。 无法在单个 API 中重置所有虚拟机规模集实例的密钥。
请参阅重置 VM 的密钥,然后将其替换为虚拟机规模集实例的资源标识符。 示例:
https://management.azure.com/subscriptions/{subscription_id}/resourceGroups/{resource_group_name}/providers/Microsoft.Compute/virtualMachineScaleSets/{vmScaleSet_name}/virtualMachines/{instance_id}?api-version=2024-03-01