Обновление ключей с истекающим сроком действия - шифрование диска ОС Azure

Сегодня утром, когда я мечтал за своим столом, что-то произошло со мной, и я еще не мог найти ответ. Так что я надеюсь, что кто-то может пролить на меня свет или просто хорошо обсудить это.

Позвольте мне установить сцену. Недавно я начал экспериментировать с шифрованием дисков, используя портал Azure и предлагаемую ими службу Key Vault. Это имело гораздо больше смысла, чем старый метод с использованием приложений AD. Итак, я создал свое новое хранилище ключей в группе ресурсов, создал внутри него ключ и настроил криптографические операции так, как я считал нужным. Затем я собрал сценарий, запустил AzurePowerShell CLI, и через несколько минут мои диски на виртуальной машине (MS Server 2012r2) были зашифрованы. Так что я проделал это для остальной части моей тестовой среды, просто чтобы проверить, действительно ли она работает. Здесь нет первой случайности!

Затем мне пришло в голову, что когда / если истечет срок действия ключа, что будет дальше? Теперь очевидно, что в тестовой среде мне все равно, я могу все сломать, если это произойдет. Однако, разговаривая с клиентами, у которых есть производственные среды, которые часто спрашивают о безопасности машин, работающих в Azure, я хотел бы знать, насколько просто обновить эти ключи. Многие люди, с которыми я говорю, установили политику в отношении смены ключей, поэтому им не нужен ключ, срок действия которого не истечет еще 200 лет. Их безопасность ни на секунду не поддержала бы эту идею.

Кто-нибудь знает, как лучше всего обновить ключи? Моя первоначальная мысль, которой, конечно, не может быть, заключалась в том, чтобы расшифровать диск до истечения срока его действия. А затем повторно запустить скрипт, но с новым сгенерированным ключом, чтобы зашифровать его еще раз? Это кажется таким долгим, но, может быть, это единственный способ?

У кого-нибудь еще была такая же мысль или приходилось выполнять обновление ключа с помощью Azure Key Vault?