Freigeben über


Erstellen einer verschlüsselten Imageversion mit kundenseitig verwalteten Schlüsseln

Gilt für: ✔️ Linux-VMs ✔️ Windows-VMs ✔️ Flexible Skalierungsgruppen ✔️ Einheitliche Skalierungsgruppen

Images in einer Azure Compute Gallery (früher als Shared Image Gallery bezeichnet) werden als Momentaufnahmen gespeichert. Diese Images sind automatisch durch serverseitige 256-Bit-Verschlüsselung AES-Verschlüsselung verschlüsselt. Die serverseitige Verschlüsselung ist ebenfalls mit FIPS 140-2 konform. Weitere Informationen zu den kryptografischen Modulen, die verwalteten Azure-Datenträgern zugrunde liegen, finden Sie unter Kryptografie-API: Die nächste Generation.

Sie können von der Plattform verwaltete Schlüssel oder eigene Schlüssel für die Verschlüsselung Ihrer Images verwenden. Sie können diese beiden Features auch zur Mehrfachverschlüsselung verwenden. Wenn Sie die Verschlüsselung mit eigenen Schlüsseln verwalten möchten, können Sie einen kundenseitig verwalteten Schlüssel angeben, der zum Verschlüsseln und Entschlüsseln aller Datenträger in Ihren Images verwendet werden soll.

Die serverseitige Verschlüsselung über kundenseitig verwaltete Schlüssel verwendet Azure Key Vault. Sie können entweder Ihre RSA-Schlüssel in den Schlüsseltresor importieren oder neue RSA-Schlüssel in Azure Key Vault generieren.

Voraussetzungen

In diesem Artikel wird vorausgesetzt, dass Sie bereits über einen Verschlüsselungssatz für Datenträger in den Regionen verfügen, in die Sie Ihr Image replizieren möchten:

  • Wenn Sie nur einen kundenseitig verwalteten Schlüssel verwenden möchten, finden Sie weitere Informationen in den Artikeln zum Aktivieren kundenseitig verwalteter Schlüssel mit serverseitiger Verschlüsselung über das Azure-Portal oder mithilfe von PowerShell.

  • Wenn Sie sowohl plattformseitig als auch kundenseitig verwaltete Schlüssel (für die doppelte Verschlüsselung) verwenden möchten, lesen Sie die Artikel zum Aktivieren der doppelten Verschlüsselung für ruhende Daten über das Azure-Portal oder mithilfe von PowerShell.

    Wichtig

    Für den Zugriff auf das Azure-Portal müssen Sie den Link https://aka.ms/diskencryptionupdates verwenden. Die doppelte Verschlüsselung im Ruhezustand ist derzeit im öffentlichen Azure-Portal ohne Verwendung des Links nicht sichtbar.

Einschränkungen

Wenn Sie kundenseitig verwaltete Schlüssel zur Verschlüsselung von Images in einer Azure Compute Gallery verwenden, gelten folgende Einschränkungen:

  • Verschlüsselungsschlüsselsätze müssen sich in demselben Abonnement wie Ihr Image befinden.

  • Da Verschlüsselungsschlüsselsätze regionale Ressourcen sind, erfordert jede Region einen anderen Verschlüsselungsschlüsselsatz.

  • Sobald Sie eigene Schlüssel zum Verschlüsseln eines Images verwenden, können Sie nicht zur Verwendung von plattformseitig verwalteten Schlüsseln zum Verschlüsseln dieser Images zurückkehren.

  • Die mit CMK verschlüsselte Quelle einer ACG-Image-Version kann nicht als Quelle für die Erstellung einer anderen ACG-Image-Version verwendet werden.

  • Einige der Features wie das Replizieren eines SSE+CMK-Images, das Erstellen eines Images aus SSE+CMK-verschlüsselten Datenträgern usw. werden über das Portal nicht unterstützt.

Erstellen des Image

Um einen Datenträgerverschlüsselungssatz für eine Imageversion anzugeben, verwenden Sie New-AzGalleryImageDefinition mit dem Parameter -TargetRegion:

$sourceId = <ID of the image version source>
$osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet'}
$dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet1';Lun=1}
$dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet2';Lun=2}
$dataDiskImageEncryptions = @($dataDiskImageEncryption1,$dataDiskImageEncryption2)
$encryption1 = @{OSDiskImage=$osDiskImageEncryption;DataDiskImages=$dataDiskImageEncryptions}
$region1 = @{Name='West US';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption1}
$eastUS2osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet'}
$eastUS2dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet1';Lun=1}
$eastUS2dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet2';Lun=2}
$eastUS2DataDiskImageEncryptions = @($eastUS2dataDiskImageEncryption1,$eastUS2dataDiskImageEncryption2)
$encryption2 = @{OSDiskImage=$eastUS2osDiskImageEncryption;DataDiskImages=$eastUS2DataDiskImageEncryptions}
$region2 = @{Name='East US 2';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption2}
$targetRegion = @($region1, $region2)

Erstellen des Image

New-AzGalleryImageVersion `
   -ResourceGroupName $rgname `
   -GalleryName $galleryName `
   -GalleryImageDefinitionName $imageDefinitionName `
   -Name $versionName -Location $location `
   -SourceImageId $sourceId `
   -ReplicaCount 2 `
   -StorageAccountType Standard_LRS `
   -PublishingProfileEndOfLifeDate '2020-12-01' `
   -TargetRegion $targetRegion

Erstellen des virtuellen Computers

Sie können einen virtuellen Computer (VM) aus einer Azure Compute Gallery erstellen und kundenseitig verwaltete Schlüssel zum Verschlüsseln der Datenträger verwenden. Die Syntax ist dieselbe wie beim Erstellen einer generalisierten oder spezialisierten VM aus einem Image. Verwenden Sie den erweiterten Parametersatz, und fügen Sie Set-AzVMOSDisk -Name $($vmName +"_OSDisk") -DiskEncryptionSetId $diskEncryptionSet.Id -CreateOption FromImage der VM-Konfiguration hinzu.

Bei Datenträgern für Daten fügen Sie den Parameter -DiskEncryptionSetId $setID hinzu, wenn Sie Add-AzVMDataDisk verwenden.

Nächste Schritte

Erfahren Sie mehr über die serverseitige Datenträgerverschlüsselung.

Weitere Informationen zur Bereitstellung von Erwerbsplaninformationen finden Sie unter Bereitstellen von Azure Marketplace-Erwerbsplaninformationen beim Erstellen von Images.