Azure Disk Encryption para Linux (Microsoft.Azure.Security.AzureDiskEncryptionForLinux)
Información general
Azure Disk Encryption aprovecha el subsistema de dm-crypt de Linux para proporciona un cifrado completo de disco en determinadas distribuciones de Azure Linux. Esta solución se integra con Azure Key Vault para administrar los secretos y las claves de cifrado del disco.
Requisitos previos
Para obtener una lista completa de los requisitos previos, consulte Azure Disk Encryption para máquinas virtuales Linux, en concreto las secciones siguientes:
- Máquinas virtuales y sistemas operativos compatibles
- Requisitos adicionales de la máquina virtual
- Requisitos de red
- Requisitos de almacenamiento de la clave de cifrado
Esquema de extensión
Hay dos versiones del esquema de extensión para Azure Disk Encryption (ADE):
- v1.1: esquema recomendado de reciente aparición que no usa las propiedades de Microsoft Entra.
- v0.1: un esquema anterior que requiere propiedades de Microsoft Entra.
Para seleccionar un esquema de destino, la propiedad typeHandlerVersion debe establecerse en la versión del esquema que desee usar.
Esquema v1.1: Sin Microsoft Entra ID (recomendado)
Se recomienda usar el esquema v1.1 y no requiere propiedades de Microsoft Entra.
Nota:
El parámetro DiskFormatQuery está en desuso. Su función se ha reemplazado por la opción EncryptFormatAll en su lugar, que es la manera recomendada de dar formato a los discos de datos en el momento del cifrado.
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryptionForLinux",
"typeHandlerVersion": "1.1",
"autoUpgradeMinorVersion": true,
"settings": {
"DiskFormatQuery": "[diskFormatQuery]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[KeyVaultResourceId]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[KekVaultResourceId",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Esquema v0.1: con Microsoft Entra ID
El esquema 0.1 quiere AADClientID y AADClientSecret o AADClientCertificate.
Usar AADClientSecret:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientSecret": "[aadClientSecret]",
"Passphrase": "[passphrase]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryptionForLinux",
"typeHandlerVersion": "0.1",
"settings": {
"AADClientID": "[aadClientID]",
"DiskFormatQuery": "[diskFormatQuery]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KeyVaultURL": "[keyVaultURL]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Usar AADClientCertificate:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientCertificate": "[aadClientCertificate]",
"Passphrase": "[passphrase]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryptionForLinux",
"typeHandlerVersion": "0.1",
"settings": {
"AADClientID": "[aadClientID]",
"DiskFormatQuery": "[diskFormatQuery]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KeyVaultURL": "[keyVaultURL]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Valores de propiedad
Nota: Todos los valores de las propiedades distinguen mayúsculas de minúsculas.
| Nombre | Valor / ejemplo | Tipo de datos |
|---|---|---|
| apiVersion | 2019-07-01 | date |
| publisher | Microsoft.Azure.Security | string |
| type | AzureDiskEncryptionForLinux | string |
| typeHandlerVersion | 1.1, 0.1 | int |
| (esquema 0.1) AADClientID | xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx | guid |
| (esquema 0.1) AADClientSecret | password | string |
| (esquema 0.1) AADClientCertificate | thumbprint | string |
| (opcional) (esquema 0.1) Passphrase | password | string |
| DiskFormatQuery | {"dev_path":"","name":"","file_system":""} | Diccionario de JSON |
| EncryptionOperation | EnableEncryption, EnableEncryptionFormatAll | string |
| (opcional: RSA-OAEP predeterminado) KeyEncryptionAlgorithm | 'RSA-OAEP', 'RSA-OAEP-256', 'RSA1_5' | string |
| KeyVaultURL | url | string |
| KeyVaultResourceId | url | string |
| (opcional) KeyEncryptionKeyURL | url | string |
| (opcional) KekVaultResourceId | url | string |
| (opcional) SequenceVersion | UNIQUEIDENTIFIER | string |
| VolumeType | OS, Data, All | string |
Implementación de plantilla
Para obtener un ejemplo de una implementación de plantilla basada en un esquema de la versión 1.1, vea la plantilla de inicio rápido de Azure encrypt-running-linux-vm-without-aad.
Para ver un ejemplo de una implementación de plantilla basada en un esquema de la versión 0.1, consulte la plantilla de inicio rápido de Azure encrypt-running-linux-vm.
Advertencia
- Si ya ha usado Azure Disk Encryption con Microsoft Entra ID para cifrar una VM, debe seguir usando esta opción para cifrar la VM.
- Al cifrar los volúmenes del sistema operativo Linux, la máquina virtual se debe considerar como no disponible. Se recomienda encarecidamente evitar los inicios de sesión de SSH mientras el cifrado está en curso para evitar que se bloqueen los archivos abiertos a los que se debe tener acceso durante el proceso de cifrado. Para comprobar el progreso, use el cmdlet Get-AzVMDiskEncryptionStatus de PowerShell o el comando vm encryption show de la CLI. Este proceso puede tardar unas horas si trabaja con un volumen de sistema operativo de 30 GB; además, deberá tener en cuenta el tiempo necesario para realizar el cifrado de los volúmenes de datos. El tiempo de cifrado del volumen de datos será proporcional al tamaño y la cantidad de los volúmenes de datos; la opción
encrypt format alles más rápida que el cifrado local, pero provocará la pérdida de todos los datos en los discos. - Solo se puede deshabilitar el cifrado en máquinas virtuales Linux para volúmenes de datos. No se admite en volúmenes de datos o volúmenes del sistema operativo si el volumen del sistema operativo se ha cifrado.
Nota
Además, si el parámetro VolumeType está establecido en Todos, los discos de datos se cifrarán solo si están correctamente montados.
Solución de problemas y asistencia
Solución de problemas
Para solucionar el problema, consulte Guía de solución de problemas de Azure Disk Encryption.
Soporte técnico
Si necesita más ayuda con cualquier aspecto de este artículo, puede ponerse en contacto con los expertos de Azure en los foros de MSDN Azure o Stack Overflow.
Como alternativa, puede registrar un incidente de soporte técnico de Azure. Vaya a Soporte técnico de Azure y seleccione Obtener soporte técnico. Para obtener información sobre el uso del soporte técnico de Azure, lea las Preguntas más frecuentes del soporte técnico de Microsoft Azure.
Pasos siguientes
- Para más información acerca de las extensiones de máquina virtual, consulte Características y extensiones de las máquinas virtuales para Linux.
- Para más información sobre Azure Disk Encryption para Linux, vea Máquinas virtuales Linux.