Dubbele versleuteling-at-rest inschakelen voor beheerde schijven

Van toepassing op: ✔️ Virtuele Linux-machines ✔️ van Windows ✔️

Azure Disk Storage ondersteunt dubbele versleuteling-at-rest voor beheerde schijven. Voor conceptuele informatie over dubbele versleuteling at rest en andere typen beheerde schijfversleuteling raadpleegt u de sectie Dubbele versleuteling-at-rest van ons artikel over schijfversleuteling.

Beperkingen

Dubbele versleuteling-at-rest wordt momenteel niet ondersteund met Ultra Disks of Premium SSD v2-schijven.

Vereisten

Als u Azure CLI gaat gebruiken, installeert u de nieuwste Azure CLI en meldt u zich aan bij een Azure-account met az login.

Als u de Azure PowerShell-module gaat gebruiken, installeert u de nieuwste Versie van Azure PowerShell en meldt u zich aan bij een Azure-account met behulp van Connect-AzAccount.

Aan de slag

Azure-portal

1. Meld u aan bij het Azure-portaal.

2. Zoek en selecteer Schijfversleutelingssets.

   

3. Selecteer + Maken.

4. Selecteer een van de ondersteunde regio's.

5. Selecteer voor het versleutelingstype dubbele versleuteling met door het platform beheerde en door de klant beheerde sleutels.

   Notitie

   Wanneer u een schijfversleutelingsset met een bepaald versleutelingstype hebt gemaakt, kan deze niet worden gewijzigd. Als u een ander versleutelingstype wilt gebruiken, moet u een nieuwe schijfversleutelingsset maken.

6. Vul de resterende gegevens in.

   

7. Selecteer een Azure Key Vault en sleutel of maak indien nodig een nieuwe sleutel.

   Notitie

   Als u een Key Vault-exemplaar maakt, moet u voorlopig verwijderen en beveiliging tegen opschonen inschakelen. Deze instellingen zijn verplicht bij het gebruik van een Sleutelkluis voor het versleutelen van beheerde schijven en beschermen u tegen het verlies van gegevens vanwege onbedoelde verwijdering.

   

8. Selecteer Maken.

9. Navigeer naar de schijfversleutelingsset die u hebt gemaakt en selecteer de fout die wordt weergegeven. Hiermee configureert u de schijfversleutelingsset zodat deze werkt.

   

   Er wordt een melding weergegeven en geslaagd. Hierdoor kunt u de schijfversleutelingsset gebruiken met uw sleutelkluis.

   

10. Navigeer naar uw schijf.

11. Selecteer Versleuteling.

12. Voor sleutelbeheer selecteert u een van de sleutels onder Door platform beheerde en door de klant beheerde sleutels.

13. selecteer Opslaan.

    

U hebt nu dubbele versleuteling in rust ingeschakeld op uw beheerde schijf.

Azure-CLI

1. Maak een exemplaar van Azure Key Vault en versleutelingssleutel.

   Wanneer u het Key Vault-exemplaar maakt, moet u voorlopig verwijderen en beveiliging tegen opschonen inschakelen. Voorlopig verwijderen zorgt ervoor dat de Sleutelkluis een verwijderde sleutel bevat voor een bepaalde bewaarperiode (standaard 90 dagen). Beveiliging tegen opschonen zorgt ervoor dat een verwijderde sleutel pas definitief kan worden verwijderd als de bewaarperiode is verstreken. Met deze instellingen kunt u geen gegevens kwijtraken vanwege onbedoelde verwijdering. Deze instellingen zijn verplicht wanneer u een sleutelkluis gebruikt voor het versleutelen van beheerde schijven.

   subscriptionId=yourSubscriptionID
   rgName=yourResourceGroupName
   location=westcentralus
   keyVaultName=yourKeyVaultName
   keyName=yourKeyName
   diskEncryptionSetName=yourDiskEncryptionSetName
   diskName=yourDiskName
   
   az account set --subscription $subscriptionId
   
   az keyvault create -n $keyVaultName -g $rgName -l $location --enable-purge-protection true --enable-soft-delete true
   
   az keyvault key create --vault-name $keyVaultName -n $keyName --protection software
   

2. Haal de sleutel-URL op van de sleutel waarmee az keyvault key showu hebt gemaakt.

   az keyvault key show --name $keyName --vault-name $keyVaultName
   

3. Maak een DiskEncryptionSet met encryptionType ingesteld als EncryptionAtRestWithPlatformAndCustomerKeys. Vervang door yourKeyURL de URL van az keyvault key showwaaruit u hebt ontvangen.

   az disk-encryption-set create --resource-group $rgName --name $diskEncryptionSetName --key-url yourKeyURL --source-vault $keyVaultName --encryption-type EncryptionAtRestWithPlatformAndCustomerKeys
   

4. Verdeel de DiskEncryptionSet-resource toegang tot de sleutelkluis.

Notitie

Het kan enkele minuten duren voordat Azure de identiteit van uw DiskEncryptionSet in uw Microsoft Entra-id heeft gemaakt. Als er een foutbericht wordt weergegeven als 'Kan het Active Directory-object niet vinden' wanneer u de volgende opdracht uitvoert, wacht u enkele minuten en probeert u het opnieuw.

desIdentity=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [identity.principalId] -o tsv)

az keyvault set-policy -n $keyVaultName -g $rgName --object-id $desIdentity --key-permissions wrapkey unwrapkey get

Azure PowerShell

1. Maak een exemplaar van Azure Key Vault en versleutelingssleutel.

   Wanneer u het Key Vault-exemplaar maakt, moet u voorlopig verwijderen en beveiliging tegen opschonen inschakelen. Voorlopig verwijderen zorgt ervoor dat de Sleutelkluis een verwijderde sleutel bevat voor een bepaalde bewaarperiode (standaard 90 dagen). Beveiliging tegen opschonen zorgt ervoor dat een verwijderde sleutel pas definitief kan worden verwijderd als de bewaarperiode is verstreken. Met deze instellingen kunt u geen gegevens kwijtraken vanwege onbedoelde verwijdering. Deze instellingen zijn verplicht wanneer u een sleutelkluis gebruikt voor het versleutelen van beheerde schijven.

   $ResourceGroupName="yourResourceGroupName"
   $LocationName="westus2"
   $keyVaultName="yourKeyVaultName"
   $keyName="yourKeyName"
   $keyDestination="Software"
   $diskEncryptionSetName="yourDiskEncryptionSetName"
   
   $keyVault = New-AzKeyVault -Name $keyVaultName -ResourceGroupName $ResourceGroupName -Location $LocationName -EnableSoftDelete -EnablePurgeProtection
   
   $key = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyName -Destination $keyDestination  
   

2. Haal de URL op voor de sleutel die u hebt gemaakt. U hebt deze nodig voor volgende opdrachten. De id-uitvoer van Get-AzKeyVaultKey is de sleutel-URL.

   Get-AzKeyVaultKey -VaultName $keyVaultName -KeyName $keyName
   

3. Haal de resource-id op voor het Key Vault-exemplaar dat u hebt gemaakt. U hebt deze nodig voor volgende opdrachten.

   Get-AzKeyVault -VaultName $keyVaultName
   

4. Maak een DiskEncryptionSet met encryptionType ingesteld als EncryptionAtRestWithPlatformAndCustomerKeys. Vervang en yourKeyVaultURL door yourKeyURL de URL's die u eerder hebt opgehaald.

   $config = New-AzDiskEncryptionSetConfig -Location $locationName -KeyUrl "yourKeyURL" -SourceVaultId 'yourKeyVaultURL' -IdentityType 'SystemAssigned'
   
   $config | New-AzDiskEncryptionSet -ResourceGroupName $ResourceGroupName -Name $diskEncryptionSetName -EncryptionType EncryptionAtRestWithPlatformAndCustomerKeys
   

5. Verdeel de DiskEncryptionSet-resource toegang tot de sleutelkluis.

   Notitie

   Het kan enkele minuten duren voordat Azure de identiteit van uw DiskEncryptionSet in uw Microsoft Entra-id heeft gemaakt. Als er een foutbericht wordt weergegeven als 'Kan het Active Directory-object niet vinden' wanneer u de volgende opdracht uitvoert, wacht u enkele minuten en probeert u het opnieuw.

   $des=Get-AzDiskEncryptionSet -name $diskEncryptionSetName -ResourceGroupName $ResourceGroupName
   Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ObjectId $des.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get
   

Volgende stappen

• Azure PowerShell - Door de klant beheerde sleutels inschakelen met versleuteling aan de serverzijde - beheerde schijven
• Voorbeelden van Azure Resource Manager-sjablonen
• Door de klant beheerde sleutels inschakelen met versleuteling aan de serverzijde - Voorbeelden