Włącz podwójne szyfrowanie danych w stanie spoczynku dla dysków zarządzanych

Dotyczy: ✔️ Maszyny wirtualne z systemem Linux ✔️ Maszyny wirtualne z systemem Windows

Usługa Azure Disk Storage obsługuje podwójne szyfrowanie danych w spoczynku dla dysków zarządzanych. Aby uzyskać informacje koncepcyjne na temat podwójnego szyfrowania danych spoczywających i innych typów szyfrowania dysków zarządzanych, zobacz sekcję dotyczącą Podwójnego szyfrowania danych spoczywających w artykule o szyfrowaniu dysków.

Ograniczenia

Podwójne szyfrowanie w spoczynku nie jest obecnie obsługiwane dla dysków Ultra lub dysków SSD Premium v2.

Wymagania wstępne

Jeśli zamierzasz używać Azure CLI, zainstaluj najnowszy Azure CLI i zaloguj się do konta Azure za pomocą az login.

Jeśli zamierzasz użyć modułu Azure PowerShell, zainstaluj najnowszą wersję programu Azure PowerShell i zaloguj się do konta platformy Azure przy użyciu polecenia Connect-AzAccount.

Wprowadzenie

Portal Azure

1. Zaloguj się do portalu Azure.

2. Wyszukaj i wybierz Zestawy szyfrowania dysków.

   Zrzut ekranu przedstawiający główny portal Azure, z wyróżnioną pozycją Zestawy szyfrowania dysków na pasku wyszukiwania.

3. Wybierz + Utwórz.

4. Wybierz jeden z obsługiwanych regionów.

5. W polu Typ szyfrowania wybierz opcję Podwójne szyfrowanie z kluczami zarządzanymi przez platformę i klienta.

   Uwaga

   Po utworzeniu zestawu szyfrowania dysku z określonym typem szyfrowania nie można go zmienić. Jeśli chcesz użyć innego typu szyfrowania, musisz utworzyć nowy zestaw szyfrowania dysków.

6. Wypełnij pozostałe informacje.

   Zrzut ekranu przedstawiający panel tworzenia zestawu szyfrowania dysków, regiony oraz podwójne szyfrowanie z wykorzystaniem kluczy zarządzanych przez platformę i kluczy zarządzanych przez klienta są wyróżnione.

7. W razie potrzeby wybierz usługę Azure Key Vault i klucz lub utwórz nowy.

   Uwaga

   Jeśli tworzysz wystąpienie usługi Key Vault, musisz włączyć miękkie usuwanie i ochronę przed usunięciem. Te ustawienia są obowiązkowe w przypadku używania usługi Key Vault do szyfrowania dysków zarządzanych i ochrony przed utratą danych z powodu przypadkowego usunięcia.

   Zrzut ekranu przedstawiający blok tworzenia usługi Key Vault.

8. Wybierz Utwórz.

9. Przejdź do utworzonego zestawu szyfrowania dysków i wybierz wyświetlany błąd. Spowoduje to skonfigurowanie zestawu szyfrowania dysku w taki sposób, aby działało.

   Zrzut ekranu przedstawiający wyświetlany błąd zestawu szyfrowania dysków. Tekst błędu to: Aby skojarzyć dysk, obraz lub migawkę z tym zestawem szyfrowania dysku, musisz udzielić uprawnień do magazynu kluczy.

   Powiadomienie powinno pojawić się i zakończyć się powodzeniem. Dzięki temu można używać zestawu szyfrowania dysków z magazynem kluczy.

   Zrzut ekranu przedstawiający pomyślne uprawnienie i przypisanie roli dla magazynu kluczy.

10. Przejdź do swojego dysku.

11. Wybierz Szyfrowanie.

12. W sekcji Zarządzanie kluczami wybierz jeden z kluczy z kategorii kluczy zarządzanych przez platformę i klienta.

13. wybierz Zapisz.

    Zrzut ekranu przedstawiający panel szyfrowania dla dysku zarządzanego z wyróżnionym typem szyfrowania.

Teraz włączono podwójne szyfrowanie danych spoczywających na zarządzanym dysku.

Interfejs wiersza polecenia "Azure CLI"

1. Utwórz zasób usługi Azure Key Vault i klucz szyfrowania.

   Podczas tworzenia wystąpienia usługi Key Vault należy włączyć funkcję miękkiego usuwania i ochronę przed trwałym usunięciem. Miękkie usuwanie zapewnia, że Key Vault przechowuje usunięty klucz przez określony okres przechowywania (domyślnie 90 dni). Ochrona przed przeczyszczeniem gwarantuje, że usunięty klucz nie może zostać trwale usunięty, dopóki okres przechowywania nie wygaśnie. Te ustawienia chronią cię przed utratą danych z powodu przypadkowego usunięcia. Te ustawienia są obowiązkowe w przypadku używania usługi Key Vault do szyfrowania dysków zarządzanych.

   subscriptionId=yourSubscriptionID
   rgName=yourResourceGroupName
   location=westcentralus
   keyVaultName=yourKeyVaultName
   keyName=yourKeyName
   diskEncryptionSetName=yourDiskEncryptionSetName
   diskName=yourDiskName
   
   az account set --subscription $subscriptionId
   
   az keyvault create -n $keyVaultName -g $rgName -l $location --enable-purge-protection true --enable-soft-delete true
   
   az keyvault key create --vault-name $keyVaultName -n $keyName --protection software
   

2. Pobierz kluczowy adres URL klucza utworzonego za pomocą az keyvault key show.

   az keyvault key show --name $keyName --vault-name $keyVaultName
   

3. Utwórz zestaw DiskEncryptionSet z typem szyfrowania ustawionym na EncryptionAtRestWithPlatformAndCustomerKeys. Zastąp yourKeyURL adresem URL, który otrzymałeś od az keyvault key show.

   az disk-encryption-set create --resource-group $rgName --name $diskEncryptionSetName --key-url yourKeyURL --source-vault $keyVaultName --encryption-type EncryptionAtRestWithPlatformAndCustomerKeys
   

4. Udziel zasobowi DiskEncryptionSet dostępu do magazynu kluczy.

Uwaga

Utworzenie tożsamości zestawu DiskEncryptionSet na platformie Azure w Entra ID firmy Microsoft może potrwać kilka minut. Jeśli podczas uruchamiania następującego polecenia wystąpi błąd, taki jak "Nie można odnaleźć obiektu usługi Active Directory", zaczekaj kilka minut i spróbuj ponownie.

desIdentity=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [identity.principalId] -o tsv)

az keyvault set-policy -n $keyVaultName -g $rgName --object-id $desIdentity --key-permissions wrapkey unwrapkey get

1. Utwórz wystąpienie usługi Azure Key Vault i klucza szyfrowania.

   Podczas tworzenia wystąpienia usługi Key Vault należy włączyć funkcję miękkiego usuwania i ochronę przed czyszczeniem. Miękkie usuwanie gwarantuje, że usługa Key Vault przechowuje usunięty klucz przez dany okres przechowywania (domyślnie 90 dni). Ochrona przed przeczyszczeniem gwarantuje, że usunięty klucz nie może zostać trwale usunięty, dopóki okres przechowywania nie wygaśnie. Te ustawienia chronią cię przed utratą danych z powodu przypadkowego usunięcia. Te ustawienia są obowiązkowe w przypadku używania usługi Key Vault do szyfrowania dysków zarządzanych.

   $ResourceGroupName="yourResourceGroupName"
   $LocationName="westus2"
   $keyVaultName="yourKeyVaultName"
   $keyName="yourKeyName"
   $keyDestination="Software"
   $diskEncryptionSetName="yourDiskEncryptionSetName"
   
   $keyVault = New-AzKeyVault -Name $keyVaultName -ResourceGroupName $ResourceGroupName -Location $LocationName -EnableSoftDelete -EnablePurgeProtection
   
   $key = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyName -Destination $keyDestination  
   

2. Pobierz adres URL utworzonego klucza. Będzie on potrzebny dla kolejnych poleceń. Dane wyjściowe identyfikatora z Get-AzKeyVaultKey to kluczowy adres URL.

   Get-AzKeyVaultKey -VaultName $keyVaultName -KeyName $keyName
   

3. Pobierz identyfikator zasobu dla utworzonego wystąpienia usługi Key Vault. Będzie on potrzebny dla kolejnych poleceń.

   Get-AzKeyVault -VaultName $keyVaultName
   

4. Utwórz zestaw DiskEncryptionSet z typem szyfrowania ustawionym na EncryptionAtRestWithPlatformAndCustomerKeys. Zamień yourKeyURL i yourKeyVaultURL na adresy URL, które zostały pobrane wcześniej.

   $config = New-AzDiskEncryptionSetConfig -Location $locationName -KeyUrl "yourKeyURL" -SourceVaultId 'yourKeyVaultURL' -IdentityType 'SystemAssigned'
   
   $config | New-AzDiskEncryptionSet -ResourceGroupName $ResourceGroupName -Name $diskEncryptionSetName -EncryptionType EncryptionAtRestWithPlatformAndCustomerKeys
   

5. Udziel zasobowi DiskEncryptionSet dostępu do magazynu kluczy.

   Uwaga

   Utworzenie tożsamości dla zestawu DiskEncryptionSet w usłudze Azure w Twoim Microsoft Entra ID może potrwać kilka minut. Jeśli podczas uruchamiania następującego polecenia wystąpi błąd, taki jak "Nie można odnaleźć obiektu usługi Active Directory", zaczekaj kilka minut i spróbuj ponownie.

   $des=Get-AzDiskEncryptionSet -name $diskEncryptionSetName -ResourceGroupName $ResourceGroupName
   Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ObjectId $des.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get
   

Następne kroki

• Azure PowerShell — Włącz klucze zarządzane przez klienta z wykorzystaniem szyfrowania po stronie serwera — dyski zarządzane
• Przykłady szablonów usługi Azure Resource Manager
• Włączanie kluczy zarządzanych przez klienta przy użyciu szyfrowania po stronie serwera — przykłady