Udostępnij za pośrednictwem


Tworzenie zaszyfrowanej wersji obrazu przy użyciu kluczy zarządzanych przez klienta

Dotyczy: ✔️ Maszyny wirtualne z systemem Linux Maszyny ✔️ wirtualne z systemem Windows ✔️ — elastyczne zestawy ✔️ skalowania

Obrazy w galerii obliczeń platformy Azure (wcześniej znanej jako galeria obrazów udostępnionych) są przechowywane jako migawki. Te obrazy są automatycznie szyfrowane za pośrednictwem 256-bitowego szyfrowania AES po stronie serwera. Szyfrowanie po stronie serwera jest również zgodne ze standardem FIPS 140-2. Aby uzyskać więcej informacji na temat modułów kryptograficznych bazowych dysków zarządzanych platformy Azure, zobacz Cryptography API: Next Generation (Interfejs API kryptografii: następna generacja).

Możesz polegać na kluczach zarządzanych przez platformę na potrzeby szyfrowania obrazów lub użyć własnych kluczy. Można również użyć obu tych funkcji razem na potrzeby podwójnego szyfrowania. Jeśli zdecydujesz się zarządzać szyfrowaniem przy użyciu własnych kluczy, możesz określić klucz zarządzany przez klienta do użycia do szyfrowania i odszyfrowywania wszystkich dysków na obrazach.

Szyfrowanie po stronie serwera za pomocą kluczy zarządzanych przez klienta korzysta z usługi Azure Key Vault. Możesz zaimportować klucze RSA do magazynu kluczy lub wygenerować nowe klucze RSA w usłudze Azure Key Vault.

Wymagania wstępne

Ten artykuł wymaga już zestawu szyfrowania dysków w każdym regionie, w którym chcesz replikować obraz:

  • Aby użyć tylko klucza zarządzanego przez klienta, zobacz artykuły dotyczące włączania kluczy zarządzanych przez klienta za pomocą szyfrowania po stronie serwera przy użyciu witryny Azure Portal lub programu PowerShell.

  • Aby użyć kluczy zarządzanych przez platformę i zarządzanych przez klienta (w przypadku podwójnego szyfrowania), zobacz artykuły dotyczące włączania podwójnego szyfrowania magazynowanych przy użyciu witryny Azure Portal lub programu PowerShell.

    Ważne

    Aby uzyskać dostęp do witryny Azure Portal, musisz użyć linku https://aka.ms/diskencryptionupdates . Podwójne szyfrowanie magazynowane nie jest obecnie widoczne w publicznej witrynie Azure Portal, chyba że używasz tego linku.

Ograniczenia

Jeśli używasz kluczy zarządzanych przez klienta do szyfrowania obrazów w usłudze Azure Compute Gallery, obowiązują następujące ograniczenia:

  • Zestawy kluczy szyfrowania muszą znajdować się w tej samej subskrypcji co obraz.

  • Zestawy kluczy szyfrowania to zasoby regionalne, więc każdy region wymaga innego zestawu kluczy szyfrowania.

  • Po użyciu własnych kluczy do szyfrowania obrazu nie można wrócić do używania kluczy zarządzanych przez platformę do szyfrowania tych obrazów.

  • Źródło wersji obrazu ACG zaszyfrowane za pomocą klucza CMK nie może być używane jako źródło do utworzenia innej wersji obrazu ACG.

  • Niektóre funkcje, takie jak replikowanie obrazu SSE+CMK, tworzenie obrazu z zaszyfrowanego dysku SSE+CMK itp., nie są obsługiwane za pośrednictwem portalu.

Tworzenie obrazu

Aby określić zestaw szyfrowania dysków dla wersji obrazu, użyj polecenia New-AzGalleryImageVersion z parametrem -TargetRegion :

$sourceId = <ID of the image version source>
$osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet'}
$dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet1';Lun=1}
$dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet2';Lun=2}
$dataDiskImageEncryptions = @($dataDiskImageEncryption1,$dataDiskImageEncryption2)
$encryption1 = @{OSDiskImage=$osDiskImageEncryption;DataDiskImages=$dataDiskImageEncryptions}
$region1 = @{Name='West US';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption1}
$eastUS2osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet'}
$eastUS2dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet1';Lun=1}
$eastUS2dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet2';Lun=2}
$eastUS2DataDiskImageEncryptions = @($eastUS2dataDiskImageEncryption1,$eastUS2dataDiskImageEncryption2)
$encryption2 = @{OSDiskImage=$eastUS2osDiskImageEncryption;DataDiskImages=$eastUS2DataDiskImageEncryptions}
$region2 = @{Name='East US 2';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption2}
$targetRegion = @($region1, $region2)

Tworzenie obrazu

New-AzGalleryImageVersion `
   -ResourceGroupName $rgname `
   -GalleryName $galleryName `
   -GalleryImageDefinitionName $imageDefinitionName `
   -Name $versionName -Location $location `
   -SourceImageId $sourceId `
   -ReplicaCount 2 `
   -StorageAccountType Standard_LRS `
   -PublishingProfileEndOfLifeDate '2020-12-01' `
   -TargetRegion $targetRegion

Tworzenie maszyny wirtualnej

Maszynę wirtualną można utworzyć z galerii obliczeń platformy Azure i szyfrować dyski przy użyciu kluczy zarządzanych przez klienta. Składnia jest taka sama jak tworzenie uogólnionejlub wyspecjalizowanej maszyny wirtualnej na podstawie obrazu. Użyj zestawu parametrów rozszerzonych i dodaj Set-AzVMOSDisk -Name $($vmName +"_OSDisk") -DiskEncryptionSetId $diskEncryptionSet.Id -CreateOption FromImage go do konfiguracji maszyny wirtualnej.

W przypadku dysków danych dodaj -DiskEncryptionSetId $setID parametr podczas korzystania z polecenia Add-AzVMDataDisk.

Następne kroki

Dowiedz się więcej o szyfrowaniu dysków po stronie serwera.

Aby uzyskać informacje o sposobie dostarczania informacji o planie zakupu, zobacz Dostarczanie informacji o planie zakupu w witrynie Azure Marketplace podczas tworzenia obrazów.