Tworzenie zaszyfrowanej wersji obrazu przy użyciu kluczy zarządzanych przez klienta

Dotyczy: ✔️ Maszyny wirtualne z systemem Linux Maszyny ✔️ wirtualne z systemem Windows ✔️ — elastyczne zestawy ✔️ skalowania

Obrazy w galerii obliczeń platformy Azure (wcześniej znanej jako galeria obrazów udostępnionych) są przechowywane jako migawki. Te obrazy są automatycznie szyfrowane za pośrednictwem 256-bitowego szyfrowania AES po stronie serwera. Szyfrowanie po stronie serwera jest również zgodne ze standardem FIPS 140-2. Aby uzyskać więcej informacji na temat modułów kryptograficznych bazowych dysków zarządzanych platformy Azure, zobacz Cryptography API: Next Generation (Interfejs API kryptografii: następna generacja).

Możesz polegać na kluczach zarządzanych przez platformę na potrzeby szyfrowania obrazów lub użyć własnych kluczy. Można również użyć obu tych funkcji razem na potrzeby podwójnego szyfrowania. Jeśli zdecydujesz się zarządzać szyfrowaniem przy użyciu własnych kluczy, możesz określić klucz zarządzany przez klienta do użycia do szyfrowania i odszyfrowywania wszystkich dysków na obrazach.

Szyfrowanie po stronie serwera za pomocą kluczy zarządzanych przez klienta korzysta z usługi Azure Key Vault. Możesz zaimportować klucze RSA do magazynu kluczy lub wygenerować nowe klucze RSA w usłudze Azure Key Vault.

Wymagania wstępne

Ten artykuł wymaga już zestawu szyfrowania dysków w każdym regionie, w którym chcesz replikować obraz:

• Aby użyć tylko klucza zarządzanego przez klienta, zobacz artykuły dotyczące włączania kluczy zarządzanych przez klienta za pomocą szyfrowania po stronie serwera przy użyciu witryny Azure Portal lub programu PowerShell.

• Aby użyć kluczy zarządzanych przez platformę i zarządzanych przez klienta (w przypadku podwójnego szyfrowania), zobacz artykuły dotyczące włączania podwójnego szyfrowania magazynowanych przy użyciu witryny Azure Portal lub programu PowerShell.

  Ważne

  Aby uzyskać dostęp do witryny Azure Portal, musisz użyć linku https://aka.ms/diskencryptionupdates . Podwójne szyfrowanie magazynowane nie jest obecnie widoczne w publicznej witrynie Azure Portal, chyba że używasz tego linku.

Ograniczenia

Jeśli używasz kluczy zarządzanych przez klienta do szyfrowania obrazów w usłudze Azure Compute Gallery, obowiązują następujące ograniczenia:

• Zestawy kluczy szyfrowania muszą znajdować się w tej samej subskrypcji co obraz.

• Zestawy kluczy szyfrowania to zasoby regionalne, więc każdy region wymaga innego zestawu kluczy szyfrowania.

• Po użyciu własnych kluczy do szyfrowania obrazu nie można wrócić do używania kluczy zarządzanych przez platformę do szyfrowania tych obrazów.

• Źródło wersji obrazu ACG zaszyfrowane za pomocą klucza CMK nie może być używane jako źródło do utworzenia innej wersji obrazu ACG.

• Niektóre funkcje, takie jak replikowanie obrazu SSE+CMK, tworzenie obrazu z zaszyfrowanego dysku SSE+CMK itp., nie są obsługiwane za pośrednictwem portalu.

Tworzenie obrazu

Program PowerShell

Aby określić zestaw szyfrowania dysków dla wersji obrazu, użyj polecenia New-AzGalleryImageVersion z parametrem -TargetRegion :

$sourceId = <ID of the image version source>
$osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet'}
$dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet1';Lun=1}
$dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet2';Lun=2}
$dataDiskImageEncryptions = @($dataDiskImageEncryption1,$dataDiskImageEncryption2)
$encryption1 = @{OSDiskImage=$osDiskImageEncryption;DataDiskImages=$dataDiskImageEncryptions}
$region1 = @{Name='West US';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption1}
$eastUS2osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet'}
$eastUS2dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet1';Lun=1}
$eastUS2dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet2';Lun=2}
$eastUS2DataDiskImageEncryptions = @($eastUS2dataDiskImageEncryption1,$eastUS2dataDiskImageEncryption2)
$encryption2 = @{OSDiskImage=$eastUS2osDiskImageEncryption;DataDiskImages=$eastUS2DataDiskImageEncryptions}
$region2 = @{Name='East US 2';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption2}
$targetRegion = @($region1, $region2)

Tworzenie obrazu

New-AzGalleryImageVersion `
   -ResourceGroupName $rgname `
   -GalleryName $galleryName `
   -GalleryImageDefinitionName $imageDefinitionName `
   -Name $versionName -Location $location `
   -SourceImageId $sourceId `
   -ReplicaCount 2 `
   -StorageAccountType Standard_LRS `
   -PublishingProfileEndOfLifeDate '2020-12-01' `
   -TargetRegion $targetRegion

Tworzenie maszyny wirtualnej

Maszynę wirtualną można utworzyć z galerii obliczeń platformy Azure i szyfrować dyski przy użyciu kluczy zarządzanych przez klienta. Składnia jest taka sama jak tworzenie uogólnionejlub wyspecjalizowanej maszyny wirtualnej na podstawie obrazu. Użyj zestawu parametrów rozszerzonych i dodaj Set-AzVMOSDisk -Name $($vmName +"_OSDisk") -DiskEncryptionSetId $diskEncryptionSet.Id -CreateOption FromImage go do konfiguracji maszyny wirtualnej.

W przypadku dysków danych dodaj -DiskEncryptionSetId $setID parametr podczas korzystania z polecenia Add-AzVMDataDisk.

Interfejs wiersza polecenia

Aby określić zestaw szyfrowania dysków dla wersji obrazu, użyj polecenia az image gallery create-image-version z parametrem --target-region-encryption . Format for --target-region-encryption to rozdzielona przecinkami lista kluczy szyfrowania dysków systemu operacyjnego i danych. Powinien wyglądać następująco: <encryption set for the OS disk>,<Lun number of the data disk>,<encryption set for the data disk>,<Lun number for the second data disk>,<encryption set for the second data disk>.

Jeśli źródłem dysku systemu operacyjnego jest dysk zarządzany lub maszyna wirtualna, użyj --managed-image polecenia , aby określić źródło wersji obrazu. W tym przykładzie źródłem jest obraz zarządzany z dyskiem systemu operacyjnego i dyskiem danych o numerze LUN 0. Dysk systemu operacyjnego zostanie zaszyfrowany za pomocą funkcji DiskEncryptionSet1, a dysk danych zostanie zaszyfrowany za pomocą funkcji DiskEncryptionSet2.

az sig image-version create \
   -g MyResourceGroup \
   --gallery-image-version 1.0.0 \
   --location westus \
   --target-regions westus=2=standard_lrs eastus2 \
   --target-region-encryption WestUSDiskEncryptionSet1,0,WestUSDiskEncryptionSet2 EastUS2DiskEncryptionSet1,0,EastUS2DiskEncryptionSet2 \
   --gallery-name MyGallery \
   --gallery-image-definition MyImage \
   --managed-image "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/images/myImage"

Jeśli źródłem dysku systemu operacyjnego jest migawka, użyj polecenia --os-snapshot , aby określić dysk systemu operacyjnego. Dodaj wszystkie inne migawki dysku danych, które również powinny być częścią wersji obrazu. Użyj --data-snapshot-luns polecenia , aby określić numer LUN i użyć --data-snapshots polecenia , aby określić migawki.

W tym przykładzie źródła to migawki dysków. Istnieje dysk systemu operacyjnego i dysk danych o numerze LUN 0. Dysk systemu operacyjnego zostanie zaszyfrowany za pomocą funkcji DiskEncryptionSet1, a dysk danych zostanie zaszyfrowany za pomocą funkcji DiskEncryptionSet2.

az sig image-version create \
   -g MyResourceGroup \
   --gallery-image-version 1.0.0 \
   --location westus\
   --target-regions westus=2=standard_lrs eastus\
   --target-region-encryption WestUSDiskEncryptionSet1,0,WestUSDiskEncryptionSet2 EastUS2DiskEncryptionSet1,0,EastUS2DiskEncryptionSet2 \
   --os-snapshot "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/snapshots/myOSSnapshot" \
   --data-snapshot-luns 0 \
   --data-snapshots "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/snapshots/myDDSnapshot" \
   --gallery-name MyGallery \
   --gallery-image-definition MyImage 

Tworzenie maszyny wirtualnej

Maszynę wirtualną można utworzyć z galerii obliczeń platformy Azure i zaszyfrować dyski przy użyciu kluczy zarządzanych przez klienta. Składnia jest taka sama jak tworzenie uogólnionej lub wyspecjalizowanej maszyny wirtualnej z dodatkiem parametru --os-disk-encryption-set . W przypadku dysków danych dodaj --data-disk-encryption-sets z rozdzielaną spacją listę zestawów szyfrowania dysków dla dysków danych.

Portal

Podczas tworzenia wersji obrazu w portalu możesz użyć karty Szyfrowanie , aby zastosować zestawy szyfrowania magazynu.

1. Na stronie Tworzenie wersji obrazu wybierz kartę Szyfrowanie.
2. W polu Typ szyfrowania wybierz pozycję Szyfrowanie magazynowane przy użyciu klucza zarządzanego przez klienta lub Podwójne szyfrowanie przy użyciu kluczy zarządzanych przez platformę i kluczy zarządzanych przez klienta.
3. Dla każdego dysku na obrazie wybierz zestaw szyfrowania z listy rozwijanej Zestaw szyfrowania dysków.

Tworzenie maszyny wirtualnej

Maszynę wirtualną można utworzyć na podstawie wersji obrazu i zaszyfrować dyski przy użyciu kluczy zarządzanych przez klienta. Podczas tworzenia maszyny wirtualnej w portalu na karcie Dyski wybierz pozycję Szyfrowanie magazynowane przy użyciu kluczy zarządzanych przez klienta lub Podwójne szyfrowanie z kluczami zarządzanymi przez platformę i kluczami zarządzanymi przez klienta dla typu szyfrowania. Następnie możesz wybrać zestaw szyfrowania z listy rozwijanej.

Następne kroki

Dowiedz się więcej o szyfrowaniu dysków po stronie serwera.

Aby uzyskać informacje o sposobie dostarczania informacji o planie zakupu, zobacz Dostarczanie informacji o planie zakupu w witrynie Azure Marketplace podczas tworzenia obrazów.