Włączanie podwójnego szyfrowania magazynowanych dla dysków zarządzanych

Dotyczy: ✔️ Maszyny wirtualne z systemem Linux maszyny ✔️ wirtualne z ✔️ systemem Windows

Usługa Azure Disk Storage obsługuje podwójne szyfrowanie magazynowane dla dysków zarządzanych. Aby uzyskać informacje koncepcyjne na temat podwójnego szyfrowania magazynowanych i innych typów szyfrowania dysków zarządzanych, zobacz sekcję Podwójne szyfrowanie magazynowane w artykule dotyczącym szyfrowania dysków.

Ograniczenia

Podwójne szyfrowanie magazynowane nie jest obecnie obsługiwane w przypadku dysków w warstwie Ultra Lub dysków SSD w warstwie Premium w wersji 2.

Wymagania wstępne

Jeśli zamierzasz używać interfejsu wiersza polecenia platformy Azure, zainstaluj najnowszy interfejs wiersza polecenia platformy Azure i zaloguj się do konta platformy Azure przy użyciu polecenia az login.

Jeśli zamierzasz użyć modułu Azure PowerShell, zainstaluj najnowszą wersję programu Azure PowerShell i zaloguj się do konta platformy Azure przy użyciu polecenia Connect-AzAccount.

Wprowadzenie

Witryna Azure Portal

1. Zaloguj się w witrynie Azure Portal.

2. Wyszukaj i wybierz pozycję Zestawy szyfrowania dysków.

   

3. Wybierz + Utwórz.

4. Wybierz jeden z obsługiwanych regionów.

5. W polu Typ szyfrowania wybierz pozycję Podwójne szyfrowanie z kluczami zarządzanymi przez platformę i kluczami zarządzanymi przez klienta.

   Uwaga

   Po utworzeniu zestawu szyfrowania dysku z określonym typem szyfrowania nie można go zmienić. Jeśli chcesz użyć innego typu szyfrowania, musisz utworzyć nowy zestaw szyfrowania dysków.

6. Wypełnij pozostałe informacje.

   

7. W razie potrzeby wybierz usługę Azure Key Vault i klucz lub utwórz nowy.

   Uwaga

   Jeśli tworzysz wystąpienie usługi Key Vault, musisz włączyć usuwanie nietrwałe i ochronę przed przeczyszczeniem. Te ustawienia są obowiązkowe w przypadku używania usługi Key Vault do szyfrowania dysków zarządzanych i ochrony przed utratą danych z powodu przypadkowego usunięcia.

   

8. Wybierz pozycję Utwórz.

9. Przejdź do utworzonego zestawu szyfrowania dysków i wybierz wyświetlany błąd. Spowoduje to skonfigurowanie zestawu szyfrowania dysku w taki sposób, aby działało.

   

   Powiadomienie powinno pojawić się i zakończyć się powodzeniem. Dzięki temu można używać zestawu szyfrowania dysków z magazynem kluczy.

   

10. Przejdź do dysku.

11. Wybierz pozycję Szyfrowanie.

12. W obszarze Zarządzanie kluczami wybierz jeden z kluczy w obszarze Klucze zarządzane przez platformę i zarządzane przez klienta.

13. wybierz pozycję Zapisz.

    

Teraz włączono podwójne szyfrowanie magazynowane na dysku zarządzanym.

Interfejs wiersza polecenia platformy Azure

1. Utwórz wystąpienie usługi Azure Key Vault i klucza szyfrowania.

   Podczas tworzenia wystąpienia usługi Key Vault należy włączyć ochronę usuwania nietrwałego i przeczyszczania. Usuwanie nietrwałe gwarantuje, że usługa Key Vault przechowuje usunięty klucz dla danego okresu przechowywania (domyślna 90 dni). Ochrona przed przeczyszczeniem gwarantuje, że usunięty klucz nie może zostać trwale usunięty, dopóki okres przechowywania nie wygaśnie. Te ustawienia chronią cię przed utratą danych z powodu przypadkowego usunięcia. Te ustawienia są obowiązkowe w przypadku używania usługi Key Vault do szyfrowania dysków zarządzanych.

   subscriptionId=yourSubscriptionID
   rgName=yourResourceGroupName
   location=westcentralus
   keyVaultName=yourKeyVaultName
   keyName=yourKeyName
   diskEncryptionSetName=yourDiskEncryptionSetName
   diskName=yourDiskName
   
   az account set --subscription $subscriptionId
   
   az keyvault create -n $keyVaultName -g $rgName -l $location --enable-purge-protection true --enable-soft-delete true
   
   az keyvault key create --vault-name $keyVaultName -n $keyName --protection software
   

2. Pobierz adres URL klucza utworzonego za pomocą az keyvault key showpolecenia .

   az keyvault key show --name $keyName --vault-name $keyVaultName
   

3. Utwórz element DiskEncryptionSet z ustawioną wartością EncryptionAtRestWithPlatformAndCustomerKeys. Zastąp ciąg yourKeyURL adresem URL otrzymany z az keyvault key showadresu .

   az disk-encryption-set create --resource-group $rgName --name $diskEncryptionSetName --key-url yourKeyURL --source-vault $keyVaultName --encryption-type EncryptionAtRestWithPlatformAndCustomerKeys
   

4. Udziel zasobowi DiskEncryptionSet dostępu do magazynu kluczy.

Uwaga

Utworzenie tożsamości elementu DiskEncryptionSet na platformie Azure w identyfikatorze Entra firmy Microsoft może potrwać kilka minut. Jeśli podczas uruchamiania następującego polecenia wystąpi błąd, taki jak "Nie można odnaleźć obiektu usługi Active Directory", zaczekaj kilka minut i spróbuj ponownie.

desIdentity=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [identity.principalId] -o tsv)

az keyvault set-policy -n $keyVaultName -g $rgName --object-id $desIdentity --key-permissions wrapkey unwrapkey get

Azure PowerShell

1. Utwórz wystąpienie usługi Azure Key Vault i klucza szyfrowania.

   Podczas tworzenia wystąpienia usługi Key Vault należy włączyć ochronę usuwania nietrwałego i przeczyszczania. Usuwanie nietrwałe gwarantuje, że usługa Key Vault przechowuje usunięty klucz dla danego okresu przechowywania (domyślna 90 dni). Ochrona przed przeczyszczeniem gwarantuje, że usunięty klucz nie może zostać trwale usunięty, dopóki okres przechowywania nie wygaśnie. Te ustawienia chronią cię przed utratą danych z powodu przypadkowego usunięcia. Te ustawienia są obowiązkowe w przypadku używania usługi Key Vault do szyfrowania dysków zarządzanych.

   $ResourceGroupName="yourResourceGroupName"
   $LocationName="westus2"
   $keyVaultName="yourKeyVaultName"
   $keyName="yourKeyName"
   $keyDestination="Software"
   $diskEncryptionSetName="yourDiskEncryptionSetName"
   
   $keyVault = New-AzKeyVault -Name $keyVaultName -ResourceGroupName $ResourceGroupName -Location $LocationName -EnableSoftDelete -EnablePurgeProtection
   
   $key = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyName -Destination $keyDestination  
   

2. Pobierz adres URL utworzonego klucza. Będzie on potrzebny dla kolejnych poleceń. Dane wyjściowe identyfikatora z Get-AzKeyVaultKey programu to kluczowy adres URL.

   Get-AzKeyVaultKey -VaultName $keyVaultName -KeyName $keyName
   

3. Pobierz identyfikator zasobu dla utworzonego wystąpienia usługi Key Vault. Będzie on potrzebny dla kolejnych poleceń.

   Get-AzKeyVault -VaultName $keyVaultName
   

4. Utwórz element DiskEncryptionSet z ustawioną wartością EncryptionAtRestWithPlatformAndCustomerKeys. Zastąp yourKeyURL wartości i yourKeyVaultURL adresami URL pobranymi wcześniej.

   $config = New-AzDiskEncryptionSetConfig -Location $locationName -KeyUrl "yourKeyURL" -SourceVaultId 'yourKeyVaultURL' -IdentityType 'SystemAssigned'
   
   $config | New-AzDiskEncryptionSet -ResourceGroupName $ResourceGroupName -Name $diskEncryptionSetName -EncryptionType EncryptionAtRestWithPlatformAndCustomerKeys
   

5. Udziel zasobowi DiskEncryptionSet dostępu do magazynu kluczy.

   Uwaga

   Utworzenie tożsamości elementu DiskEncryptionSet na platformie Azure w identyfikatorze Entra firmy Microsoft może potrwać kilka minut. Jeśli podczas uruchamiania następującego polecenia wystąpi błąd, taki jak "Nie można odnaleźć obiektu usługi Active Directory", zaczekaj kilka minut i spróbuj ponownie.

   $des=Get-AzDiskEncryptionSet -name $diskEncryptionSetName -ResourceGroupName $ResourceGroupName
   Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ObjectId $des.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get
   

Następne kroki

• Azure PowerShell — Włączanie kluczy zarządzanych przez klienta z szyfrowaniem po stronie serwera — dyski zarządzane
• Przykłady szablonów usługi Azure Resource Manager
• Włączanie kluczy zarządzanych przez klienta przy użyciu szyfrowania po stronie serwera — przykłady