Включение двойного шифрования для управляемых дисков

Область применения: ✔️ Виртуальные машины Linux ✔️ Виртуальные машины Windows ✔️

Хранилище дисков Azure поддерживает двойное шифрование неактивных данных для управляемых дисков. Общие сведения о двойном шифровании неактивных данных и других типах шифрования управляемых дисков см . в разделе "Двойное шифрование неактивных данных" статьи о шифровании дисков.

Ограничения

Двойное шифрование неактивных дисков в настоящее время не поддерживается с дисками Категории "Ультра" или SSD уровня "Премиум" версии 2.

Необходимые компоненты

Если вы собираетесь использовать Azure CLI, установите последнюю версию Azure CLI и войдите в учетную запись Azure с помощью az login.

Если вы собираетесь использовать модуль Azure PowerShell, установите последнюю версию Azure PowerShell и войдите в учетную запись Azure с помощью Connect-AzAccount.

Начало работы

Портал Azure

1. Войдите на портал Azure.

2. Найдите и выберите Наборы шифрования дисков.

   

3. Выберите + Создать.

4. Выберите один из поддерживаемых регионов.

5. В качестве Типа шифрования выберите Двойное шифрование с помощью ключей, управляемых платформой и клиентом.

   Примечание.

   После создания набора шифрования диска с определенным типом шифрования его нельзя изменить. Если вы хотите использовать другой тип шифрования, необходимо создать новый набор шифрования дисков.

6. Заполните оставшуюся информацию.

   

7. Выберите Azure Key Vault и ключ или создайте новый при необходимости.

   Примечание.

   Если вы создаете экземпляр Key Vault, необходимо включить обратимое удаление и защиту от удаления. Эти параметры являются обязательными при использовании Key Vault для шифрования управляемых дисков, а также для защиты от потери данных из-за случайного удаления.

   

8. Нажмите кнопку создания.

9. Перейдите к созданному набору шифрования дисков и выберите отображаемую ошибку. Это настроит ваш набор шифрования дисков в рабочий режим.

   

   В случае успешного завершения появится уведомление. Это позволит использовать шифрование дисков, заданное в хранилище ключей.

   

10. Перейдите к своему диску.

11. Выберите Шифрование.

12. Для управления ключами выберите один из ключей, управляемых платформой и управляемыми клиентом.

13. Щелкните Save (Сохранить).

    

Вы успешно включили двойное шифрование неактивных данных на управляемом диске.

Azure CLI

1. Создайте экземпляр Azure Key Vault и ключ шифрования.

   При создании экземпляра Key Vault необходимо включить обратимое удаление и защиту от удаления. Обратимое удаление гарантирует, что Key Vault будет хранить удаленный ключ в течение заданного срока (по умолчанию 90 дней). Защита от очистки гарантирует, что удаленный ключ не может быть окончательно удален до истечения срока хранения. Эти параметры защищают от потери данных из-за случайного удаления. Эти параметры являются обязательными при использовании Key Vault для шифрования управляемых дисков.

   subscriptionId=yourSubscriptionID
   rgName=yourResourceGroupName
   location=westcentralus
   keyVaultName=yourKeyVaultName
   keyName=yourKeyName
   diskEncryptionSetName=yourDiskEncryptionSetName
   diskName=yourDiskName
   
   az account set --subscription $subscriptionId
   
   az keyvault create -n $keyVaultName -g $rgName -l $location --enable-purge-protection true --enable-soft-delete true
   
   az keyvault key create --vault-name $keyVaultName -n $keyName --protection software
   

2. Получите URL-адрес ключа, созданного с az keyvault key showпомощью.

   az keyvault key show --name $keyName --vault-name $keyVaultName
   

3. Создайте параметр DiskEncryptionSet с параметром encryptionType, для которого задано значение EncryptionAtRestWithPlatformAndCustomerKeys. Замените yourKeyURL URL-адрес, полученный вами.az keyvault key show

   az disk-encryption-set create --resource-group $rgName --name $diskEncryptionSetName --key-url yourKeyURL --source-vault $keyVaultName --encryption-type EncryptionAtRestWithPlatformAndCustomerKeys
   

4. Предоставьте ресурсу DiskEncryptionSet доступ к хранилищу ключей.

Примечание.

Для создания удостоверения DiskEncryptionSet в идентификаторе Microsoft Entra может потребоваться несколько минут. Если при выполнении следующей команды появляется сообщение об ошибке вида "Не удается найти объект Active Directory", подождите несколько минут и повторите попытку.

desIdentity=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [identity.principalId] -o tsv)

az keyvault set-policy -n $keyVaultName -g $rgName --object-id $desIdentity --key-permissions wrapkey unwrapkey get

Azure PowerShell

1. Создайте экземпляр Azure Key Vault и ключ шифрования.

   При создании экземпляра Key Vault необходимо включить обратимое удаление и защиту от удаления. Обратимое удаление гарантирует, что Key Vault будет хранить удаленный ключ в течение заданного срока (по умолчанию 90 дней). Защита от очистки гарантирует, что удаленный ключ не может быть окончательно удален до истечения срока хранения. Эти параметры защищают от потери данных из-за случайного удаления. Эти параметры являются обязательными при использовании Key Vault для шифрования управляемых дисков.

   $ResourceGroupName="yourResourceGroupName"
   $LocationName="westus2"
   $keyVaultName="yourKeyVaultName"
   $keyName="yourKeyName"
   $keyDestination="Software"
   $diskEncryptionSetName="yourDiskEncryptionSetName"
   
   $keyVault = New-AzKeyVault -Name $keyVaultName -ResourceGroupName $ResourceGroupName -Location $LocationName -EnableSoftDelete -EnablePurgeProtection
   
   $key = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyName -Destination $keyDestination  
   

2. Получите URL-адрес созданного ключа, вам потребуется для последующих команд. Выходные данные Get-AzKeyVaultKey идентификатора — это URL-адрес ключа.

   Get-AzKeyVaultKey -VaultName $keyVaultName -KeyName $keyName
   

3. Получите идентификатор ресурса для созданного экземпляра Key Vault, вам потребуется его для последующих команд.

   Get-AzKeyVault -VaultName $keyVaultName
   

4. Создайте параметр DiskEncryptionSet с параметром encryptionType, для которого задано значение EncryptionAtRestWithPlatformAndCustomerKeys. Замените yourKeyURL и yourKeyVaultURL на URL-адреса, полученные ранее.

   $config = New-AzDiskEncryptionSetConfig -Location $locationName -KeyUrl "yourKeyURL" -SourceVaultId 'yourKeyVaultURL' -IdentityType 'SystemAssigned'
   
   $config | New-AzDiskEncryptionSet -ResourceGroupName $ResourceGroupName -Name $diskEncryptionSetName -EncryptionType EncryptionAtRestWithPlatformAndCustomerKeys
   

5. Предоставьте ресурсу DiskEncryptionSet доступ к хранилищу ключей.

   Примечание.

   Для создания удостоверения DiskEncryptionSet в идентификаторе Microsoft Entra может потребоваться несколько минут. Если при выполнении следующей команды появляется сообщение об ошибке вида "Не удается найти объект Active Directory", подождите несколько минут и повторите попытку.

   $des=Get-AzDiskEncryptionSet -name $diskEncryptionSetName -ResourceGroupName $ResourceGroupName
   Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ObjectId $des.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get
   

Следующие шаги

• Azure PowerShel — включение управляемых клиентом ключей с помощью шифрования на стороне сервера для управляемых дисков
• Примеры шаблонов Azure Resource Manager
• Использование управляемых клиентом ключей с шифрованием на стороне сервера (примеры)