Skapa en krypterad avbildningsversion med kundhanterade nycklar

Gäller för: ✔️ Virtuella Linux-datorer ✔️ med virtuella Windows-datorer ✔️ – flexibla skalningsuppsättningar ✔️ Enhetliga skalningsuppsättningar

Bilder i ett Azure Compute-galleri (tidigare kallat delat bildgalleri) lagras som ögonblicksbilder. Dessa avbildningar krypteras automatiskt via 256-bitars kryptering på serversidan AES-kryptering. Kryptering på serversidan är också FIPS 140-2-kompatibel. Mer information om de kryptografiska moduler som ligger till grund för underliggande Azure-hanterade diskar finns i Kryptografi-API: Nästa generation.

Du kan förlita dig på plattformshanterade nycklar för kryptering av dina bilder eller använda dina egna nycklar. Du kan också använda båda dessa funktioner tillsammans för dubbel kryptering. Om du väljer att hantera kryptering med dina egna nycklar kan du ange en kundhanterad nyckel som ska användas för att kryptera och dekryptera alla diskar i dina bilder.

Kryptering på serversidan via kundhanterade nycklar använder Azure Key Vault. Du kan antingen importera dina RSA-nycklar till ditt nyckelvalv eller generera nya RSA-nycklar i Azure Key Vault.

Förutsättningar

Den här artikeln kräver att du redan har en diskkryptering inställd i varje region där du vill replikera avbildningen:

• Om du bara vill använda en kundhanterad nyckel kan du läsa artiklarna om hur du aktiverar kundhanterade nycklar med kryptering på serversidan med hjälp av Azure Portal eller PowerShell.

• Om du vill använda både plattformshanterade och kundhanterade nycklar (för dubbel kryptering) kan du läsa artiklarna om hur du aktiverar dubbel kryptering i vila med hjälp av Azure Portal eller PowerShell.

  Viktigt!

  Du måste använda länken https://aka.ms/diskencryptionupdates för att komma åt Azure Portal. Dubbel kryptering i vila visas för närvarande inte i den offentliga Azure Portal om du inte använder den länken.

Begränsningar

När du använder kundhanterade nycklar för kryptering av avbildningar i ett Azure Compute Gallery gäller följande begränsningar:

• Krypteringsnyckeluppsättningar måste finnas i samma prenumeration som din avbildning.

• Krypteringsnyckeluppsättningar är regionala resurser, så varje region kräver en annan krypteringsnyckeluppsättning.

• När du har använt dina egna nycklar för att kryptera en avbildning kan du inte gå tillbaka till att använda plattformshanterade nycklar för att kryptera bilderna.

• ACG-avbildningsversionskälla som krypterats med CMK kan inte användas som källa för att skapa en annan ACG-avbildningsversion.

• Vissa funktioner som att replikera en SSE+CMK-avbildning, skapa en avbildning från SSE+CMK-krypterad disk osv. stöds inte via portalen.

Skapa avbildningen

PowerShell

Om du vill ange en diskkrypteringsuppsättning för en avbildningsversion använder du New-AzGalleryImageVersion med parametern -TargetRegion :

$sourceId = <ID of the image version source>
$osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet'}
$dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet1';Lun=1}
$dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet2';Lun=2}
$dataDiskImageEncryptions = @($dataDiskImageEncryption1,$dataDiskImageEncryption2)
$encryption1 = @{OSDiskImage=$osDiskImageEncryption;DataDiskImages=$dataDiskImageEncryptions}
$region1 = @{Name='West US';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption1}
$eastUS2osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet'}
$eastUS2dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet1';Lun=1}
$eastUS2dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet2';Lun=2}
$eastUS2DataDiskImageEncryptions = @($eastUS2dataDiskImageEncryption1,$eastUS2dataDiskImageEncryption2)
$encryption2 = @{OSDiskImage=$eastUS2osDiskImageEncryption;DataDiskImages=$eastUS2DataDiskImageEncryptions}
$region2 = @{Name='East US 2';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption2}
$targetRegion = @($region1, $region2)

Skapa avbildningen

New-AzGalleryImageVersion `
   -ResourceGroupName $rgname `
   -GalleryName $galleryName `
   -GalleryImageDefinitionName $imageDefinitionName `
   -Name $versionName -Location $location `
   -SourceImageId $sourceId `
   -ReplicaCount 2 `
   -StorageAccountType Standard_LRS `
   -PublishingProfileEndOfLifeDate '2020-12-01' `
   -TargetRegion $targetRegion

Skapa den virtuella datorn

Du kan skapa en virtuell dator (VM) från ett Azure Compute-galleri och använda kundhanterade nycklar för att kryptera diskarna. Syntaxen är densamma som att skapa en generaliserad eller specialiserad virtuell dator från en avbildning. Använd den utökade parameteruppsättningen och lägg till Set-AzVMOSDisk -Name $($vmName +"_OSDisk") -DiskEncryptionSetId $diskEncryptionSet.Id -CreateOption FromImage i vm-konfigurationen.

För datadiskar lägger du till parametern -DiskEncryptionSetId $setID när du använder Add-AzVMDataDisk.

CLI

Om du vill ange en diskkrypteringsuppsättning för en avbildningsversion använder du az image gallery create-image-version med parametern --target-region-encryption . Formatet för --target-region-encryption är en kommaavgränsad lista över nycklar för kryptering av operativsystem och datadiskar. Det bör se ut så här: <encryption set for the OS disk>,<Lun number of the data disk>,<encryption set for the data disk>,<Lun number for the second data disk>,<encryption set for the second data disk>.

Om källan för OS-disken är en hanterad disk eller en virtuell dator använder du --managed-image för att ange källan för avbildningsversionen. I det här exemplet är källan en hanterad avbildning som har en OS-disk och en datadisk på LUN 0. OS-disken krypteras med DiskEncryptionSet1 och datadisken krypteras med DiskEncryptionSet2.

az sig image-version create \
   -g MyResourceGroup \
   --gallery-image-version 1.0.0 \
   --location westus \
   --target-regions westus=2=standard_lrs eastus2 \
   --target-region-encryption WestUSDiskEncryptionSet1,0,WestUSDiskEncryptionSet2 EastUS2DiskEncryptionSet1,0,EastUS2DiskEncryptionSet2 \
   --gallery-name MyGallery \
   --gallery-image-definition MyImage \
   --managed-image "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/images/myImage"

Om källan för OS-disken är en ögonblicksbild använder du --os-snapshot för att ange OS-disken. Lägg till andra ögonblicksbilder av datadiskar som också ska ingå i avbildningsversionen. Använd --data-snapshot-luns för att ange LUN och använd --data-snapshots för att ange ögonblicksbilderna.

I det här exemplet är källorna diskögonblicksbilder. Det finns en OS-disk och en datadisk på LUN 0. OS-disken krypteras med DiskEncryptionSet1 och datadisken krypteras med DiskEncryptionSet2.

az sig image-version create \
   -g MyResourceGroup \
   --gallery-image-version 1.0.0 \
   --location westus\
   --target-regions westus=2=standard_lrs eastus\
   --target-region-encryption WestUSDiskEncryptionSet1,0,WestUSDiskEncryptionSet2 EastUS2DiskEncryptionSet1,0,EastUS2DiskEncryptionSet2 \
   --os-snapshot "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/snapshots/myOSSnapshot" \
   --data-snapshot-luns 0 \
   --data-snapshots "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/snapshots/myDDSnapshot" \
   --gallery-name MyGallery \
   --gallery-image-definition MyImage 

Skapa den virtuella datorn

Du kan skapa en virtuell dator från ett Azure Compute-galleri och använda kundhanterade nycklar för att kryptera diskarna. Syntaxen är densamma som att skapa en generaliserad eller specialiserad virtuell dator med tillägget av parametern --os-disk-encryption-set . För datadiskar lägger du till --data-disk-encryption-sets med en utrymmesavgränsad lista över diskkrypteringsuppsättningar för datadiskarna.

Portal

När du skapar avbildningsversionen i portalen kan du använda fliken Kryptering för att tillämpa dina lagringskrypteringsuppsättningar.

1. På sidan Skapa en avbildningsversion väljer du fliken Kryptering .
2. I Krypteringstyp väljer du Kryptering i vila med en kundhanterad nyckel eller Dubbel kryptering med plattformshanterade och kundhanterade nycklar.
3. För varje disk i avbildningen väljer du en krypteringsuppsättning i listrutan Diskkrypteringsuppsättning .

Skapa den virtuella datorn

Du kan skapa en virtuell dator från en avbildningsversion och använda kundhanterade nycklar för att kryptera diskarna. När du skapar den virtuella datorn i portalen går du till fliken Diskar och väljer Kryptering i vila med kundhanterade nycklar eller Dubbel kryptering med plattformshanterade och kundhanterade nycklar för krypteringstyp. Du kan sedan välja krypteringsuppsättningen i listrutan.

Nästa steg

Läs mer om diskkryptering på serversidan.

Information om hur du anger köpplansinformation finns i Ange information om köpplan för Azure Marketplace när du skapar avbildningar.