Skapa en krypterad avbildningsversion med kundhanterade nycklar
Gäller för: ✔️ Virtuella Linux-datorer ✔️ med virtuella Windows-datorer ✔️ – flexibla skalningsuppsättningar ✔️ Enhetliga skalningsuppsättningar
Bilder i ett Azure Compute-galleri (tidigare kallat delat bildgalleri) lagras som ögonblicksbilder. Dessa avbildningar krypteras automatiskt via 256-bitars kryptering på serversidan AES-kryptering. Kryptering på serversidan är också FIPS 140-2-kompatibel. Mer information om de kryptografiska moduler som ligger till grund för underliggande Azure-hanterade diskar finns i Kryptografi-API: Nästa generation.
Du kan förlita dig på plattformshanterade nycklar för kryptering av dina bilder eller använda dina egna nycklar. Du kan också använda båda dessa funktioner tillsammans för dubbel kryptering. Om du väljer att hantera kryptering med dina egna nycklar kan du ange en kundhanterad nyckel som ska användas för att kryptera och dekryptera alla diskar i dina bilder.
Kryptering på serversidan via kundhanterade nycklar använder Azure Key Vault. Du kan antingen importera dina RSA-nycklar till ditt nyckelvalv eller generera nya RSA-nycklar i Azure Key Vault.
Förutsättningar
Den här artikeln kräver att du redan har en diskkryptering inställd i varje region där du vill replikera avbildningen:
Om du bara vill använda en kundhanterad nyckel kan du läsa artiklarna om hur du aktiverar kundhanterade nycklar med kryptering på serversidan med hjälp av Azure Portal eller PowerShell.
Om du vill använda både plattformshanterade och kundhanterade nycklar (för dubbel kryptering) kan du läsa artiklarna om hur du aktiverar dubbel kryptering i vila med hjälp av Azure Portal eller PowerShell.
Viktigt!
Du måste använda länken https://aka.ms/diskencryptionupdates för att komma åt Azure Portal. Dubbel kryptering i vila visas för närvarande inte i den offentliga Azure Portal om du inte använder den länken.
Begränsningar
När du använder kundhanterade nycklar för kryptering av avbildningar i ett Azure Compute Gallery gäller följande begränsningar:
Krypteringsnyckeluppsättningar måste finnas i samma prenumeration som din avbildning.
Krypteringsnyckeluppsättningar är regionala resurser, så varje region kräver en annan krypteringsnyckeluppsättning.
När du har använt dina egna nycklar för att kryptera en avbildning kan du inte gå tillbaka till att använda plattformshanterade nycklar för att kryptera bilderna.
ACG-avbildningsversionskälla som krypterats med CMK kan inte användas som källa för att skapa en annan ACG-avbildningsversion.
Vissa funktioner som att replikera en SSE+CMK-avbildning, skapa en avbildning från SSE+CMK-krypterad disk osv. stöds inte via portalen.
Skapa avbildningen
Om du vill ange en diskkrypteringsuppsättning för en avbildningsversion använder du New-AzGalleryImageVersion med parametern -TargetRegion
:
$sourceId = <ID of the image version source>
$osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet'}
$dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet1';Lun=1}
$dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet2';Lun=2}
$dataDiskImageEncryptions = @($dataDiskImageEncryption1,$dataDiskImageEncryption2)
$encryption1 = @{OSDiskImage=$osDiskImageEncryption;DataDiskImages=$dataDiskImageEncryptions}
$region1 = @{Name='West US';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption1}
$eastUS2osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet'}
$eastUS2dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet1';Lun=1}
$eastUS2dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet2';Lun=2}
$eastUS2DataDiskImageEncryptions = @($eastUS2dataDiskImageEncryption1,$eastUS2dataDiskImageEncryption2)
$encryption2 = @{OSDiskImage=$eastUS2osDiskImageEncryption;DataDiskImages=$eastUS2DataDiskImageEncryptions}
$region2 = @{Name='East US 2';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption2}
$targetRegion = @($region1, $region2)
Skapa avbildningen
New-AzGalleryImageVersion `
-ResourceGroupName $rgname `
-GalleryName $galleryName `
-GalleryImageDefinitionName $imageDefinitionName `
-Name $versionName -Location $location `
-SourceImageId $sourceId `
-ReplicaCount 2 `
-StorageAccountType Standard_LRS `
-PublishingProfileEndOfLifeDate '2020-12-01' `
-TargetRegion $targetRegion
Skapa den virtuella datorn
Du kan skapa en virtuell dator (VM) från ett Azure Compute-galleri och använda kundhanterade nycklar för att kryptera diskarna. Syntaxen är densamma som att skapa en generaliserad eller specialiserad virtuell dator från en avbildning. Använd den utökade parameteruppsättningen och lägg till Set-AzVMOSDisk -Name $($vmName +"_OSDisk") -DiskEncryptionSetId $diskEncryptionSet.Id -CreateOption FromImage
i vm-konfigurationen.
För datadiskar lägger du till parametern -DiskEncryptionSetId $setID
när du använder Add-AzVMDataDisk.
Nästa steg
Läs mer om diskkryptering på serversidan.
Information om hur du anger köpplansinformation finns i Ange information om köpplan för Azure Marketplace när du skapar avbildningar.