Vytvoření šifrované verze image s využitím klíčů spravovaných zákazníkem

Platí pro: ✔️ Virtuální počítače s Linuxem ✔️ Virtuální počítače s Windows ✔️ Flexibilní škálovací sady ✔️ Jednotné škálovací sady

Obrázky v galerii výpočetních prostředků Azure (dříve označované jako Sdílená galerie imagí) se ukládají jako snímky. Tyto image se automaticky šifrují prostřednictvím 256bitového šifrování AES na straně serveru. Šifrování na straně serveru je také kompatibilní se standardem FIPS 140-2. Další informace o kryptografických modulech, které jsou základem spravovaných disků Azure, najdete v tématu Rozhraní API kryptografie: Další generace.

Pro šifrování imagí můžete spoléhat na klíče spravované platformou nebo můžete použít vlastní klíče. Obě tyto funkce můžete použít společně pro dvojité šifrování. Pokud se rozhodnete spravovat šifrování pomocí vlastních klíčů, můžete zadat klíč spravovaný zákazníkem, který se má použít k šifrování a dešifrování všech disků v imagích.

Šifrování na straně serveru prostřednictvím klíčů spravovaných zákazníkem používá službu Azure Key Vault. Můžete buď importovat klíče RSA do trezoru klíčů, nebo vygenerovat nové klíče RSA ve službě Azure Key Vault.

Požadavky

Tento článek vyžaduje, abyste již měli v každé oblasti, ve které chcete replikovat image, nastaveno šifrování disku:

• Pokud chcete použít jenom klíč spravovaný zákazníkem, přečtěte si články o povolení klíčů spravovaných zákazníkem pomocí šifrování na straně serveru pomocí webu Azure Portal nebo PowerShellu.

• Pokud chcete používat klíče spravované platformou i klíče spravované zákazníkem (pro dvojité šifrování), přečtěte si články o povolení dvojitého šifrování neaktivních uložených dat pomocí webu Azure Portal nebo PowerShellu.

  Důležité

  Pro přístup k webu Azure Portal musíte použít odkaz https://aka.ms/diskencryptionupdates . Dvojité šifrování dat v klidu aktuálně není viditelné na veřejně dostupném portálu Azure, pokud nepoužijete tento odkaz.

Omezení

Pokud k šifrování imagí ve službě Azure Compute Gallery používáte klíče spravované zákazníkem, platí následující omezení:

• Sady šifrovacích klíčů musí být ve stejném předplatném jako váš obraz.

• Sady šifrovacích klíčů jsou regionální prostředky, takže každá oblast vyžaduje jinou sadu šifrovacích klíčů.

• Po použití vlastních klíčů k šifrování image se nemůžete vrátit k šifrování těchto imagí pomocí klíčů spravovaných platformou.

• Zdroj verze image ACG zašifrovaný pomocí CMK nelze použít jako zdroj k vytvoření jiné verze image ACG.

• Některé funkce, jako je replikace image SSE+CMK, vytvoření image z šifrovaného disku SSE+CMK atd., nejsou podporovány prostřednictvím portálu.

Vytvoření obrazu

PowerShell

Pokud chcete zadat sadu šifrování disku pro verzi image, použijte New-AzGalleryImageVersion s parametrem -TargetRegion :

$sourceId = <ID of the image version source>
$osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet'}
$dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet1';Lun=1}
$dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet2';Lun=2}
$dataDiskImageEncryptions = @($dataDiskImageEncryption1,$dataDiskImageEncryption2)
$encryption1 = @{OSDiskImage=$osDiskImageEncryption;DataDiskImages=$dataDiskImageEncryptions}
$region1 = @{Name='West US';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption1}
$eastUS2osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet'}
$eastUS2dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet1';Lun=1}
$eastUS2dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet2';Lun=2}
$eastUS2DataDiskImageEncryptions = @($eastUS2dataDiskImageEncryption1,$eastUS2dataDiskImageEncryption2)
$encryption2 = @{OSDiskImage=$eastUS2osDiskImageEncryption;DataDiskImages=$eastUS2DataDiskImageEncryptions}
$region2 = @{Name='East US 2';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption2}
$targetRegion = @($region1, $region2)

Vytvořte obraz

New-AzGalleryImageVersion `
   -ResourceGroupName $rgname `
   -GalleryName $galleryName `
   -GalleryImageDefinitionName $imageDefinitionName `
   -Name $versionName -Location $location `
   -SourceImageId $sourceId `
   -ReplicaCount 2 `
   -StorageAccountType Standard_LRS `
   -PublishingProfileEndOfLifeDate '2020-12-01' `
   -TargetRegion $targetRegion

Vytvoření virtuálního počítače

Virtuální počítač můžete vytvořit z galerie služby Azure Compute a pomocí klíčů spravovaných zákazníkem zašifrovat disky. Syntaxe je stejná jako vytvoření generalizovaného nebo specializovaného virtuálního počítače z image. Použijte rozšířenou sadu parametrů a přidejte Set-AzVMOSDisk -Name $($vmName +"_OSDisk") -DiskEncryptionSetId $diskEncryptionSet.Id -CreateOption FromImage ji do konfigurace virtuálního počítače.

Pro datové disky přidejte -DiskEncryptionSetId $setID parametr při použití Add-AzVMDataDisk.

Rozhraní příkazového řádku

Pokud chcete zadat sadu šifrování disku pro verzi image, použijte příkaz az image gallery create-image-version s parametrem --target-region-encryption . Formát pro --target-region-encryption je čárkami oddělený seznam klíčů pro šifrování operačního systému a datových disků. Měl by vypadat takto: <encryption set for the OS disk>,<Lun number of the data disk>,<encryption set for the data disk>,<Lun number for the second data disk>,<encryption set for the second data disk>.

Pokud je zdrojem disku s operačním systémem spravovaný disk nebo virtuální počítač, použijte --managed-image k určení zdroje pro verzi image. V tomto příkladu je zdrojem spravovaná image, která má disk s operačním systémem a datový disk na LUN 0. Disk s operačním systémem se zašifruje pomocí DiskEncryptionSet1 a datový disk se zašifruje pomocí DiskEncryptionSet2.

az sig image-version create \
   -g MyResourceGroup \
   --gallery-image-version 1.0.0 \
   --location westus \
   --target-regions westus=2=standard_lrs eastus2 \
   --target-region-encryption WestUSDiskEncryptionSet1,0,WestUSDiskEncryptionSet2 EastUS2DiskEncryptionSet1,0,EastUS2DiskEncryptionSet2 \
   --gallery-name MyGallery \
   --gallery-image-definition MyImage \
   --managed-image "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/images/myImage"

Pokud je zdrojem disku s operačním systémem snímek, použijte --os-snapshot k určení disku s operačním systémem. Přidejte všechny další snímky datového disku, které by měly být také součástí verze image. Použijte --data-snapshot-luns k určení LUN a --data-snapshots k určení snímků.

V tomto příkladu jsou zdroje snímky disků. Disk s operačním systémem a datový disk jsou na LUN 0. Disk s operačním systémem se zašifruje pomocí DiskEncryptionSet1 a datový disk se zašifruje pomocí DiskEncryptionSet2.

az sig image-version create \
   -g MyResourceGroup \
   --gallery-image-version 1.0.0 \
   --location westus\
   --target-regions westus=2=standard_lrs eastus\
   --target-region-encryption WestUSDiskEncryptionSet1,0,WestUSDiskEncryptionSet2 EastUS2DiskEncryptionSet1,0,EastUS2DiskEncryptionSet2 \
   --os-snapshot "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/snapshots/myOSSnapshot" \
   --data-snapshot-luns 0 \
   --data-snapshots "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/snapshots/myDDSnapshot" \
   --gallery-name MyGallery \
   --gallery-image-definition MyImage 

Vytvoření virtuálního počítače

Virtuální počítač můžete vytvořit z galerie služby Azure Compute a k šifrování disků použít klíče spravované zákazníkem. Syntaxe je stejná jako vytvoření generalizovaného nebo specializovaného Pro datové disky přidejte --data-disk-encryption-sets se seznamem sad šifrování disků oddělených mezerami pro datové disky.

Portál

Při vytváření verze image na portálu můžete pomocí karty Šifrování aplikovat sady šifrování úložiště.

1. Na stránce Vytvořit verzi obrázku vyberte kartu Šifrování.
2. V části Typ šifrování vyberte Šifrování dat v klidovém stavu zákazníkem spravovaným klíčem nebo použití dvojitého šifrování s klíči spravovanými platformou a zákazníkem.
3. Pro každý disk v obrazu vyberte z rozevíracího seznamu Sada šifrování disků sadu šifrování.

Vytvoření virtuálního počítače

Virtuální počítač můžete vytvořit z verze image a k šifrování disků použít klíče spravované zákazníkem. Když vytvoříte virtuální počítač na portálu, na kartě Disky vyberte šifrování v klidu se zákaznicky spravovanými klíči nebo dvojité šifrování s klíči spravovanými platformou a zákazníkem pro typ šifrování. Pak můžete v rozevíracím seznamu vybrat sadu šifrování.

Další kroky

Přečtěte si další informace o šifrování disků na straně serveru.

Informace o tom, jak zadat informace o plánu nákupu, najdete v tématu Dodání informací o nákupním plánu Azure Marketplace při vytváření imagí.