Použití modulu Azure PowerShell k povolení dvojitého šifrování neaktivních uložených uložených dat pro spravované disky
Platí pro: ✔️ Virtuální počítače s Windows
Azure Disk Storage podporuje dvojité šifrování neaktivních uložených uložených dat pro spravované disky. Koncepční informace o šifrování neaktivních uložených dat a dalších typech šifrování spravovaných disků najdete v části Dvojité šifrování neaktivních uložených dat v článku o šifrování disku.
Omezení
U disků Úrovně Ultra nebo disků SSD úrovně Premium v2 se v současné době nepodporuje dvojité šifrování neaktivních uložených dat.
Předpoklady
Nainstalujte nejnovější verzi Azure PowerShellu a přihlaste se k účtu Azure pomocí Připojení-AzAccount.
Začínáme
Vytvořte instanci služby Azure Key Vault a šifrovací klíč.
Při vytváření instance služby Key Vault musíte povolit ochranu obnovitelného odstranění a vymazání. Obnovitelné odstranění zajišťuje, že služba Key Vault uchovává odstraněný klíč pro danou dobu uchovávání (výchozí nastavení 90 dnů). Ochrana před vymazáním zajistí, že odstraněný klíč nebude možné trvale odstranit, dokud nevydržuje doba uchovávání informací. Tato nastavení chrání před ztrátou dat z důvodu náhodného odstranění. Tato nastavení jsou povinná při použití služby Key Vault pro šifrování spravovaných disků.
$ResourceGroupName="yourResourceGroupName" $LocationName="westus2" $keyVaultName="yourKeyVaultName" $keyName="yourKeyName" $keyDestination="Software" $diskEncryptionSetName="yourDiskEncryptionSetName" $keyVault = New-AzKeyVault -Name $keyVaultName -ResourceGroupName $ResourceGroupName -Location $LocationName -EnableSoftDelete -EnablePurgeProtection $key = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyName -Destination $keyDestination
Načtěte adresu URL klíče, který jste vytvořili, budete ji potřebovat pro další příkazy. Výstup ID je
Get-AzKeyVaultKey
adresa URL klíče.Get-AzKeyVaultKey -VaultName $keyVaultName -KeyName $keyName
Získejte ID prostředku pro instanci služby Key Vault, kterou jste vytvořili, budete ho potřebovat pro další příkazy.
Get-AzKeyVault -VaultName $keyVaultName
Vytvořte DiskEncryptionSet s typem encryptionType nastaveným jako EncryptionAtRestWithPlatformAndCustomerKeys. Nahraďte
yourKeyURL
adresyyourKeyVaultURL
URL, které jste získali dříve.$config = New-AzDiskEncryptionSetConfig -Location $locationName -KeyUrl "yourKeyURL" -SourceVaultId 'yourKeyVaultURL' -IdentityType 'SystemAssigned' $config | New-AzDiskEncryptionSet -ResourceGroupName $ResourceGroupName -Name $diskEncryptionSetName -EncryptionType EncryptionAtRestWithPlatformAndCustomerKeys
Udělte prostředku DiskEncryptionSet přístup k trezoru klíčů.
Poznámka:
Vytvoření identity diskEncryptionSet ve vašem ID Microsoft Entra může trvat několik minut. Pokud se při spuštění následujícího příkazu zobrazí chyba Typu Nejde najít objekt služby Active Directory, počkejte několik minut a zkuste to znovu.
$des=Get-AzDiskEncryptionSet -name $diskEncryptionSetName -ResourceGroupName $ResourceGroupName Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ObjectId $des.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get
Další kroky
Teď, když jste tyto prostředky vytvořili a nakonfigurovali, můžete je použít k zabezpečení spravovaných disků. Následující odkazy obsahují ukázkové skripty, z nichž každý má odpovídající scénář, který můžete použít k zabezpečení spravovaných disků.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro