Share via

Použití modulu Azure PowerShell k povolení dvojitého šifrování neaktivních uložených uložených dat pro spravované disky

  • Článek

Platí pro: ✔️ Virtuální počítače s Windows

Azure Disk Storage podporuje dvojité šifrování neaktivních uložených uložených dat pro spravované disky. Koncepční informace o šifrování neaktivních uložených dat a dalších typech šifrování spravovaných disků najdete v části Dvojité šifrování neaktivních uložených dat v článku o šifrování disku.

Omezení

U disků Úrovně Ultra nebo disků SSD úrovně Premium v2 se v současné době nepodporuje dvojité šifrování neaktivních uložených dat.

Předpoklady

Nainstalujte nejnovější verzi Azure PowerShellu a přihlaste se k účtu Azure pomocí Připojení-AzAccount.

Začínáme

  1. Vytvořte instanci služby Azure Key Vault a šifrovací klíč.

    Při vytváření instance služby Key Vault musíte povolit ochranu obnovitelného odstranění a vymazání. Obnovitelné odstranění zajišťuje, že služba Key Vault uchovává odstraněný klíč pro danou dobu uchovávání (výchozí nastavení 90 dnů). Ochrana před vymazáním zajistí, že odstraněný klíč nebude možné trvale odstranit, dokud nevydržuje doba uchovávání informací. Tato nastavení chrání před ztrátou dat z důvodu náhodného odstranění. Tato nastavení jsou povinná při použití služby Key Vault pro šifrování spravovaných disků.

    $ResourceGroupName="yourResourceGroupName"
$LocationName="westus2"
$keyVaultName="yourKeyVaultName"
$keyName="yourKeyName"
$keyDestination="Software"
$diskEncryptionSetName="yourDiskEncryptionSetName"

$keyVault = New-AzKeyVault -Name $keyVaultName -ResourceGroupName $ResourceGroupName -Location $LocationName -EnableSoftDelete -EnablePurgeProtection

$key = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyName -Destination $keyDestination

  2. Načtěte adresu URL klíče, který jste vytvořili, budete ji potřebovat pro další příkazy. Výstup ID je Get-AzKeyVaultKey adresa URL klíče.

    Get-AzKeyVaultKey -VaultName $keyVaultName -KeyName $keyName

  3. Získejte ID prostředku pro instanci služby Key Vault, kterou jste vytvořili, budete ho potřebovat pro další příkazy.

    Get-AzKeyVault -VaultName $keyVaultName

  4. Vytvořte DiskEncryptionSet s typem encryptionType nastaveným jako EncryptionAtRestWithPlatformAndCustomerKeys. Nahraďte yourKeyURL adresy yourKeyVaultURL URL, které jste získali dříve.

    $config = New-AzDiskEncryptionSetConfig -Location $locationName -KeyUrl "yourKeyURL" -SourceVaultId 'yourKeyVaultURL' -IdentityType 'SystemAssigned'

$config | New-AzDiskEncryptionSet -ResourceGroupName $ResourceGroupName -Name $diskEncryptionSetName -EncryptionType EncryptionAtRestWithPlatformAndCustomerKeys

  5. Udělte prostředku DiskEncryptionSet přístup k trezoru klíčů.

    Poznámka:

    Vytvoření identity diskEncryptionSet ve vašem ID Microsoft Entra může trvat několik minut. Pokud se při spuštění následujícího příkazu zobrazí chyba Typu Nejde najít objekt služby Active Directory, počkejte několik minut a zkuste to znovu.

    $des=Get-AzDiskEncryptionSet -name $diskEncryptionSetName -ResourceGroupName $ResourceGroupName
Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ObjectId $des.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get

Další kroky

Teď, když jste tyto prostředky vytvořili a nakonfigurovali, můžete je použít k zabezpečení spravovaných disků. Následující odkazy obsahují ukázkové skripty, z nichž každý má odpovídající scénář, který můžete použít k zabezpečení spravovaných disků.