Aktivieren der Mehrfachverschlüsselung für ruhende Daten auf verwalteten Datenträgern

Gilt für: ✔️ Linux-VMs ✔️ Windows-VMs ✔️

Azure Disk Storage unterstützt die doppelte Verschlüsselung von ruhenden Daten auf verwalteten Datenträgern. Informationen zum Konzept der doppelten Verschlüsselung ruhender Daten sowie zu weiteren Arten der Verschlüsselung auf verwalteten Datenträgern finden Sie im Abschnitt Doppelte Verschlüsselung ruhender Daten des Artikels zur Datenträgerverschlüsselung.

Beschränkungen

Die ruhende doppelte Verschlüsselung wird derzeit nicht für Ultra Disks oder SSD Premium v2-Datenträgern unterstützt.

Voraussetzungen

Wenn Sie die Azure CLI verwenden möchten, installieren Sie die neueste Version der Azure CLI, und melden Sie sich über az login bei einem Azure-Konto an.

Wenn Sie das Azure PowerShell-Modul verwenden möchten, installieren Sie die aktuelle Azure PowerShell-Version, und melden Sie sich mithilfe von Connect-AzAccount bei einem Azure-Konto an.

Erste Schritte

Azure portal

1. Melden Sie sich beim Azure-Portal an.

2. Suchen und wählen Sie Datenträgerverschlüsselungssätze.

   

3. Wählen Sie + Erstellen aus.

4. Wählen Sie eine der unterstützten Regionen aus.

5. Wählen Sie für Verschlüsselungstyp die Option Doppelte Verschlüsselung mit plattformseitig und kundenseitig verwalteten Schlüsseln aus.

   Hinweis

   Nachdem Sie einen Datenträgerverschlüsselungssatz mit einem bestimmten Verschlüsselungstyp erstellt haben, kann er nicht mehr geändert werden. Wenn Sie einen anderen Verschlüsselungstyp verwenden möchten, müssen Sie einen neuen Datenträgerverschlüsselungssatz erstellen.

6. Geben Sie die restlichen Informationen ein.

   

7. Wählen Sie einen Azure Key Vault und einen Schlüssel aus, oder erstellen Sie bei Bedarf einen neuen.

   Hinweis

   Wenn Sie eine Key Vault-Instanz erstellen, müssen Sie vorläufiges Löschen und den Schutz vor endgültigem Löschen aktivieren. Diese Einstellungen sind obligatorisch, wenn ein Key Vault zum Verschlüsseln verwalteter Datenträger verwendet wird, und schützen Sie vor Datenverlust durch versehentliches Löschen.

   

8. Klicken Sie auf Erstellen.

9. Navigieren Sie zu dem von Ihnen erstellten Datenträgerverschlüsselungssatz, und wählen Sie den angezeigten Fehler aus. Dadurch wird Ihr Datenträgerverschlüsselungssatz so konfiguriert, dass er funktioniert.

   

   Es sollte eine Benachrichtigung angezeigt werden. Auf diese Weise können Sie den Datenträgerverschlüsselungssatz mit Ihrem Schlüsseltresor verwenden.

   

10. Navigieren Sie zu Ihrem Datenträger.

11. Wählen Sie Verschlüsselung aus.

12. Wählen Sie unter Schlüsselverwaltung einen der Schlüssel unter Plattformseitig verwaltete und kundenseitig verwaltete Schlüssel aus.

13. Wählen Sie Speichern aus.

    

Sie haben jetzt die doppelte Verschlüsselung im Ruhezustand auf Ihrem verwalteten Datenträger aktiviert.

Azure-Befehlszeilenschnittstelle

1. Erstellen Sie eine Azure Key Vault-Instanz und den Verschlüsselungsschlüssel.

   Beim Erstellen der Key Vault-Instanz müssen Sie vorläufiges Löschen und den Schutz vor endgültigem Löschen aktivieren. Durch vorläufiges Löschen wird sichergestellt, dass der Schlüsseltresor einen gelöschten Schlüssel für einen bestimmten Aufbewahrungszeitraum (standardmäßig 90 Tage) speichert. Der Schutz vor endgültigem Löschen stellt sicher, dass ein gelöschter Schlüssel erst nach Ablauf der Aufbewahrungsdauer dauerhaft gelöscht werden kann. Diese Einstellungen schützen Sie vor dem Verlust von Daten durch versehentliches Löschen. Diese Einstellungen sind obligatorisch, wenn ein Schlüsseltresor für die Verschlüsselung verwalteter Datenträger verwendet wird.

   subscriptionId=yourSubscriptionID
   rgName=yourResourceGroupName
   location=westcentralus
   keyVaultName=yourKeyVaultName
   keyName=yourKeyName
   diskEncryptionSetName=yourDiskEncryptionSetName
   diskName=yourDiskName
   
   az account set --subscription $subscriptionId
   
   az keyvault create -n $keyVaultName -g $rgName -l $location --enable-purge-protection true --enable-soft-delete true
   
   az keyvault key create --vault-name $keyVaultName -n $keyName --protection software
   

2. Rufen Sie die Schlüssel-URL des Schlüssels ab, den Sie mit az keyvault key show erstellt haben.

   az keyvault key show --name $keyName --vault-name $keyVaultName
   

3. Erstellen Sie eine DiskEncryptionSet-Klasse. Legen Sie encryptionType dabei auf EncryptionAtRestWithPlatformAndCustomerKeys fest. Ersetzen Sie yourKeyURL durch die URL, die Sie von az keyvault key show erhalten haben.

   az disk-encryption-set create --resource-group $rgName --name $diskEncryptionSetName --key-url yourKeyURL --source-vault $keyVaultName --encryption-type EncryptionAtRestWithPlatformAndCustomerKeys
   

4. Gewähren Sie der DiskEncryptionSet-Ressource Zugriff auf den Schlüsseltresor.

Hinweis

Es kann einige Minuten dauern, bis Azure die Identität des Datenträgerverschlüsselungssatzes in Microsoft Entra ID erstellt hat. Wenn Sie bei der Ausführung des folgenden Befehls einen ähnlichen Fehler wie „Active Directory-Objekt kann nicht gefunden werden“ erhalten, warten Sie einige Minuten, und versuchen Sie es erneut.

desIdentity=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [identity.principalId] -o tsv)

az keyvault set-policy -n $keyVaultName -g $rgName --object-id $desIdentity --key-permissions wrapkey unwrapkey get

Azure PowerShell

1. Erstellen Sie eine Azure Key Vault-Instanz und den Verschlüsselungsschlüssel.

   Beim Erstellen der Key Vault-Instanz müssen Sie vorläufiges Löschen und den Schutz vor endgültigem Löschen aktivieren. Durch vorläufiges Löschen wird sichergestellt, dass der Schlüsseltresor einen gelöschten Schlüssel für einen bestimmten Aufbewahrungszeitraum (standardmäßig 90 Tage) speichert. Der Schutz vor endgültigem Löschen stellt sicher, dass ein gelöschter Schlüssel erst nach Ablauf der Aufbewahrungsdauer dauerhaft gelöscht werden kann. Diese Einstellungen schützen Sie vor dem Verlust von Daten durch versehentliches Löschen. Diese Einstellungen sind obligatorisch, wenn ein Schlüsseltresor für die Verschlüsselung verwalteter Datenträger verwendet wird.

   $ResourceGroupName="yourResourceGroupName"
   $LocationName="westus2"
   $keyVaultName="yourKeyVaultName"
   $keyName="yourKeyName"
   $keyDestination="Software"
   $diskEncryptionSetName="yourDiskEncryptionSetName"
   
   $keyVault = New-AzKeyVault -Name $keyVaultName -ResourceGroupName $ResourceGroupName -Location $LocationName -EnableSoftDelete -EnablePurgeProtection
   
   $key = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyName -Destination $keyDestination  
   

2. Rufen Sie die URL für den Schlüssel ab, den Sie erstellt haben. Sie benötigen ihn für nachfolgende Befehle. Die ID-Ausgabe von Get-AzKeyVaultKey ist die Schlüssel-URL.

   Get-AzKeyVaultKey -VaultName $keyVaultName -KeyName $keyName
   

3. Rufen Sie die Ressourcen-ID für die Key Vault Instanz ab, die Sie erstellt haben. Sie benötigen sie für nachfolgende Befehle.

   Get-AzKeyVault -VaultName $keyVaultName
   

4. Erstellen Sie eine DiskEncryptionSet-Klasse. Legen Sie encryptionType dabei auf EncryptionAtRestWithPlatformAndCustomerKeys fest. Ersetzen Sie yourKeyURL und yourKeyVaultURL durch die URLs, die Sie zuvor abgerufen haben.

   $config = New-AzDiskEncryptionSetConfig -Location $locationName -KeyUrl "yourKeyURL" -SourceVaultId 'yourKeyVaultURL' -IdentityType 'SystemAssigned'
   
   $config | New-AzDiskEncryptionSet -ResourceGroupName $ResourceGroupName -Name $diskEncryptionSetName -EncryptionType EncryptionAtRestWithPlatformAndCustomerKeys
   

5. Gewähren Sie der DiskEncryptionSet-Ressource Zugriff auf den Schlüsseltresor.

   Hinweis

   Es kann einige Minuten dauern, bis Azure die Identität des Datenträgerverschlüsselungssatzes in Microsoft Entra ID erstellt hat. Wenn Sie bei der Ausführung des folgenden Befehls einen ähnlichen Fehler wie „Active Directory-Objekt kann nicht gefunden werden“ erhalten, warten Sie einige Minuten, und versuchen Sie es erneut.

   $des=Get-AzDiskEncryptionSet -name $diskEncryptionSetName -ResourceGroupName $ResourceGroupName
   Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ObjectId $des.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get
   

Nächste Schritte

• Azure PowerShell: Aktivieren kundenseitig verwalteter Schlüssel mit serverseitiger Verschlüsselung – verwaltete Datenträger
• Beispiele für Azure Resource Manager-Vorlagen
• Aktivieren kundenseitig verwalteter Schlüssel mit serverseitiger Verschlüsselung – Beispiele