Erstellen einer verschlüsselten Imageversion mit kundenseitig verwalteten Schlüsseln

  • Artikel

Gilt für: ✔️ Linux-VMs ✔️ Windows-VMs ✔️ Flexible Skalierungsgruppen ✔️ Einheitliche Skalierungsgruppen

Images in einer Azure Compute Gallery (früher als Shared Image Gallery bezeichnet) werden als Momentaufnahmen gespeichert. Diese Images sind automatisch durch serverseitige 256-Bit-Verschlüsselung AES-Verschlüsselung verschlüsselt. Die serverseitige Verschlüsselung ist ebenfalls mit FIPS 140-2 konform. Weitere Informationen zu den kryptografischen Modulen, die verwalteten Azure-Datenträgern zugrunde liegen, finden Sie unter Kryptografie-API: Die nächste Generation.

Sie können von der Plattform verwaltete Schlüssel oder eigene Schlüssel für die Verschlüsselung Ihrer Images verwenden. Sie können diese beiden Features auch zur Mehrfachverschlüsselung verwenden. Wenn Sie die Verschlüsselung mit eigenen Schlüsseln verwalten möchten, können Sie einen kundenseitig verwalteten Schlüssel angeben, der zum Verschlüsseln und Entschlüsseln aller Datenträger in Ihren Images verwendet werden soll.

Die serverseitige Verschlüsselung über kundenseitig verwaltete Schlüssel verwendet Azure Key Vault. Sie können entweder Ihre RSA-Schlüssel in den Schlüsseltresor importieren oder neue RSA-Schlüssel in Azure Key Vault generieren.

Voraussetzungen

In diesem Artikel wird vorausgesetzt, dass Sie bereits über einen Verschlüsselungssatz für Datenträger in den Regionen verfügen, in die Sie Ihr Image replizieren möchten:

  • Wenn Sie nur einen kundenseitig verwalteten Schlüssel verwenden möchten, finden Sie weitere Informationen in den Artikeln zum Aktivieren kundenseitig verwalteter Schlüssel mit serverseitiger Verschlüsselung über das Azure-Portal oder mithilfe von PowerShell.

  • Wenn Sie sowohl plattformseitig als auch kundenseitig verwaltete Schlüssel (für die doppelte Verschlüsselung) verwenden möchten, lesen Sie die Artikel zum Aktivieren der doppelten Verschlüsselung für ruhende Daten über das Azure-Portal oder mithilfe von PowerShell.

    Wichtig

    Für den Zugriff auf das Azure-Portal müssen Sie den Link https://aka.ms/diskencryptionupdates verwenden. Die doppelte Verschlüsselung im Ruhezustand ist derzeit im öffentlichen Azure-Portal ohne Verwendung des Links nicht sichtbar.

Einschränkungen

Wenn Sie kundenseitig verwaltete Schlüssel zur Verschlüsselung von Images in einer Azure Compute Gallery verwenden, gelten folgende Einschränkungen:

  • Verschlüsselungsschlüsselsätze müssen sich in demselben Abonnement wie Ihr Image befinden.

  • Da Verschlüsselungsschlüsselsätze regionale Ressourcen sind, erfordert jede Region einen anderen Verschlüsselungsschlüsselsatz.

  • Sobald Sie eigene Schlüssel zum Verschlüsseln eines Images verwenden, können Sie nicht zur Verwendung von plattformseitig verwalteten Schlüsseln zum Verschlüsseln dieser Images zurückkehren.

  • Die VM-Imageversionsquelle unterstützt derzeit keine Verschlüsselung mit kundenseitig verwalteten Schlüsseln.

  • Einige der Features wie das Replizieren eines SSE+CMK-Images, das Erstellen eines Images aus SSE+CMK-verschlüsselten Datenträgern usw. werden über das Portal nicht unterstützt.

PowerShell

Um einen Datenträgerverschlüsselungssatz für eine Imageversion anzugeben, verwenden Sie New-AzGalleryImageDefinition mit dem Parameter -TargetRegion:


$sourceId = <ID of the image version source>

$osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet'}

$dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet1';Lun=1}

$dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet2';Lun=2}

$dataDiskImageEncryptions = @($dataDiskImageEncryption1,$dataDiskImageEncryption2)

$encryption1 = @{OSDiskImage=$osDiskImageEncryption;DataDiskImages=$dataDiskImageEncryptions}

$region1 = @{Name='West US';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption1}

$eastUS2osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet'}

$eastUS2dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet1';Lun=1}

$eastUS2dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet2';Lun=2}

$eastUS2DataDiskImageEncryptions = @($eastUS2dataDiskImageEncryption1,$eastUS2dataDiskImageEncryption2)

$encryption2 = @{OSDiskImage=$eastUS2osDiskImageEncryption;DataDiskImages=$eastUS2DataDiskImageEncryptions}

$region2 = @{Name='East US 2';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption2}

$targetRegion = @($region1, $region2)


# Create the image
New-AzGalleryImageVersion `
   -ResourceGroupName $rgname `
   -GalleryName $galleryName `
   -GalleryImageDefinitionName $imageDefinitionName `
   -Name $versionName -Location $location `
   -SourceImageId $sourceId `
   -ReplicaCount 2 `
   -StorageAccountType Standard_LRS `
   -PublishingProfileEndOfLifeDate '2020-12-01' `
   -TargetRegion $targetRegion

Erstellen einer VM

Sie können einen virtuellen Computer (VM) aus einer Azure Compute Gallery erstellen und kundenseitig verwaltete Schlüssel zum Verschlüsseln der Datenträger verwenden. Die Syntax ist dieselbe wie beim Erstellen einer generalisierten oder spezialisierten VM aus einem Image. Verwenden Sie den erweiterten Parametersatz, und fügen Sie Set-AzVMOSDisk -Name $($vmName +"_OSDisk") -DiskEncryptionSetId $diskEncryptionSet.Id -CreateOption FromImage der VM-Konfiguration hinzu.

Bei Datenträgern für Daten fügen Sie den Parameter -DiskEncryptionSetId $setID hinzu, wenn Sie Add-AzVMDataDisk verwenden.

Befehlszeilenschnittstelle (CLI)

Um einen Datenträgerverschlüsselungssatz für eine Imageversion anzugeben, verwenden Sie az image gallery create-image-version mit dem Parameter --target-region-encryption. Das Format für --target-region-encryption ist eine durch Komma getrennte Liste mit Schlüsseln für die Verschlüsselung der Datenträger für Betriebssystem und Daten. Diese sollte wie folgt aussehen: <encryption set for the OS disk>,<Lun number of the data disk>,<encryption set for the data disk>,<Lun number for the second data disk>,<encryption set for the second data disk>.

Wenn die Quelle des Betriebssystemdatenträgers ein verwalteter Datenträger oder eine VM ist, verwenden Sie --managed-image, um die Quelle für die Imageversion anzugeben. In diesem Beispiel ist die Quelle ein verwaltetes Image, das sowohl über einen Datenträger für das Betriebssystem als auch über einen Datenträger für Daten bei LUN 0 verfügt. Der Betriebssystemdatenträger wird mit DiskEncryptionSet1 verschlüsselt, der Datenträger für Daten mit DiskEncryptionSet2.

az sig image-version create \
   -g MyResourceGroup \
   --gallery-image-version 1.0.0 \
   --location westus \
   --target-regions westus=2=standard_lrs eastus2 \
   --target-region-encryption WestUSDiskEncryptionSet1,0,WestUSDiskEncryptionSet2 EastUS2DiskEncryptionSet1,0,EastUS2DiskEncryptionSet2 \
   --gallery-name MyGallery \
   --gallery-image-definition MyImage \
   --managed-image "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/images/myImage"

Wenn die Quelle für den Betriebssystemdatenträger eine Momentaufnahme ist, verwenden Sie --os-snapshot, um den Datenträger anzugeben. Fügen Sie weitere Momentaufnahmen von Datenträgern hinzu, die auch Teil der Imageversion sein sollen. Verwenden Sie --data-snapshot-luns zur Angabe der LUN und --data-snapshots zur Angabe der Momentaufnahmen.

In diesem Beispiel sind die Quellen Datenträgermomentaufnahmen. Es gibt einen Betriebssystemdatenträger und einen Datenträger für Daten bei LUN 0. Der Betriebssystemdatenträger wird mit DiskEncryptionSet1 verschlüsselt, der Datenträger für Daten mit DiskEncryptionSet2.

az sig image-version create \
   -g MyResourceGroup \
   --gallery-image-version 1.0.0 \
   --location westus\
   --target-regions westus=2=standard_lrs eastus\
   --target-region-encryption WestUSDiskEncryptionSet1,0,WestUSDiskEncryptionSet2 EastUS2DiskEncryptionSet1,0,EastUS2DiskEncryptionSet2 \
   --os-snapshot "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/snapshots/myOSSnapshot" \
   --data-snapshot-luns 0 \
   --data-snapshots "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/snapshots/myDDSnapshot" \
   --gallery-name MyGallery \
   --gallery-image-definition MyImage

Erstellen des virtuellen Computers

Sie können einen virtuellen Computer (VM) aus einer Azure Compute Gallery erstellen und kundenseitig verwaltete Schlüssel zum Verschlüsseln der Datenträger verwenden. Die Syntax ist dieselbe wie beim Erstellen einer generalisierten oder spezialisierten VM aus einem Image bei Hinzufügung des Parameters --os-disk-encryption-set. Bei Datenträgern für Daten fügen Sie --data-disk-encryption-sets mit einer durch Leerzeichen getrennten Liste der Datenträgerverschlüsselungssätze für die Datenträger hinzu.

Portal

Wenn Sie Ihre Imageversion im Portal erstellen, können Sie die Registerkarte Verschlüsselung verwenden, um Ihre Speicherverschlüsselungssätze anzuwenden.

  1. Wählen Sie auf der Seite Imageversion erstellen die Registerkarte Verschlüsselung aus.
  2. Wählen Sie als Verschlüsselungstyp die Option Verschlüsselung ruhender Daten mit einem kundenseitig verwalteten Schlüssel oder Doppelte Verschlüsselung mit plattformseitig und kundenseitig verwalteten Schlüsseln aus.
  3. Wählen Sie für jeden Datenträger im Image einen Verschlüsselungssatz aus der Dropdownliste Datenträgerverschlüsselungssatz aus.

Erstellen des virtuellen Computers

Sie können eine VM aus einer Imageversion erstellen und kundenseitig verwaltete Schlüssel zum Verschlüsseln der Datenträger verwenden. Wenn Sie die VM im Portal erstellen, wählen Sie auf der Registerkarte Datenträger als Verschlüsselungstyp die Option Verschlüsselung ruhender Daten mit einem kundenseitig verwalteten Schlüssel oder Doppelte Verschlüsselung mit plattformseitig und kundenseitig verwalteten Schlüsseln aus. Dann können Sie den Verschlüsselungssatz in der Dropdownliste auswählen.

Nächste Schritte

Erfahren Sie mehr über die serverseitige Datenträgerverschlüsselung.

Weitere Informationen zur Bereitstellung von Erwerbsplaninformationen finden Sie unter Bereitstellen von Azure Marketplace-Erwerbsplaninformationen beim Erstellen von Images.