Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo, aprenderá a cifrar discos administrados de Azure con claves administradas por el cliente (CMK) para máquinas virtuales (VM) implementadas en una zona extendida de Azure.
El proceso usa Azure Key Vault y un conjunto de cifrado de disco (DES).
Nota:
Puede crear un almacén de claves y un DES mediante Azure Portal o la CLI de Azure. La asignación de un DES a discos para cargas de trabajo de Azure Extended Zones solo se admite actualmente a través de la CLI de Azure.
Prerrequisitos
- Una cuenta de Azure con una suscripción activa. Si no tiene una cuenta de Azure, puede crear una cuenta gratis.
- Acceso a una zona extendida. Para más información, consulte Solicitud de acceso a una zona extendida de Azure.
- La CLI de Azure instalada (versión 2.26 o posterior). Instalación de la CLI de Azure.
- Conocimientos básicos de los conceptos de cifrado de disco y Azure Key Vault. Para más información, consulte la documentación de Azure Key Vault y la documentación de Azure Disk Encryption.
Contexto de arquitectura de alto nivel
Al usar CMK con recursos de Azure Extended Zones:
- Las operaciones del plano de control (Azure Resource Manager, metadatos de Key Vault y DES) se ejecutan en la región primaria de Azure.
- Los recursos del plano de datos (máquinas virtuales y discos) se ejecutan en la ubicación de zona extendida.
- El cifrado de disco se aplica en el nivel de disco administrado (plano de datos) mediante un DES.
Creación de un almacén de claves, una clave de cifrado y DES en la región primaria de una zona extendida de Azure
En esta sección, creará un almacén de claves, una clave de cifrado y el Estándar de Encriptación de Datos (DES) en la región principal de una zona extendida.
En este ejemplo, se elige la herramienta que se va a usar para crear las herramientas de cifrado. La creación de discos y el cifrado solo funcionan a través de la CLI de Azure.
Creación de un almacén de claves y una clave de cifrado
Para cifrar los recursos en una zona extendida de Azure, primero debe crear un almacén de claves de Azure y una clave RSA en la región primaria de Azure asociada a la zona extendida. Puede realizar esta tarea mediante Azure Portal. También puede usar la CLI de Azure o Azure PowerShell. Al crear el almacén de claves, asegúrese de que se hayan completado las siguientes tareas:
- Todos los recursos pertenecen al mismo grupo de recursos.
- El control de acceso basado en rol de Azure está habilitado.
- La protección de purga está habilitada.
- Se crea o importa una clave RSA (2048 bits o posterior).
Creación de un conjunto de cifrado de disco
A continuación, cree un DES que haga referencia a la clave de Key Vault. El DES debe:
- Se creará en la misma región primaria que el almacén de claves.
- Use una identidad administrada asignada por el sistema.
Conceda al DES acceso a la clave de Key Vault mediante la asignación del rol de usuario de cifrado del servicio criptográfico de Key Vault.
Implementación de una máquina virtual en una zona extendida de Azure
Al implementar una máquina virtual en una zona extendida de Azure, debe especificar lo siguiente:
-
--location: la región principal de Azure. -
--edge-zone: nombre de la zona extendida.
En el ejemplo siguiente se crea una máquina virtual de Windows Server 2022 en la zona extendida de Los Ángeles mediante el uso de Oeste de EE. UU. como región primaria.
az vm create --resource-group 'myResourceGroup' --name 'myVM' --image Win2022Datacenter --size Standard_DS4_v2 --admin-username 'username' --admin-password 'password' --edge-zone losangeles --location westus
Creación de un disco administrado cifrado mediante deS (solo CLI)
Después de crear la máquina virtual, cree un disco administrado cifrado con el DES. Este paso aplica explícitamente las CMK al disco.
az disk create --resource-group 'myResourceGroup' --name 'myDisk' --edge-zone losangeles --location westus --size 64 --sku Premium_LRS --encryption-type EncryptionAtRestWithCustomerKey --disk-encryption-set DES_ID
Comprobación del cifrado de disco
Use el siguiente comando para confirmar que el disco está cifrado con una CMK y asociado al DES correcto:
az disk show -g 'myResourceGroup' -n 'myDisk' --query "{encryptionType:encryption.type, desId:encryption.diskEncryptionSetId}" -o json
Conexión del disco cifrado a la máquina virtual
Después de la comprobación, conecte el disco cifrado a la máquina virtual mediante el comando siguiente:
az vm disk attach --resource-group 'myResourceGroup' --vm-name 'myVM' --name 'myDisk'
Limpieza de recursos
Si ha terminado de trabajar con recursos de este tutorial, siga estas instrucciones para eliminar el grupo de recursos y todos los recursos que contiene:
az group delete --name 'myResourceGroup' --yes --no-wait