Uso de la CLI de Azure para habilitar el cifrado doble en reposo para discos administrados
Se aplica a: ✔️ máquinas virtuales Linux ✔️ conjuntos de escalado flexibles
Azure Disk Storage admite el cifrado doble en reposo para los discos administrados. Para obtener información conceptual sobre el cifrado doble en reposo, así como otros tipos de cifrado de discos administrados, consulte la sección Cifrado doble en reposo de nuestro artículo sobre el cifrado de discos.
Restricciones
El cifrado doble en reposo no se admite actualmente con Ultra Disks o discos SSD prémium v2.
Requisitos previos
Instale la última versión de la CLI de Azure e inicie sesión en una cuenta de Azure con az login.
Introducción
Cree una instancia de Azure Key Vault y la clave de cifrado.
Al crear la instancia de Key Vault, debe habilitar la eliminación temporal y la protección de purgas. La eliminación temporal garantiza que la instancia de Key Vault conserva una clave eliminada durante un período de retención determinado (valor predeterminado de 90 días). La protección frente a purga garantiza que una clave eliminada no se pueda eliminar de forma permanente hasta que transcurra el período de retención. Esta configuración le protege contra la pérdida de datos debido a la eliminación accidental. Estos valores son obligatorios cuando se usa una instancia de Key Vault para cifrar discos administrados.
subscriptionId=yourSubscriptionID rgName=yourResourceGroupName location=westcentralus keyVaultName=yourKeyVaultName keyName=yourKeyName diskEncryptionSetName=yourDiskEncryptionSetName diskName=yourDiskName az account set --subscription $subscriptionId az keyvault create -n $keyVaultName -g $rgName -l $location --enable-purge-protection true --enable-soft-delete true az keyvault key create --vault-name $keyVaultName -n $keyName --protection software
Obtenga la dirección URL de clave de la clave que ha creado con
az keyvault key show
.az keyvault key show --name $keyName --vault-name $keyVaultName
Cree un elemento DiskEncryptionSet con encryptionType establecido en EncryptionAtRestWithPlatformAndCustomerKeys. Reemplace
yourKeyURL
por la dirección URL que ha recibido deaz keyvault key show
.az disk-encryption-set create --resource-group $rgName --name $diskEncryptionSetName --key-url yourKeyURL --source-vault $keyVaultName --encryption-type EncryptionAtRestWithPlatformAndCustomerKeys
Conceda al recurso DiskEncryptionSet acceso al almacén de claves.
Nota:
Azure puede tardar unos minutos en crear la identidad de su DiskEncryptionSet en su Microsoft Entra ID. Si recibe un error similar a "No se encuentra el objeto en Active Directory" al ejecutar el siguiente comando, espere unos minutos y vuelva a intentarlo.
desIdentity=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [identity.principalId] -o tsv) az keyvault set-policy -n $keyVaultName -g $rgName --object-id $desIdentity --key-permissions wrapkey unwrapkey get
Pasos siguientes
Ahora que ha creado y configurado estos recursos, puede usarlos para proteger los discos administrados. En los vínculos siguientes encontrará scripts de ejemplo, cada uno con un escenario correspondiente, que puede usar para proteger sus discos administrados.