Habilitación del cifrado doble en reposo para discos administrados

Se aplica a: ✔️ Máquinas virtuales Linux ✔️ Máquinas virtuales Windows ✔️

Azure Disk Storage admite el cifrado doble en reposo para los discos administrados. Para obtener información conceptual sobre el cifrado doble en reposo, así como otros tipos de cifrado de discos administrados, consulte la sección Cifrado doble en reposo de nuestro artículo sobre el cifrado de discos.

Restricciones

El cifrado doble en reposo no se admite actualmente con Ultra Disks o discos SSD prémium v2.

Requisitos previos

Si va a usar Azure CLI, instale la versión más reciente de Azure CLI e inicie sesión en una cuenta de Azure con az login.

Si va a usar el módulo de Azure PowerShell, instale la Versión más reciente de Azure PowerShell, e inicie sesión en una cuenta de Azure conConnect-AzAccount .

Introducción

Azure Portal

1. Inicie sesión en Azure Portal.

2. Busque y seleccione Conjuntos de cifrado de disco.

   

3. Seleccione + Create (+ Crear).

4. Seleccione alguna de las regiones admitidas.

5. Para Tipo de cifrado, seleccione Cifrado doble con claves administradas por el cliente y la plataforma.

   Nota

   Una vez que cree un conjunto de cifrado de disco con un tipo de cifrado en particular, no se puede cambiar. Si desea usar otro tipo de cifrado, debe crear un nuevo conjunto de cifrado de disco.

6. Rellene la información restante.

   

7. Seleccione una instancia de Azure Key Vault y una clave, o cree una nueva si es necesario.

   Nota

   Si crea una instancia de Key Vault, debe habilitar la eliminación temporal y la protección de purgas. Esta configuración es obligatoria al usar una instancia de Key Vault para cifrar discos administrados, y le protege contra la pérdida de datos debido a la eliminación accidental.

   

8. Seleccione Crear.

9. Navegue hasta el conjunto de cifrado de disco que creó y seleccione el error que se muestra. Esto configurará el conjunto de cifrado de disco para que funcione.

   

   Una notificación debería aparecer y completarse correctamente. Esto le permitirá usar el conjunto de cifrado de disco con el almacén de claves.

   

10. Vaya al disco.

11. Seleccione Cifrado.

12. En Administración de claves, seleccione una de las claves en Claves administradas por la plataforma y administradas por el cliente.

13. Seleccione Guardar.

    

Ha habilitado el cifrado doble en reposo en el disco administrado.

CLI de Azure

1. Cree una instancia de Azure Key Vault y la clave de cifrado.

   Al crear la instancia de Key Vault, debe habilitar la eliminación temporal y la protección de purgas. La eliminación temporal garantiza que la instancia de Key Vault conserva una clave eliminada durante un período de retención determinado (valor predeterminado de 90 días). La protección frente a purga garantiza que una clave eliminada no se pueda eliminar de forma permanente hasta que transcurra el período de retención. Esta configuración le protege contra la pérdida de datos debido a la eliminación accidental. Estos valores son obligatorios cuando se usa una instancia de Key Vault para cifrar discos administrados.

   subscriptionId=yourSubscriptionID
   rgName=yourResourceGroupName
   location=westcentralus
   keyVaultName=yourKeyVaultName
   keyName=yourKeyName
   diskEncryptionSetName=yourDiskEncryptionSetName
   diskName=yourDiskName
   
   az account set --subscription $subscriptionId
   
   az keyvault create -n $keyVaultName -g $rgName -l $location --enable-purge-protection true --enable-soft-delete true
   
   az keyvault key create --vault-name $keyVaultName -n $keyName --protection software
   

2. Obtenga la dirección URL de clave de la clave que ha creado con az keyvault key show.

   az keyvault key show --name $keyName --vault-name $keyVaultName
   

3. Cree un elemento DiskEncryptionSet con encryptionType establecido en EncryptionAtRestWithPlatformAndCustomerKeys. Reemplace yourKeyURL por la dirección URL que ha recibido de az keyvault key show.

   az disk-encryption-set create --resource-group $rgName --name $diskEncryptionSetName --key-url yourKeyURL --source-vault $keyVaultName --encryption-type EncryptionAtRestWithPlatformAndCustomerKeys
   

4. Conceda al recurso DiskEncryptionSet acceso al almacén de claves.

Nota:

Azure puede tardar unos minutos en crear la identidad de DiskEncryptionSet en Microsoft Entra ID. Si recibe un error similar a "No se encuentra el objeto en Active Directory" al ejecutar el siguiente comando, espere unos minutos y vuelva a intentarlo.

desIdentity=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [identity.principalId] -o tsv)

az keyvault set-policy -n $keyVaultName -g $rgName --object-id $desIdentity --key-permissions wrapkey unwrapkey get

Azure PowerShell

1. Cree una instancia de Azure Key Vault y la clave de cifrado.

   Al crear la instancia de Key Vault, debe habilitar la eliminación temporal y la protección de purgas. La eliminación temporal garantiza que la instancia de Key Vault conserva una clave eliminada durante un período de retención determinado (valor predeterminado de 90 días). La protección frente a purga garantiza que una clave eliminada no se pueda eliminar de forma permanente hasta que transcurra el período de retención. Esta configuración le protege contra la pérdida de datos debido a la eliminación accidental. Estos valores son obligatorios cuando se usa una instancia de Key Vault para cifrar discos administrados.

   $ResourceGroupName="yourResourceGroupName"
   $LocationName="westus2"
   $keyVaultName="yourKeyVaultName"
   $keyName="yourKeyName"
   $keyDestination="Software"
   $diskEncryptionSetName="yourDiskEncryptionSetName"
   
   $keyVault = New-AzKeyVault -Name $keyVaultName -ResourceGroupName $ResourceGroupName -Location $LocationName -EnableSoftDelete -EnablePurgeProtection
   
   $key = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyName -Destination $keyDestination  
   

2. Recupere la dirección URL de la clave que ha creado, ya que la necesitará para los comandos posteriores. La salida del identificador de Get-AzKeyVaultKey es la dirección URL de la clave.

   Get-AzKeyVaultKey -VaultName $keyVaultName -KeyName $keyName
   

3. Obtenga el identificador de recurso de la instancia de Key Vault que creó, ya que lo necesitará para los comandos posteriores.

   Get-AzKeyVault -VaultName $keyVaultName
   

4. Cree un elemento DiskEncryptionSet con encryptionType establecido en EncryptionAtRestWithPlatformAndCustomerKeys. Reemplace yourKeyURLy yourKeyVaultURL por los valores que recuperó anteriormente.

   $config = New-AzDiskEncryptionSetConfig -Location $locationName -KeyUrl "yourKeyURL" -SourceVaultId 'yourKeyVaultURL' -IdentityType 'SystemAssigned'
   
   $config | New-AzDiskEncryptionSet -ResourceGroupName $ResourceGroupName -Name $diskEncryptionSetName -EncryptionType EncryptionAtRestWithPlatformAndCustomerKeys
   

5. Conceda al recurso DiskEncryptionSet acceso al almacén de claves.

   Nota:

   Azure puede tardar unos minutos en crear la identidad de DiskEncryptionSet en Microsoft Entra ID. Si recibe un error similar a "No se encuentra el objeto en Active Directory" al ejecutar el siguiente comando, espere unos minutos y vuelva a intentarlo.

   $des=Get-AzDiskEncryptionSet -name $diskEncryptionSetName -ResourceGroupName $ResourceGroupName
   Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ObjectId $des.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get
   

Pasos siguientes

• Azure PowerShell: habilitación de claves administradas por el cliente con el cifrado del lado servidor para discos administrados
• Ejemplos de plantillas de Azure Resource Manager
• Habilitación de claves administradas por el cliente con el cifrado del lado servidor: Ejemplos