Uso del módulo de Azure PowerShell para habilitar el cifrado doble en reposo para discos administrados
Se aplica a: ✔️ Máquinas virtuales de Windows
Azure Disk Storage admite el cifrado doble en reposo para los discos administrados. Para obtener información conceptual sobre el cifrado doble en reposo, así como otros tipos de cifrado de discos administrados, consulte la sección Cifrado doble en reposo de nuestro artículo sobre el cifrado de discos.
Restricciones
El cifrado doble en reposo no se admite actualmente con Ultra Disks o discos SSD prémium v2.
Requisitos previos
Instale la versión de Azure PowerShelle inicie sesión en una cuenta de Azure con Connect-AzAccount.
Introducción
Cree una instancia de Azure Key Vault y la clave de cifrado.
Al crear la instancia de Key Vault, debe habilitar la eliminación temporal y la protección de purgas. La eliminación temporal garantiza que la instancia de Key Vault conserva una clave eliminada durante un período de retención determinado (valor predeterminado de 90 días). La protección frente a purga garantiza que una clave eliminada no se pueda eliminar de forma permanente hasta que transcurra el período de retención. Esta configuración le protege contra la pérdida de datos debido a la eliminación accidental. Estos valores son obligatorios cuando se usa una instancia de Key Vault para cifrar discos administrados.
$ResourceGroupName="yourResourceGroupName" $LocationName="westus2" $keyVaultName="yourKeyVaultName" $keyName="yourKeyName" $keyDestination="Software" $diskEncryptionSetName="yourDiskEncryptionSetName" $keyVault = New-AzKeyVault -Name $keyVaultName -ResourceGroupName $ResourceGroupName -Location $LocationName -EnableSoftDelete -EnablePurgeProtection $key = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyName -Destination $keyDestination
Recupere la dirección URL de la clave que ha creado, ya que la necesitará para los comandos posteriores. La salida del identificador de
Get-AzKeyVaultKey
es la dirección URL de la clave.Get-AzKeyVaultKey -VaultName $keyVaultName -KeyName $keyName
Obtenga el identificador de recurso de la instancia de Key Vault que creó, ya que lo necesitará para los comandos posteriores.
Get-AzKeyVault -VaultName $keyVaultName
Cree un elemento DiskEncryptionSet con encryptionType establecido en EncryptionAtRestWithPlatformAndCustomerKeys. Reemplace
yourKeyURL
yyourKeyVaultURL
por los valores que recuperó anteriormente.$config = New-AzDiskEncryptionSetConfig -Location $locationName -KeyUrl "yourKeyURL" -SourceVaultId 'yourKeyVaultURL' -IdentityType 'SystemAssigned' $config | New-AzDiskEncryptionSet -ResourceGroupName $ResourceGroupName -Name $diskEncryptionSetName -EncryptionType EncryptionAtRestWithPlatformAndCustomerKeys
Conceda al recurso DiskEncryptionSet acceso al almacén de claves.
Nota:
Azure puede tardar unos minutos en crear la identidad de DiskEncryptionSet en Microsoft Entra ID. Si recibe un error similar a "No se encuentra el objeto en Active Directory" al ejecutar el siguiente comando, espere unos minutos y vuelva a intentarlo.
$des=Get-AzDiskEncryptionSet -name $diskEncryptionSetName -ResourceGroupName $ResourceGroupName Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ObjectId $des.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get
Pasos siguientes
Ahora que ha creado y configurado estos recursos, puede usarlos para proteger los discos administrados. En los vínculos siguientes encontrará scripts de ejemplo, cada uno con un escenario correspondiente, que puede usar para proteger sus discos administrados.