Uso del módulo de Azure PowerShell para habilitar el cifrado doble en reposo para discos administrados

Se aplica a: ✔️ Máquinas virtuales de Windows

Azure Disk Storage admite el cifrado doble en reposo para los discos administrados. Para obtener información conceptual sobre el cifrado doble en reposo, así como otros tipos de cifrado de discos administrados, consulte la sección Cifrado doble en reposo de nuestro artículo sobre el cifrado de discos.

Restricciones

El cifrado doble en reposo no se admite actualmente con Ultra Disks o discos SSD prémium v2.

Requisitos previos

Instale la versión de Azure PowerShelle inicie sesión en una cuenta de Azure con Connect-AzAccount.

Introducción

1. Cree una instancia de Azure Key Vault y la clave de cifrado.

   Al crear la instancia de Key Vault, debe habilitar la eliminación temporal y la protección de purgas. La eliminación temporal garantiza que la instancia de Key Vault conserva una clave eliminada durante un período de retención determinado (valor predeterminado de 90 días). La protección frente a purga garantiza que una clave eliminada no se pueda eliminar de forma permanente hasta que transcurra el período de retención. Esta configuración le protege contra la pérdida de datos debido a la eliminación accidental. Estos valores son obligatorios cuando se usa una instancia de Key Vault para cifrar discos administrados.

   $ResourceGroupName="yourResourceGroupName"
   $LocationName="westus2"
   $keyVaultName="yourKeyVaultName"
   $keyName="yourKeyName"
   $keyDestination="Software"
   $diskEncryptionSetName="yourDiskEncryptionSetName"
   
   $keyVault = New-AzKeyVault -Name $keyVaultName -ResourceGroupName $ResourceGroupName -Location $LocationName -EnableSoftDelete -EnablePurgeProtection
   
   $key = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyName -Destination $keyDestination  
   

2. Recupere la dirección URL de la clave que ha creado, ya que la necesitará para los comandos posteriores. La salida del identificador de Get-AzKeyVaultKey es la dirección URL de la clave.

   Get-AzKeyVaultKey -VaultName $keyVaultName -KeyName $keyName
   

3. Obtenga el identificador de recurso de la instancia de Key Vault que creó, ya que lo necesitará para los comandos posteriores.

   Get-AzKeyVault -VaultName $keyVaultName
   

4. Cree un elemento DiskEncryptionSet con encryptionType establecido en EncryptionAtRestWithPlatformAndCustomerKeys. Reemplace yourKeyURLy yourKeyVaultURL por los valores que recuperó anteriormente.

   $config = New-AzDiskEncryptionSetConfig -Location $locationName -KeyUrl "yourKeyURL" -SourceVaultId 'yourKeyVaultURL' -IdentityType 'SystemAssigned'
   
   $config | New-AzDiskEncryptionSet -ResourceGroupName $ResourceGroupName -Name $diskEncryptionSetName -EncryptionType EncryptionAtRestWithPlatformAndCustomerKeys
   

5. Conceda al recurso DiskEncryptionSet acceso al almacén de claves.

   Nota:

   Azure puede tardar unos minutos en crear la identidad de DiskEncryptionSet en Microsoft Entra ID. Si recibe un error similar a "No se encuentra el objeto en Active Directory" al ejecutar el siguiente comando, espere unos minutos y vuelva a intentarlo.

   $des=Get-AzDiskEncryptionSet -name $diskEncryptionSetName -ResourceGroupName $ResourceGroupName
   Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ObjectId $des.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get
   

Pasos siguientes

Ahora que ha creado y configurado estos recursos, puede usarlos para proteger los discos administrados. En los vínculos siguientes encontrará scripts de ejemplo, cada uno con un escenario correspondiente, que puede usar para proteger sus discos administrados.

• Azure PowerShell: habilitación de claves administradas por el cliente con el cifrado del lado servidor para discos administrados
• Ejemplos de plantillas de Azure Resource Manager