Utiliser le module Azure PowerShell afin d’activer le double chiffrement au repos pour les disques managés

  • Article

S’applique à : ✔️ Machine virtuelles Windows

Le Stockage sur disque Azure prend en charge le double chiffrement au repos pour les disques managés. Pour obtenir des informations conceptuelles sur le chiffrement double au repos ainsi que sur d’autres types de chiffrement de disque managé, consultez la section Double chiffrement au repos dans notre article sur le chiffrement de disque.

Restrictions

Le double chiffrement au repos n’est actuellement pas pris en charge avec les Disques Ultra ou les disques SSD Premium v2.

Prérequis

Installez la dernière version d’Azure PowerShell et connectez-vous à un compte Azure à l’aide de Connect-AzAccount.

Prise en main

  1. Créer une instance Azure Key Vault et une clé de chiffrement.

    Lorsque vous créez l’instance Key Vault, vous devez activer la suppression réversible et la protection de purge. La suppression réversible permet de s’assurer que Key Vault contient une clé supprimée pour une période de rétention donnée (90 jours par défaut). La protection contre la suppression définitive permet de vérifier qu’une clé supprimée ne peut pas être supprimée définitivement tant que la période de conservation n’est pas arrivée à expiration. Ces paramètres vous protègent contre la perte de données en raison d’une suppression accidentelle. Ces paramètres sont obligatoires lors de l’utilisation d’un coffre de clés Key Vault pour le chiffrement des disques managés.

    $ResourceGroupName="yourResourceGroupName"
$LocationName="westus2"
$keyVaultName="yourKeyVaultName"
$keyName="yourKeyName"
$keyDestination="Software"
$diskEncryptionSetName="yourDiskEncryptionSetName"

$keyVault = New-AzKeyVault -Name $keyVaultName -ResourceGroupName $ResourceGroupName -Location $LocationName -EnableSoftDelete -EnablePurgeProtection

$key = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyName -Destination $keyDestination

  2. Récupérez l’URL de la clé que vous avez créée. Vous en aurez besoin pour les commandes suivantes. La sortie de l’ID à partir de Get-AzKeyVaultKey est l’URL de la clé.

    Get-AzKeyVaultKey -VaultName $keyVaultName -KeyName $keyName

  3. Obtenez l’ID de ressource pour l’instance Key Vault que vous avez créée. Vous en aurez besoin pour les commandes suivantes.

    Get-AzKeyVault -VaultName $keyVaultName

  4. Créez un DiskEncryptionSet avec encryptionType défini sur EncryptionAtRestWithPlatformAndCustomerKeys. Remplacez yourKeyURL et yourKeyVaultURL par les valeurs que vous avez récupérées précédemment.

    $config = New-AzDiskEncryptionSetConfig -Location $locationName -KeyUrl "yourKeyURL" -SourceVaultId 'yourKeyVaultURL' -IdentityType 'SystemAssigned'

$config | New-AzDiskEncryptionSet -ResourceGroupName $ResourceGroupName -Name $diskEncryptionSetName -EncryptionType EncryptionAtRestWithPlatformAndCustomerKeys

  5. Accorder à la ressource DiskEncryptionSet l’accès au coffre de clés.

    Remarque

    La création de l’identité de votre DiskEncryptionSet dans Microsoft Entra ID peut prendre quelques minutes. Si vous recevez une erreur comme « Impossible de trouver l’objet Active Directory » lors de l’exécution de la commande suivante, attendez quelques minutes et réessayez.

    $des=Get-AzDiskEncryptionSet -name $diskEncryptionSetName -ResourceGroupName $ResourceGroupName
Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ObjectId $des.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get

Étapes suivantes

Maintenant que vous avez créé et configuré ces ressources, vous pouvez les utiliser pour sécuriser vos disques managés. Les liens suivants contiennent des exemples de scripts, chacun avec un scénario respectif, que vous pouvez utiliser pour sécuriser vos disques managés.