Lemezek titkosítása ügyfél által felügyelt kulcsokkal az Azure DevTest Labsban

A kiszolgálóoldali titkosítás (SSE) védi az adatokat, és segít megfelelni a szervezeti biztonsági és megfelelőségi követelményeknek. Az SSE alapértelmezés szerint automatikusan titkosítja az Azure-ban (operációs rendszer és adatlemezek) felügyelt lemezeken tárolt adatokat, amikor azokat a felhőben tárolja. További információ a lemeztitkosításról az Azure-ban.

A DevTest Labsban a tesztkörnyezet részeként létrehozott operációsrendszer-lemezek és adatlemezek platform által felügyelt kulcsokkal vannak titkosítva. Tesztkörnyezet-tulajdonosként azonban dönthet úgy, hogy saját kulcsokkal titkosítja a tesztkörnyezeti virtuálisgép-lemezeket. Ha úgy dönt, hogy saját kulcsokkal kezeli a titkosítást, megadhat egy ügyfél által felügyelt kulcsot , amelyet a tesztkörnyezet lemezeinek adatainak titkosításához használhat. Az ügyfél által felügyelt kulcsokkal és más felügyelt lemeztitkosítási típusokkal rendelkező kiszolgálóoldali titkosításról (SSE) az ügyfél által felügyelt kulcsokkal kapcsolatos további információkért tekintse meg az ügyfél által felügyelt kulcsokat. Tekintse meg az ügyfél által felügyelt kulcsok használatára vonatkozó korlátozásokat is.

Feljegyzés

• A beállítás a laborban újonnan létrehozott lemezekre vonatkozik. Ha úgy dönt, hogy módosítja a lemeztitkosítási készletet, a tesztkörnyezet régebbi lemezei továbbra is titkosítva maradnak az előző lemeztitkosítási készlettel.

Az alábbi szakasz bemutatja, hogyan állíthatja be a tesztkörnyezet tulajdonosa a titkosítást egy ügyfél által felügyelt kulccsal.

Előfeltételek

1. Ha nincs lemeztitkosítási készlete, ebben a cikkben egy Key Vaultot és egy lemeztitkosítási csoportot állíthat be. Jegyezze fel a lemeztitkosítási csoport alábbi követelményeit:

   • A lemeztitkosítási csoportnak ugyanabban a régióban és előfizetésben kell lennie , mint a labornak.
   • Győződjön meg arról, hogy (a tesztkörnyezet tulajdonosa) legalább olvasószintű hozzáféréssel rendelkezik a tesztkörnyezetlemezek titkosításához használt lemeztitkosítási csoporthoz.

2. A 2020. 08. 01. előtt létrehozott tesztkörnyezetek esetében a tesztkörnyezet tulajdonosának biztosítania kell, hogy a laborrendszerhez rendelt identitás engedélyezve legyen. Ehhez a tesztkörnyezet tulajdonosa megnyithatja a tesztkörnyezetet, a Konfiguráció és szabályzatok elemre, az Identitás (előzetes verzió) panelre, a Rendszer által hozzárendelt identitás állapotának bekapcsolva állapotára, majd a Mentés gombra kattintva léphet. A 2020. 08. 01. után létrehozott új tesztkörnyezetek rendszer által hozzárendelt identitása alapértelmezés szerint engedélyezve lesz.

   

3. Ahhoz, hogy a tesztkörnyezet az összes tesztkörnyezetlemez titkosítását kezelje, a tesztkörnyezet tulajdonosának explicit módon meg kell adnia a tesztkörnyezet rendszer által hozzárendelt identitásolvasói szerepkörét a lemeztitkosítási csoportban, valamint a virtuálisgép-közreműködői szerepkört az alapul szolgáló Azure-előfizetésben. A tesztkörnyezet tulajdonosa ezt a következő lépések végrehajtásával teheti meg:

   1. Győződjön meg arról, hogy az Azure-előfizetés szintjén tagja a felhasználói hozzáférés-rendszergazdai szerepkörnek , hogy kezelni tudja az Azure-erőforrásokhoz való felhasználói hozzáférést.

   2. A Lemeztitkosítási csoport lapon rendelje hozzá legalább az Olvasó szerepkört ahhoz a labornévhez, amelyhez a lemeztitkosítási csoportot használni fogja.

      A részletes lépésekért tekintse meg az Azure-szerepköröknek az Azure Portalon történő hozzárendelését ismertető cikket.

   3. Lépjen az Előfizetés lapra az Azure Portalon.

   4. Rendelje hozzá a virtuálisgép-közreműködői szerepkört a tesztkörnyezet nevéhez (a tesztkörnyezet rendszer által hozzárendelt identitásához).

Tesztkörnyezet operációsrendszer-lemezeinek titkosítása ügyfél által felügyelt kulccsal

1. Az Azure Portal tesztkörnyezetének kezdőlapján válassza a Bal oldali menü Konfiguráció és szabályzatok elemét.

2. A Konfiguráció és szabályzatok lapon válassza a Lemezek (előzetes verzió) lehetőséget a Titkosítás szakaszban. Alapértelmezés szerint a titkosítási típus inaktív titkosításra van beállítva egy platform által felügyelt kulccsal.

   

3. Titkosítási típus esetén válassza a Inaktív állapotú titkosítás lehetőséget egy ügyfél által felügyelt kulccsal a legördülő listából.

4. Lemeztitkosítási csoport esetén válassza ki a korábban létrehozott lemeztitkosítási csoportot. Ugyanaz a lemeztitkosítási készlet, amelyhez a labor rendszer által hozzárendelt identitása hozzáfér.

5. Válassza az eszköztár Save (Mentés) elemét.

   

6. Az üzenetpanelen a következő szöveggel: Ez a beállítás a labor újonnan létrehozott gépeire lesz érvényes. A régi operációsrendszer-lemez titkosítva marad a régi lemeztitkosítási csoporttal, és válassza az OK gombot.

   A konfigurálás után a tesztkörnyezet lemezei a lemeztitkosítási készlettel biztosított ügyfél által kezelt kulccsal lesznek titkosítva.

Lemezek titkosításának ellenőrzése

1. Lépjen egy tesztkörnyezeti virtuális gépre, amely azután jött létre, hogy engedélyezte a lemeztitkosítást egy ügyfél által felügyelt kulccsal a laborban.

   

2. Kattintson a virtuális gép erőforráscsoportjára, és kattintson az operációsrendszer-lemezre.

   

3. Lépjen a Titkosítás elemre, és ellenőrizze, hogy a titkosítás ügyfél által felügyelt kulcsra van-e beállítva a kiválasztott Lemeztitkosítási beállítással.

   

Kapcsolódó tartalom

Tekintse meg az alábbi cikkeket:

• Azure Disk Encryption.
• Felhasználó által kezelt kulcsok