Megosztás a következőn keresztül:

Titkosított rendszerkép-verzió létrehozása ügyfél által felügyelt kulcsokkal

  • Cikk

A következőkre vonatkozik: ✔️ Linux rendszerű virtuális gépek ✔️ Windows rendszerű virtuális gépek Rugalmas méretezési ✔️ csoportok ✔️ Egységes méretezési csoportok

Az Azure Compute Galleryben (korábbi nevén megosztott képgyűjteményben) tárolt képek pillanatképekként vannak tárolva. Ezek a rendszerképek automatikusan titkosítva lesznek a kiszolgálóoldali 256 bites titkosítási AES-titkosítással. A kiszolgálóoldali titkosítás a FIPS 140-2 szabványnak is megfelel. Az Azure által felügyelt lemezek alapjául szolgáló titkosítási modulokkal kapcsolatos további információkért lásd : Cryptography API: Next Generation.

A rendszerképek titkosításához platform által felügyelt kulcsokra támaszkodhat, vagy használhatja a saját kulcsait. Mindkét funkciót együtt is használhatja a dupla titkosításhoz. Ha úgy dönt, hogy saját kulcsokkal kezeli a titkosítást, megadhat egy ügyfél által felügyelt kulcsot , amelyet a rendszerképek összes lemezének titkosításához és visszafejtéséhez használhat.

A kiszolgálóoldali titkosítás az ügyfél által felügyelt kulcsokon keresztül az Azure Key Vaultot használja. Importálhatja RSA-kulcsait a kulcstartóba, vagy létrehozhat új RSA-kulcsokat az Azure Key Vaultban.

Előfeltételek

Ehhez a cikkhez már rendelkeznie kell egy lemeztitkosítási beállítással minden olyan régióban, ahol replikálni szeretné a lemezképet:

  • Ha csak ügyfél által felügyelt kulcsot szeretne használni, tekintse meg az ügyfél által felügyelt kulcsok kiszolgálóoldali titkosítással történő engedélyezéséről szóló cikkeket az Azure Portal vagy a PowerShell használatával.

  • A platform által felügyelt és az ügyfél által felügyelt kulcsok (dupla titkosításhoz) használatához tekintse meg a kettős titkosítás inaktív állapotban való engedélyezéséről szóló cikkeket az Azure Portal vagy a PowerShell használatával.

    Fontos

    Az Azure Portal eléréséhez a hivatkozást https://aka.ms/diskencryptionupdates kell használnia. A inaktív dupla titkosítás jelenleg nem látható a nyilvános Azure Portalon, hacsak nem használja ezt a hivatkozást.

Korlátozások

Ha ügyfél által kezelt kulcsot használ a rendszerképek titkosításához egy Azure Compute-katalógusban, az alábbi korlátok érvényesek:

  • A titkosítási kulcskészletnek ugyanabban az előfizetésben kell lennie, mint a rendszerképnek.

  • A titkosítási kulcskészletek regionális erőforrások, ezért minden régióhoz más titkosítási kulcskészlet szükséges.

  • Miután a saját kulcsait használta egy kép titkosításához, nem léphet vissza a platform által felügyelt kulcsok használatára a rendszerképek titkosításához.

  • A virtuálisgép-rendszerkép verzióforrása jelenleg nem támogatja az ügyfél által felügyelt kulcstitkosítást.

  • Egyes funkciók, például az SSE+CMK-lemezképek replikálása, az SSE+CMK titkosított lemezről való létrehozás stb. nem támogatottak a portálon keresztül.

PowerShell

Lemeztitkosítási csoport képverzióhoz való megadásához használja a New-AzGalleryImageVersion parancsot a -TargetRegion következő paraméterrel:


$sourceId = <ID of the image version source>

$osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet'}

$dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet1';Lun=1}

$dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet2';Lun=2}

$dataDiskImageEncryptions = @($dataDiskImageEncryption1,$dataDiskImageEncryption2)

$encryption1 = @{OSDiskImage=$osDiskImageEncryption;DataDiskImages=$dataDiskImageEncryptions}

$region1 = @{Name='West US';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption1}

$eastUS2osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet'}

$eastUS2dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet1';Lun=1}

$eastUS2dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet2';Lun=2}

$eastUS2DataDiskImageEncryptions = @($eastUS2dataDiskImageEncryption1,$eastUS2dataDiskImageEncryption2)

$encryption2 = @{OSDiskImage=$eastUS2osDiskImageEncryption;DataDiskImages=$eastUS2DataDiskImageEncryptions}

$region2 = @{Name='East US 2';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption2}

$targetRegion = @($region1, $region2)


# Create the image
New-AzGalleryImageVersion `
   -ResourceGroupName $rgname `
   -GalleryName $galleryName `
   -GalleryImageDefinitionName $imageDefinitionName `
   -Name $versionName -Location $location `
   -SourceImageId $sourceId `
   -ReplicaCount 2 `
   -StorageAccountType Standard_LRS `
   -PublishingProfileEndOfLifeDate '2020-12-01' `
   -TargetRegion $targetRegion

Virtuális gép létrehozása

Létrehozhat egy virtuális gépet (virtuális gépet) egy Azure Compute Galleryből, és ügyfél által felügyelt kulcsokkal titkosíthatja a lemezeket. A szintaxis ugyanaz, mint egy általánosított vagy speciális virtuális gép létrehozása egy képből. Használja a kiterjesztett paraméterkészletet, és adja hozzá Set-AzVMOSDisk -Name $($vmName +"_OSDisk") -DiskEncryptionSetId $diskEncryptionSet.Id -CreateOption FromImage a virtuálisgép-konfigurációhoz.

Adatlemezek esetén adja hozzá a paramétert az -DiskEncryptionSetId $setID Add-AzVMDataDisk használatakor.

CLI

Lemeztitkosítási csoport megadásához használja az az image gallery create-image-version paramétert--target-region-encryption. A formátum --target-region-encryption az operációs rendszer és az adatlemezek titkosításához használt kulcsok vesszővel tagolt listája. Úgy kell kinéznie, mint a következő: <encryption set for the OS disk>,<Lun number of the data disk>,<encryption set for the data disk>,<Lun number for the second data disk>,<encryption set for the second data disk>.

Ha az operációsrendszer-lemez forrása felügyelt lemez vagy virtuális gép, a --managed-image rendszerkép verziójának forrását adja meg. Ebben a példában a forrás egy felügyelt rendszerkép, amelynek operációsrendszer-lemeze és adatlemeze lun 0. Az operációsrendszer-lemezt a DiskEncryptionSet1 titkosítja, az adatlemez pedig a DiskEncryptionSet2-vel lesz titkosítva.

az sig image-version create \
   -g MyResourceGroup \
   --gallery-image-version 1.0.0 \
   --location westus \
   --target-regions westus=2=standard_lrs eastus2 \
   --target-region-encryption WestUSDiskEncryptionSet1,0,WestUSDiskEncryptionSet2 EastUS2DiskEncryptionSet1,0,EastUS2DiskEncryptionSet2 \
   --gallery-name MyGallery \
   --gallery-image-definition MyImage \
   --managed-image "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/images/myImage"

Ha az operációsrendszer-lemez forrása pillanatkép, használja --os-snapshot az operációsrendszer-lemez megadását. Adjon hozzá minden olyan adatlemez-pillanatképet, amelyeknek a képverzió részét is kell képeznie. A --data-snapshot-luns LUN megadására és a pillanatképek megadására használható --data-snapshots .

Ebben a példában a források lemez pillanatképek. Van egy operációsrendszer-lemez és egy adatlemez a LUN 0-nál. Az operációsrendszer-lemezt a DiskEncryptionSet1 titkosítja, az adatlemez pedig a DiskEncryptionSet2-vel lesz titkosítva.

az sig image-version create \
   -g MyResourceGroup \
   --gallery-image-version 1.0.0 \
   --location westus\
   --target-regions westus=2=standard_lrs eastus\
   --target-region-encryption WestUSDiskEncryptionSet1,0,WestUSDiskEncryptionSet2 EastUS2DiskEncryptionSet1,0,EastUS2DiskEncryptionSet2 \
   --os-snapshot "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/snapshots/myOSSnapshot" \
   --data-snapshot-luns 0 \
   --data-snapshots "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/snapshots/myDDSnapshot" \
   --gallery-name MyGallery \
   --gallery-image-definition MyImage

A virtuális gép létrehozása

Létrehozhat egy virtuális gépet egy Azure Compute Galleryből, és ügyfél által felügyelt kulcsokkal titkosíthatja a lemezeket. A szintaxis ugyanaz, mint egy általánosított vagy specializált virtuális gép létrehozása a --os-disk-encryption-set paraméter hozzáadásával. Adatlemezek esetén adja hozzá --data-disk-encryption-sets az adatlemezek lemeztitkosítási készleteinek szóközzel tagolt listájával.

Portál

Amikor létrehozza a rendszerkép verzióját a portálon, a Titkosítás lapon alkalmazhatja a tárolótitkosítási csoportokat.

  1. A Képverzió létrehozása lapon válassza a Titkosítás lapot.
  2. Titkosítási típus esetén válassza a Inaktív titkosítás lehetőséget egy ügyfél által felügyelt kulccsal vagy kettős titkosítással platform által felügyelt és ügyfél által felügyelt kulcsokkal.
  3. A lemezkép minden lemezéhez válasszon ki egy titkosítási csoportot a Lemeztitkosítási csoport legördülő listából.

A virtuális gép létrehozása

Létrehozhat virtuális gépet egy rendszerképverzióból, majd ügyfél által kezelt kulcsokkal titkosíthatja a lemezeket. Amikor létrehozza a virtuális gépet a portálon, a Lemezek lapon válassza a Inaktív állapot titkosítása ügyfél által felügyelt kulcsokkal vagy Kettős titkosítás platform által felügyelt és ügyfél által felügyelt kulcsokkal a titkosítás típusához. Ezután kiválaszthatja a titkosítási készletet a legördülő listában.

Következő lépések

További információ a kiszolgálóoldali lemeztitkosításról.

A vásárlási terv adatainak megadásáról további információt az Azure Marketplace vásárlási tervadatainak megadása rendszerképek létrehozásakor című témakörben talál.