Titkosított rendszerkép-verzió létrehozása ügyfél által felügyelt kulcsokkal

  • Cikk

A következőkre vonatkozik: ✔️ Linux rendszerű virtuális ✔️ gépek Windows rendszerű virtuális gépek rugalmas méretezési ✔️ csoportjai Egységes méretezési csoportok ✔️

Az Azure Compute Galleryben (korábbi nevén Shared Image Gallery) lévő képek pillanatképekként vannak tárolva. Ezek a rendszerképek automatikusan titkosítva vannak a kiszolgálóoldali 256 bites AES-titkosítással. A kiszolgálóoldali titkosítás a FIPS 140-2 szabványnak is megfelel. További információ az Azure-beli felügyelt lemezek alapjául szolgáló titkosítási modulokról: Cryptography API: Next Generation.

A rendszerképek titkosításához használhat platform által felügyelt kulcsokat, vagy használhatja a saját kulcsait. Mindkét funkciót együtt is használhatja a dupla titkosításhoz. Ha úgy dönt, hogy a titkosítást a saját kulcsaival kezeli, megadhat egy ügyfél által felügyelt kulcsot , amelyet a rendszerképek összes lemezének titkosításához és visszafejtéséhez használhat.

A kiszolgálóoldali titkosítás ügyfél által felügyelt kulcsokon keresztül azure Key Vault használ. Importálhatja RSA-kulcsait a kulcstartóba, vagy új RSA-kulcsokat hozhat létre az Azure Key Vault.

Előfeltételek

Ehhez a cikkhez már rendelkeznie kell egy lemeztitkosítási beállítással minden olyan régióban, ahol replikálni szeretné a lemezképet:

  • Ha csak ügyfél által felügyelt kulcsot szeretne használni, olvassa el az ügyfél által felügyelt kulcsok kiszolgálóoldali titkosítással történő engedélyezéséről szóló cikkeket a Azure Portal vagy a PowerShell használatával.

  • A platform által felügyelt és az ügyfél által felügyelt kulcsok (dupla titkosításhoz) használatához tekintse meg a kettős titkosítás inaktív állapotban való engedélyezéséről szóló cikkeket a Azure Portal vagy a PowerShell használatával.

    Fontos

    A Azure Portal eléréséhez a hivatkozást https://aka.ms/diskencryptionupdates kell használnia. Az inaktív kettős titkosítás jelenleg nem látható a nyilvános Azure Portal, kivéve, ha ezt a hivatkozást használja.

Korlátozások

Ha ügyfél által kezelt kulcsot használ a rendszerképek titkosításához egy Azure Compute-katalógusban, az alábbi korlátok érvényesek:

  • A titkosítási kulcskészletnek ugyanabban az előfizetésben kell lennie, mint a rendszerképnek.

  • A titkosítási kulcskészletek regionális erőforrások, ezért minden régióhoz más titkosítási kulcskészlet szükséges.

  • Miután a saját kulcsait használta a rendszerképek titkosításához, nem léphet vissza a platform által felügyelt kulcsok használatára a rendszerképek titkosításához.

  • A virtuálisgép-rendszerkép verzióforrása jelenleg nem támogatja az ügyfél által felügyelt kulcstitkosítást.

  • Néhány funkció, például egy SSE+CMK-lemezkép replikálása, lemezkép létrehozása SSE+CMK titkosított lemezről stb. nem támogatottak a portálon keresztül.

PowerShell

Lemeztitkosítási készlet képverzióhoz való megadásához használja a -TargetRegionNew-AzGalleryImageVersion paramétert:


$sourceId = <ID of the image version source>

$osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet'}

$dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet1';Lun=1}

$dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet2';Lun=2}

$dataDiskImageEncryptions = @($dataDiskImageEncryption1,$dataDiskImageEncryption2)

$encryption1 = @{OSDiskImage=$osDiskImageEncryption;DataDiskImages=$dataDiskImageEncryptions}

$region1 = @{Name='West US';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption1}

$eastUS2osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet'}

$eastUS2dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet1';Lun=1}

$eastUS2dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet2';Lun=2}

$eastUS2DataDiskImageEncryptions = @($eastUS2dataDiskImageEncryption1,$eastUS2dataDiskImageEncryption2)

$encryption2 = @{OSDiskImage=$eastUS2osDiskImageEncryption;DataDiskImages=$eastUS2DataDiskImageEncryptions}

$region2 = @{Name='East US 2';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption2}

$targetRegion = @($region1, $region2)


# Create the image
New-AzGalleryImageVersion `
   -ResourceGroupName $rgname `
   -GalleryName $galleryName `
   -GalleryImageDefinitionName $imageDefinitionName `
   -Name $versionName -Location $location `
   -SourceImageId $sourceId `
   -ReplicaCount 2 `
   -StorageAccountType Standard_LRS `
   -PublishingProfileEndOfLifeDate '2020-12-01' `
   -TargetRegion $targetRegion

Virtuális gép létrehozása

Létrehozhat egy virtuális gépet (VM) egy Azure Compute-katalógusból, és ügyfél által felügyelt kulcsokkal titkosíthatja a lemezeket. A szintaxis megegyezik egy általánosított vagy speciális virtuális gép képből való létrehozásával. Használja a kiterjesztett paraméterkészletet, és adja hozzá Set-AzVMOSDisk -Name $($vmName +"_OSDisk") -DiskEncryptionSetId $diskEncryptionSet.Id -CreateOption FromImage a virtuális gép konfigurációját.

Adatlemezek esetén adja hozzá a paramétert az -DiskEncryptionSetId $setIDAdd-AzVMDataDisk használatakor.

parancssori felület

Lemeztitkosítási készlet képverzióhoz való megadásához használja az --target-region-encryptionaz image gallery create-image-version paramétert. A formátum --target-region-encryption a kulcsok vesszővel tagolt listája az operációs rendszer és az adatlemezek titkosításához. A következőnek kell kinéznie: <encryption set for the OS disk>,<Lun number of the data disk>,<encryption set for the data disk>,<Lun number for the second data disk>,<encryption set for the second data disk>.

Ha az operációsrendszer-lemez forrása felügyelt lemez vagy virtuális gép, a használatával --managed-image adja meg a rendszerkép verziójának forrását. Ebben a példában a forrás egy felügyelt rendszerkép, amely operációsrendszer-lemezzel és 0 LUN-os adatlemezzel rendelkezik. Az operációsrendszer-lemezt a DiskEncryptionSet1, az adatlemezt pedig a DiskEncryptionSet2 titkosítja.

az sig image-version create \
   -g MyResourceGroup \
   --gallery-image-version 1.0.0 \
   --location westus \
   --target-regions westus=2=standard_lrs eastus2 \
   --target-region-encryption WestUSDiskEncryptionSet1,0,WestUSDiskEncryptionSet2 EastUS2DiskEncryptionSet1,0,EastUS2DiskEncryptionSet2 \
   --gallery-name MyGallery \
   --gallery-image-definition MyImage \
   --managed-image "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/images/myImage"

Ha az operációsrendszer-lemez forrása egy pillanatkép, a használatával --os-snapshot adja meg az operációsrendszer-lemezt. Adjon hozzá minden más adatlemez-pillanatképet, amelyeknek a lemezkép verziójának is részét kell képeznie. Itt --data-snapshot-luns adhatja meg a LUN-t, a pillanatképeket pedig a használatával --data-snapshots .

Ebben a példában a források lemezpillanatképek. Van egy operációsrendszer-lemez és egy adatlemez a LUN 0-nál. Az operációsrendszer-lemezt a DiskEncryptionSet1, az adatlemezt pedig a DiskEncryptionSet2 titkosítja.

az sig image-version create \
   -g MyResourceGroup \
   --gallery-image-version 1.0.0 \
   --location westus\
   --target-regions westus=2=standard_lrs eastus\
   --target-region-encryption WestUSDiskEncryptionSet1,0,WestUSDiskEncryptionSet2 EastUS2DiskEncryptionSet1,0,EastUS2DiskEncryptionSet2 \
   --os-snapshot "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/snapshots/myOSSnapshot" \
   --data-snapshot-luns 0 \
   --data-snapshots "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/snapshots/myDDSnapshot" \
   --gallery-name MyGallery \
   --gallery-image-definition MyImage

A virtuális gép létrehozása

Létrehozhat egy virtuális gépet egy Azure Compute-katalógusból, és ügyfél által felügyelt kulcsokkal titkosíthatja a lemezeket. A szintaxis ugyanaz, mint egy általánosított vagy speciális virtuális gép létrehozása a --os-disk-encryption-set paraméter hozzáadásával. Adatlemezek esetén adja hozzá --data-disk-encryption-sets az adatlemezek lemeztitkosítási készleteinek szóközzel tagolt listáját.

Portál

Amikor létrehozza a rendszerkép verzióját a portálon, a Titkosítás lapon alkalmazhatja a tárolótitkosítási készleteket.

  1. A Képverzió létrehozása lapon válassza a Titkosítás lapot.
  2. A Titkosítás típusa területen válassza az Inaktív állapot titkosítása ügyfél által felügyelt kulccsal vagy Kettős titkosítás platform által felügyelt és ügyfél által felügyelt kulcsokkal lehetőséget.
  3. A lemezkép minden lemezéhez válasszon ki egy titkosítási csoportot a Lemeztitkosítási csoport legördülő listából.

A virtuális gép létrehozása

Létrehozhat virtuális gépet egy rendszerképverzióból, majd ügyfél által kezelt kulcsokkal titkosíthatja a lemezeket. Amikor létrehozza a virtuális gépet a portálon, a Lemezek lapon válassza a Inaktív állapot titkosítása ügyfél által felügyelt kulcsokkal vagy Kettős titkosítás platform által felügyelt és ügyfél által felügyelt kulcsokkal a Titkosítás típusa lehetőséget. Ezután kiválaszthatja a titkosítási készletet a legördülő listában.

Következő lépések

További információ a kiszolgálóoldali lemeztitkosításról.

A vásárlási terv adatainak megadásáról további információt a Képek létrehozásakor Azure Marketplace vásárlási terv adatainak megadása című témakörben talál.