Titkosított rendszerkép-verzió létrehozása ügyfél által felügyelt kulcsokkal
A következőkre vonatkozik: ✔️ Linux rendszerű virtuális ✔️ gépek Windows rendszerű virtuális gépek rugalmas méretezési ✔️ csoportjai Egységes méretezési csoportok ✔️
Az Azure Compute Galleryben (korábbi nevén Shared Image Gallery) lévő képek pillanatképekként vannak tárolva. Ezek a rendszerképek automatikusan titkosítva vannak a kiszolgálóoldali 256 bites AES-titkosítással. A kiszolgálóoldali titkosítás a FIPS 140-2 szabványnak is megfelel. További információ az Azure-beli felügyelt lemezek alapjául szolgáló titkosítási modulokról: Cryptography API: Next Generation.
A rendszerképek titkosításához használhat platform által felügyelt kulcsokat, vagy használhatja a saját kulcsait. Mindkét funkciót együtt is használhatja a dupla titkosításhoz. Ha úgy dönt, hogy a titkosítást a saját kulcsaival kezeli, megadhat egy ügyfél által felügyelt kulcsot , amelyet a rendszerképek összes lemezének titkosításához és visszafejtéséhez használhat.
A kiszolgálóoldali titkosítás ügyfél által felügyelt kulcsokon keresztül azure Key Vault használ. Importálhatja RSA-kulcsait a kulcstartóba, vagy új RSA-kulcsokat hozhat létre az Azure Key Vault.
Előfeltételek
Ehhez a cikkhez már rendelkeznie kell egy lemeztitkosítási beállítással minden olyan régióban, ahol replikálni szeretné a lemezképet:
Ha csak ügyfél által felügyelt kulcsot szeretne használni, olvassa el az ügyfél által felügyelt kulcsok kiszolgálóoldali titkosítással történő engedélyezéséről szóló cikkeket a Azure Portal vagy a PowerShell használatával.
A platform által felügyelt és az ügyfél által felügyelt kulcsok (dupla titkosításhoz) használatához tekintse meg a kettős titkosítás inaktív állapotban való engedélyezéséről szóló cikkeket a Azure Portal vagy a PowerShell használatával.
Fontos
A Azure Portal eléréséhez a hivatkozást https://aka.ms/diskencryptionupdates kell használnia. Az inaktív kettős titkosítás jelenleg nem látható a nyilvános Azure Portal, kivéve, ha ezt a hivatkozást használja.
Korlátozások
Ha ügyfél által kezelt kulcsot használ a rendszerképek titkosításához egy Azure Compute-katalógusban, az alábbi korlátok érvényesek:
A titkosítási kulcskészletnek ugyanabban az előfizetésben kell lennie, mint a rendszerképnek.
A titkosítási kulcskészletek regionális erőforrások, ezért minden régióhoz más titkosítási kulcskészlet szükséges.
Miután a saját kulcsait használta a rendszerképek titkosításához, nem léphet vissza a platform által felügyelt kulcsok használatára a rendszerképek titkosításához.
A virtuálisgép-rendszerkép verzióforrása jelenleg nem támogatja az ügyfél által felügyelt kulcstitkosítást.
Néhány funkció, például egy SSE+CMK-lemezkép replikálása, lemezkép létrehozása SSE+CMK titkosított lemezről stb. nem támogatottak a portálon keresztül.
PowerShell
Lemeztitkosítási készlet képverzióhoz való megadásához használja a -TargetRegion
New-AzGalleryImageVersion paramétert:
$sourceId = <ID of the image version source>
$osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet'}
$dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet1';Lun=1}
$dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet2';Lun=2}
$dataDiskImageEncryptions = @($dataDiskImageEncryption1,$dataDiskImageEncryption2)
$encryption1 = @{OSDiskImage=$osDiskImageEncryption;DataDiskImages=$dataDiskImageEncryptions}
$region1 = @{Name='West US';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption1}
$eastUS2osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet'}
$eastUS2dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet1';Lun=1}
$eastUS2dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet2';Lun=2}
$eastUS2DataDiskImageEncryptions = @($eastUS2dataDiskImageEncryption1,$eastUS2dataDiskImageEncryption2)
$encryption2 = @{OSDiskImage=$eastUS2osDiskImageEncryption;DataDiskImages=$eastUS2DataDiskImageEncryptions}
$region2 = @{Name='East US 2';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption2}
$targetRegion = @($region1, $region2)
# Create the image
New-AzGalleryImageVersion `
-ResourceGroupName $rgname `
-GalleryName $galleryName `
-GalleryImageDefinitionName $imageDefinitionName `
-Name $versionName -Location $location `
-SourceImageId $sourceId `
-ReplicaCount 2 `
-StorageAccountType Standard_LRS `
-PublishingProfileEndOfLifeDate '2020-12-01' `
-TargetRegion $targetRegion
Virtuális gép létrehozása
Létrehozhat egy virtuális gépet (VM) egy Azure Compute-katalógusból, és ügyfél által felügyelt kulcsokkal titkosíthatja a lemezeket. A szintaxis megegyezik egy általánosított vagy speciális virtuális gép képből való létrehozásával. Használja a kiterjesztett paraméterkészletet, és adja hozzá Set-AzVMOSDisk -Name $($vmName +"_OSDisk") -DiskEncryptionSetId $diskEncryptionSet.Id -CreateOption FromImage
a virtuális gép konfigurációját.
Adatlemezek esetén adja hozzá a paramétert az -DiskEncryptionSetId $setID
Add-AzVMDataDisk használatakor.
parancssori felület
Lemeztitkosítási készlet képverzióhoz való megadásához használja az --target-region-encryption
az image gallery create-image-version paramétert. A formátum --target-region-encryption
a kulcsok vesszővel tagolt listája az operációs rendszer és az adatlemezek titkosításához. A következőnek kell kinéznie: <encryption set for the OS disk>,<Lun number of the data disk>,<encryption set for the data disk>,<Lun number for the second data disk>,<encryption set for the second data disk>
.
Ha az operációsrendszer-lemez forrása felügyelt lemez vagy virtuális gép, a használatával --managed-image
adja meg a rendszerkép verziójának forrását. Ebben a példában a forrás egy felügyelt rendszerkép, amely operációsrendszer-lemezzel és 0 LUN-os adatlemezzel rendelkezik. Az operációsrendszer-lemezt a DiskEncryptionSet1, az adatlemezt pedig a DiskEncryptionSet2 titkosítja.
az sig image-version create \
-g MyResourceGroup \
--gallery-image-version 1.0.0 \
--location westus \
--target-regions westus=2=standard_lrs eastus2 \
--target-region-encryption WestUSDiskEncryptionSet1,0,WestUSDiskEncryptionSet2 EastUS2DiskEncryptionSet1,0,EastUS2DiskEncryptionSet2 \
--gallery-name MyGallery \
--gallery-image-definition MyImage \
--managed-image "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/images/myImage"
Ha az operációsrendszer-lemez forrása egy pillanatkép, a használatával --os-snapshot
adja meg az operációsrendszer-lemezt. Adjon hozzá minden más adatlemez-pillanatképet, amelyeknek a lemezkép verziójának is részét kell képeznie. Itt --data-snapshot-luns
adhatja meg a LUN-t, a pillanatképeket pedig a használatával --data-snapshots
.
Ebben a példában a források lemezpillanatképek. Van egy operációsrendszer-lemez és egy adatlemez a LUN 0-nál. Az operációsrendszer-lemezt a DiskEncryptionSet1, az adatlemezt pedig a DiskEncryptionSet2 titkosítja.
az sig image-version create \
-g MyResourceGroup \
--gallery-image-version 1.0.0 \
--location westus\
--target-regions westus=2=standard_lrs eastus\
--target-region-encryption WestUSDiskEncryptionSet1,0,WestUSDiskEncryptionSet2 EastUS2DiskEncryptionSet1,0,EastUS2DiskEncryptionSet2 \
--os-snapshot "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/snapshots/myOSSnapshot" \
--data-snapshot-luns 0 \
--data-snapshots "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/snapshots/myDDSnapshot" \
--gallery-name MyGallery \
--gallery-image-definition MyImage
A virtuális gép létrehozása
Létrehozhat egy virtuális gépet egy Azure Compute-katalógusból, és ügyfél által felügyelt kulcsokkal titkosíthatja a lemezeket. A szintaxis ugyanaz, mint egy általánosított vagy speciális virtuális gép létrehozása a --os-disk-encryption-set
paraméter hozzáadásával. Adatlemezek esetén adja hozzá --data-disk-encryption-sets
az adatlemezek lemeztitkosítási készleteinek szóközzel tagolt listáját.
Portál
Amikor létrehozza a rendszerkép verzióját a portálon, a Titkosítás lapon alkalmazhatja a tárolótitkosítási készleteket.
- A Képverzió létrehozása lapon válassza a Titkosítás lapot.
- A Titkosítás típusa területen válassza az Inaktív állapot titkosítása ügyfél által felügyelt kulccsal vagy Kettős titkosítás platform által felügyelt és ügyfél által felügyelt kulcsokkal lehetőséget.
- A lemezkép minden lemezéhez válasszon ki egy titkosítási csoportot a Lemeztitkosítási csoport legördülő listából.
A virtuális gép létrehozása
Létrehozhat virtuális gépet egy rendszerképverzióból, majd ügyfél által kezelt kulcsokkal titkosíthatja a lemezeket. Amikor létrehozza a virtuális gépet a portálon, a Lemezek lapon válassza a Inaktív állapot titkosítása ügyfél által felügyelt kulcsokkal vagy Kettős titkosítás platform által felügyelt és ügyfél által felügyelt kulcsokkal a Titkosítás típusa lehetőséget. Ezután kiválaszthatja a titkosítási készletet a legördülő listában.
Következő lépések
További információ a kiszolgálóoldali lemeztitkosításról.
A vásárlási terv adatainak megadásáról további információt a Képek létrehozásakor Azure Marketplace vásárlási terv adatainak megadása című témakörben talál.