Az Azure Disk Encryption engedélyezése Microsoft Entra-azonosítóval Linux rendszerű virtuális gépeken (korábbi kiadás)

A következőkre vonatkozik: ✔️ Linux rendszerű virtuális gépek rugalmas méretezési ✔️ csoportjai

Az Azure Disk Encryption új kiadása szükségtelenné teszi a Microsoft Entra alkalmazásparaméter biztosítását a virtuálisgép-lemez titkosításának engedélyezéséhez. Az új kiadással már nem kell megadnia a Microsoft Entra hitelesítő adatait az engedélyezési titkosítási lépés során. Az új kiadással minden új virtuális gépet titkosítani kell a Microsoft Entra alkalmazásparaméterek nélkül. A virtuális gépek lemeztitkosításának az új kiadással történő engedélyezésével kapcsolatos utasításokért lásd : Azure Disk Encryption for Linux VMS. A Microsoft Entra alkalmazásparaméterekkel már titkosított virtuális gépek továbbra is támogatottak, és továbbra is a Microsoft Entra szintaxissal kell fenntartani őket.

Számos lemeztitkosítási forgatókönyvet engedélyezhet, és a lépések a forgatókönyvtől függően változhatnak. Az alábbi szakaszok részletesebben ismertetik a Linux-infrastruktúra szolgáltatásként (IaaS) futó virtuális gépekre vonatkozó forgatókönyveket. Csak a támogatott virtuálisgép-méretű és operációs rendszerű virtuális gépekre alkalmazhat lemeztitkosítást. Emellett a következő előfeltételeknek is meg kell felelnie:

• A virtuális gépekkel kapcsolatos további követelmények
• Hálózatkezelés és csoportházirend
• A titkosítási kulcs tárhelyével kapcsolatos követelmények

Készítsen pillanatképet, készítsen biztonsági másolatot vagy mindkettőt a lemezek titkosítása előtt. A biztonsági mentések biztosítják, hogy lehetséges legyen a helyreállítási lehetőség, ha váratlan hiba történik a titkosítás során. A felügyelt lemezekkel rendelkező virtuális gépeken biztonsági mentésre van szükség a titkosítás előtt. A biztonsági mentés után a Set-AzVMDiskEncryptionExtension parancsmaggal titkosíthatja a felügyelt lemezeket a -skipVmBackup paraméter megadásával. A titkosított virtuális gépek biztonsági mentéséről és visszaállításáról az Azure Backupban olvashat bővebben.

Figyelmeztetés

• Ha korábban az Azure Disk Encryptiont a Microsoft Entra alkalmazással használta a virtuális gép titkosításához, ezt a beállítást továbbra is használnia kell a virtuális gép titkosításához. Ezen a titkosított virtuális gépen nem használhatJa az Azure Disk Encryptiont , mert ez nem támogatott forgatókönyv, ami azt jelenti, hogy a titkosított virtuális gép Microsoft Entra-alkalmazásáról való váltás egyelőre nem támogatott.
• Annak érdekében, hogy a titkosítási titkos kulcsok ne léphessenek át regionális határokat, az Azure Disk Encryptionnek szüksége van a kulcstartóra és a virtuális gépekre ugyanabban a régióban. Hozzon létre és használjon egy kulcstartót, amely ugyanabban a régióban található, mint a titkosítandó virtuális gép.
• Linux operációsrendszer-kötetek titkosítása esetén a folyamat eltarthat néhány óráig. A Linux operációsrendszer-kötetek titkosítása általában hosszabb időt vesz igénybe, mint az adatkötetek titkosítása.
• Linux operációsrendszer-kötetek titkosításakor a virtuális gépet elérhetetlennek kell tekinteni. Határozottan javasoljuk, hogy kerülje az SSH-bejelentkezéseket, amíg a titkosítás folyamatban van, hogy elkerülje a titkosítási folyamat során elérendő nyitott fájlok blokkolását. Az állapot ellenőrzéséhez használja a Get-AzVMDiskEncryptionStatus vagy a vm encryption show parancsokat. Ez a folyamat várhatóan néhány órát vesz igénybe egy 30 GB-os operációsrendszer-kötet esetében, és további időt is igénybe vehet az adatkötetek titkosítása. Az adatkötet titkosítási ideje arányos az adatkötetek méretével és mennyiségével, kivéve, ha a titkosítási formátum minden beállítást használ.
• Linux rendszerű virtuális gépeken a titkosítás letiltása csak adatkötetek esetében támogatott. Nem támogatott adat- vagy operációsrendszer-köteteken, ha az operációsrendszer-kötet titkosítva van.

Titkosítás engedélyezése meglévő vagy futó IaaS Linux rendszerű virtuális gépen

Ebben a forgatókönyvben az Azure Resource Manager-sablon, a PowerShell-parancsmagok vagy az Azure CLI-parancsok használatával engedélyezheti a titkosítást.

Fontos

Az Azure Disk Encryption engedélyezése előtt kötelező pillanatképet készíteni vagy biztonsági másolatot készíteni egy felügyelt lemezalapú virtuálisgép-példányról. Készíthet pillanatképet a felügyelt lemezről az Azure Portalról, vagy használhatja az Azure Backupot. A biztonsági mentések biztosítják, hogy a titkosítás során váratlan meghibásodás esetén lehetséges legyen a helyreállítási lehetőség. A biztonsági mentés után a Set-AzVMDiskEncryptionExtension parancsmaggal titkosíthatja a felügyelt lemezeket a -skipVmBackup paraméter megadásával. A Set-AzVMDiskEncryptionExtension parancs a felügyelt lemezalapú virtuális gépeken meghiúsul, amíg biztonsági mentést nem végez, és meg nem adja ezt a paramétert.

A titkosítás titkosítása vagy letiltása a virtuális gép újraindítását okozhatja.

Titkosítás engedélyezése meglévő vagy futó Linux rendszerű virtuális gépen az Azure CLI használatával

Az Azure CLI 2.0 parancssori eszköz telepítésével és használatával engedélyezheti a lemeztitkosítást a titkosított VHD-n. Használhatja a böngészőjében az Azure Cloud Shell-lel, vagy telepítheti a helyi gépen, és használhatja bármely PowerShell-munkamenetben. Ha engedélyezni szeretné a titkosítást meglévő vagy futó IaaS Linux rendszerű virtuális gépeken az Azure-ban, használja a következő CLI-parancsokat:

Az az vm encryption enable paranccsal engedélyezheti a titkosítást egy futó IaaS virtuális gépen az Azure-ban.

• Futó virtuális gép titkosítása ügyfélkód használatával:

      az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --aad-client-id "<my spn created with CLI/my Azure AD ClientID>"  --aad-client-secret "My-AAD-client-secret" --disk-encryption-keyvault "MySecureVault" --volume-type [All|OS|Data]
  

• Futó virtuális gép titkosítása a KEK használatával az ügyfél titkos kódjának körbefuttatásához:

      az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --aad-client-id "<my spn created with CLI which is the Azure AD ClientID>"  --aad-client-secret "My-AAD-client-secret" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type [All|OS|Data]
  

  Feljegyzés

  A disk-encryption-keyvault paraméter értékének szintaxisa a teljes azonosító sztring: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name].
  
  A kulcstitkosítási kulcs paraméter értékének szintaxisa a KEK teljes URI-ja, a következő módon: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id].

• Ellenőrizze, hogy a lemezek titkosítva vannak-e: Az IaaS virtuális gép titkosítási állapotának ellenőrzéséhez használja az az vm encryption show parancsot.

      az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"
  

• Titkosítás letiltása: A titkosítás letiltásához használja az az vm encryption disable parancsot. A titkosítás letiltása csak Linux rendszerű virtuális gépek adatköteteinél engedélyezett.

      az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type DATA
  

Titkosítás engedélyezése meglévő vagy futó Linux rendszerű virtuális gépen a PowerShell használatával

A Set-AzVMDiskEncryptionExtension parancsmaggal engedélyezheti a titkosítást egy futó IaaS virtuális gépen az Azure-ban. Készítsen pillanatképet, vagy készítsen biztonsági másolatot a virtuális gépről az Azure Backup használatával a lemezek titkosítása előtt. A -skipVmBackup paraméter már meg van adva a PowerShell-szkriptekben egy futó Linux rendszerű virtuális gép titkosításához.

• Futó virtuális gép titkosítása ügyfélkód használatával: Az alábbi szkript inicializálja a változókat, és futtatja a Set-AzVMDiskEncryptionExtension parancsmagot. Az erőforráscsoportnak, a virtuális gépnek, a key vaultnak, a Microsoft Entra alkalmazásnak és az ügyfél titkos kódjának már előfeltételként létre kellett volna hoznia. Cserélje le a MyVirtualMachineResourceGroup, a MyKeyVaultResourceGroup, a MySecureVM, a MySecureVault, a My-AAD-client-ID és a My-AAD-client-secret értéket az értékeire. Módosítsa a -VolumeType paramétert a titkosítandó lemezek megadásához.

      $VMRGName = 'MyVirtualMachineResourceGroup';
      $KVRGname = 'MyKeyVaultResourceGroup';
      $vmName = 'MySecureVM';
      $aadClientID = 'My-AAD-client-ID';
      $aadClientSecret = 'My-AAD-client-secret';
      $KeyVaultName = 'MySecureVault';
      $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
      $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
      $KeyVaultResourceId = $KeyVault.ResourceId;
      $sequenceVersion = [Guid]::NewGuid();
  
      Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $vmName -AadClientID $aadClientID -AadClientSecret $aadClientSecret -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType '[All|OS|Data]' -SequenceVersion $sequenceVersion -skipVmBackup;
  

• Futó virtuális gép titkosítása a KEK használatával az ügyfél titkos kódjának körbefuttatásához: Az Azure Disk Encryption lehetővé teszi egy meglévő kulcs megadását a kulcstartóban a titkosítás engedélyezése során létrehozott lemeztitkosítási titkos kulcsok burkolásához. Kulcstitkosítási kulcs megadásakor az Azure Disk Encryption ezzel a kulccsal csomagolja be a titkosítási titkos kulcsokat, mielőtt a kulcstartóba ír. Módosítsa a -VolumeType paramétert a titkosítandó lemezek megadásához.

      $KVRGname = 'MyKeyVaultResourceGroup';
      $VMRGName = 'MyVirtualMachineResourceGroup';
      $aadClientID = 'My-AAD-client-ID';
      $aadClientSecret = 'My-AAD-client-secret';
      $KeyVaultName = 'MySecureVault';
      $keyEncryptionKeyName = 'MyKeyEncryptionKey';
      $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
      $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
      $KeyVaultResourceId = $KeyVault.ResourceId;
      $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
      $sequenceVersion = [Guid]::NewGuid();
  
      Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $vmName -AadClientID $aadClientID -AadClientSecret $aadClientSecret -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType '[All|OS|Data]' -SequenceVersion $sequenceVersion -skipVmBackup;
  

  Feljegyzés

  A disk-encryption-keyvault paraméter értékének szintaxisa a teljes azonosító sztring: /subscriptions/[subscription-id-guid]/resourceGroups/[KVresource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name].
  
  A kulcstitkosítási kulcs paraméter értékének szintaxisa a KEK teljes URI-ja, a következő módon: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id].

• Ellenőrizze, hogy a lemezek titkosítva vannak-e: Az IaaS virtuális gépek titkosítási állapotának ellenőrzéséhez használja a Get-AzVmDiskEncryptionStatus parancsmagot.

      Get-AzVmDiskEncryptionStatus -ResourceGroupName MyVirtualMachineResourceGroup -VMName MySecureVM
  

• Lemeztitkosítás letiltása: A titkosítás letiltásához használja a Disable-AzureRmVMDiskEncryption parancsmagot. A titkosítás letiltása csak Linux rendszerű virtuális gépek adatköteteinél engedélyezett.

      Disable-AzVMDiskEncryption -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
  

Titkosítás engedélyezése meglévő vagy futó IaaS Linux rendszerű virtuális gépen sablonnal

A Resource Manager-sablonnal engedélyezheti a lemeztitkosítást egy meglévő vagy az Azure-ban futó IaaS Linux rendszerű virtuális gépen.

1. Válassza az Azure-ban való üzembe helyezést az Azure rövid útmutatósablonján.

2. Válassza ki az előfizetést, az erőforráscsoportot, az erőforráscsoport helyét, a paramétereket, a jogi feltételeket és a szerződést. Válassza a Létrehozás lehetőséget a meglévő vagy futó IaaS virtuális gép titkosításának engedélyezéséhez.

Az alábbi táblázat a Microsoft Entra ügyfélazonosítót használó meglévő vagy futó virtuális gépek Resource Manager-sablonparamétereit sorolja fel:

Paraméter	Leírás
AADClientID	Annak a Microsoft Entra-alkalmazásnak az ügyfélazonosítója, amely rendelkezik titkos kulcsok kulcstartóba írására vonatkozó engedélyekkel.
AADClientSecret	A Titkos kulcsok kulcstartóba írására jogosult Microsoft Entra-alkalmazás ügyféltitkai.
keyVaultName	Annak a kulcstartónak a neve, amelybe a kulcsot fel kell tölteni. Ezt az Azure CLI paranccsal az keyvault show --name "MySecureVault" --query KVresourceGroupszerezheti be.
keyEncryptionKeyURL	A generált kulcs titkosításához használt kulcstitkosítási kulcs URL-címe. Ez a paraméter nem kötelező, ha a UseExistingKek legördülő listában a nokek lehetőséget választja. Ha a UseExistingKek legördülő listában a kek értéket választja, meg kell adnia a keyEncryptionKeyURL értéket.
volumeType	A titkosítási művelet által végrehajtott kötet típusa. Az érvényes támogatott értékek az operációs rendszer vagy az összes. (A korábbi előfeltételek szakaszban tekintse meg a támogatott Linux-disztribúciókat és azok operációs rendszerhez és adatlemezekhez készült verzióit.)
sequenceVersion	A BitLocker művelet sorozatverziója. Növelje ezt a verziószámot minden alkalommal, amikor lemeztitkosítási műveletet hajt végre ugyanazon a virtuális gépen.
vmName	Annak a virtuális gépnek a neve, amelyen a titkosítási műveletet végre kell hajtani.
Hozzáférési kód	Írjon be egy erős jelszót adattitkosítási kulcsként.

A EncryptionFormatAll funkció használata linuxos IaaS virtuális gépeken lévő adatlemezekhez

A EncryptFormatAll paraméter csökkenti a Linux-adatlemezek titkosításának idejét. Az egyes feltételeknek megfelelő partíciók formázva vannak (az aktuális fájlrendszerükkel). Ezután vissza vannak szerelve oda, ahol a parancs végrehajtása előtt voltak. Ha ki szeretne zárni egy olyan adatlemezt, amely megfelel a feltételeknek, a parancs futtatása előtt leválaszthatja azt.

A parancs futtatása után a korábban csatlakoztatott meghajtók formázva lesznek. Ezután a titkosítási réteg az üres meghajtó tetején kezdődik. Ha ezt a beállítást választja, a virtuális géphez csatolt ideiglenes lemez is titkosítva lesz. Ha a rövid élettartamú meghajtó alaphelyzetbe áll, a következő lehetőségnél az Azure Disk Encryption-megoldás újraformázja és újra titkosítja a virtuális gép számára.

Figyelmeztetés

A EncryptFormatAll nem használható, ha szükség van adatokra a virtuális gép adatkötetén. A lemezek leválasztásával kizárhatja a lemezeket a titkosításból. Először próbálja ki a EncryptFormatAll paramétert egy teszt virtuális gépen, hogy megértse a funkcióparamétert és annak következményeit, mielőtt kipróbálná az éles virtuális gépen. A EncryptFormatAll beállítás formázja az adatlemezt, így a rajta lévő összes adat elveszik. A folytatás előtt ellenőrizze, hogy a kizárni kívánt lemezek megfelelően nincsenek-e csatlakoztatva.

Ha ezt a paramétert a titkosítási beállítások frissítésekor állítja be, az újraindításhoz vezethet a tényleges titkosítás előtt. Ebben az esetben azt a lemezt is el szeretné távolítani, amelyet nem szeretne formázni az fstab-fájlból. Hasonlóképpen, a titkosítási művelet megkezdése előtt hozzá kell adnia a titkosítandó partíciót az fstab-fájlhoz.

EncryptFormatAll feltétel

A paraméter végighalad az összes partíción, és titkosítja őket mindaddig, amíg megfelelnek az alábbi feltételeknek :

• Nem gyökér-/operációsrendszer-/rendszerindítási partíció
• Még nincs titkosítva
• Nem BEK-kötet
• Nem RAID-kötet
• Nem LVM-kötet
• Csatlakoztatva van

A RAID- vagy LVM-kötetet alkotó lemezek titkosítása a RAID vagy az LVM kötet helyett.

A EncryptFormatAll paraméter használata sablonnal

A EncryptFormatAll beállítás használatához használjon minden olyan meglévő Azure Resource Manager-sablont, amely titkosít egy Linux rendszerű virtuális gépet, és módosítja az AzureDiskEncryption erőforrás EncryptionOperation mezőjét.

1. Példaként használja a Resource Manager-sablont egy futó Linux IaaS virtuális gép titkosításához.
2. Válassza az Azure-ban való üzembe helyezést az Azure rövid útmutatósablonján.
3. Módosítsa a EncryptionOperation mezőt EnableEncryptionról EnableEncryptionFormatAl-ra.
4. Válassza ki az előfizetést, az erőforráscsoportot, az erőforráscsoport helyét, az egyéb paramétereket, a jogi feltételeket és a szerződést. Válassza a Létrehozás lehetőséget a meglévő vagy futó IaaS virtuális gép titkosításának engedélyezéséhez.

A EncryptFormatAll paraméter használata PowerShell-parancsmaggal

Használja a Set-AzVMDiskEncryptionExtension parancsmagot a EncryptFormatAll paraméterrel.

Futó virtuális gép titkosítása ügyfélkód és EncryptFormatAll használatával: Az alábbi szkript például inicializálja a változókat, és a Set-AzVMDiskEncryptionExtension parancsmagot futtatja az EncryptFormatAll paraméterrel. Az erőforráscsoportnak, a virtuális gépnek, a key vaultnak, a Microsoft Entra alkalmazásnak és az ügyfél titkos kódjának már előfeltételként létre kellett volna hoznia. Cserélje le a MyKeyVaultResourceGroup, a MyVirtualMachineResourceGroup, a MySecureVM, a MySecureVault, a My-AAD-client-ID és a My-AAD-client-secret értéket az értékeire.

  $KVRGname = 'MyKeyVaultResourceGroup';
  $VMRGName = 'MyVirtualMachineResourceGroup';
  $aadClientID = 'My-AAD-client-ID';
  $aadClientSecret = 'My-AAD-client-secret';
  $KeyVaultName = 'MySecureVault';
  $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
  $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
  $KeyVaultResourceId = $KeyVault.ResourceId;

  Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $vmName -AadClientID $aadClientID -AadClientSecret $aadClientSecret -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -EncryptFormatAll

A EncryptFormatAll paraméter használata a Logikai kötetkezelővel (LVM)

Javasoljuk az LVM titkosításon belüli beállítását. Az alábbi példákban cserélje le az eszközútvonalat és a csatlakoztatási pontokat a használati esetnek megfelelőre. Ez a beállítás az alábbiak szerint végezhető el:

• Adja hozzá a virtuális gépet alkotó adatlemezeket.

• Formázhatja, csatlakoztathatja és hozzáadhatja ezeket a lemezeket az fstab-fájlhoz.

  1. Formázza az újonnan hozzáadott lemezt. Itt az Azure által létrehozott symlinkeket használjuk. A szimlinkek használata elkerüli az eszköznevek módosításával kapcsolatos problémákat. További információ: Eszköznevek hibáinak elhárítása.

     mkfs -t ext4 /dev/disk/azure/scsi1/lun0
     

  2. Csatlakoztassa a lemezeket.

     mount /dev/disk/azure/scsi1/lun0 /mnt/mountpoint
     

  3. Hozzáadás az fstabhoz.

     echo "/dev/disk/azure/scsi1/lun0 /mnt/mountpoint ext4 defaults,nofail 1 2" >> /etc/fstab
     

  4. A lemezek titkosításához futtassa a Set-AzVMDiskEncryptionExtension PowerShell-parancsmagot a -EncryptFormatAll parancsmaggal.

      Set-AzVMDiskEncryptionExtension -ResourceGroupName "MySecureGroup" -VMName "MySecureVM" -DiskEncryptionKeyVaultUrl "https://mykeyvault.vault.azure.net/" -EncryptFormatAll
     

  5. Állítsa be az LVM-et ezekre az új lemezekre. Vegye figyelembe, hogy a titkosított meghajtók feloldva vannak a virtuális gép indítása után. Ezért az LVM csatlakoztatását később is késleltetni kell.

Ügyfél által titkosított VHD-ből és titkosítási kulcsokból létrehozott új IaaS virtuális gépek

Ebben a forgatókönyvben engedélyezheti a titkosítást a Resource Manager-sablon, a PowerShell-parancsmagok vagy a CLI-parancsok használatával. A következő szakaszok részletesebben ismertetik a Resource Manager-sablont és a parancssori felület parancsait.

Az Azure-ban használható előre titkosított rendszerképek előkészítéséhez használja a függelékben található utasításokat. A rendszerkép létrehozása után a következő szakaszban ismertetett lépésekkel létrehozhat egy titkosított Azure-beli virtuális gépet.

• Előre titkosított Linux VHD előkészítése

Fontos

Az Azure Disk Encryption engedélyezése előtt kötelező pillanatképet készíteni vagy biztonsági másolatot készíteni egy felügyelt lemezalapú virtuálisgép-példányról. Készíthet pillanatképet a felügyelt lemezről a portálról, vagy használhatja az Azure Backupot. A biztonsági mentések biztosítják, hogy a titkosítás során váratlan meghibásodás esetén lehetséges legyen a helyreállítási lehetőség. A biztonsági mentés után a Set-AzVMDiskEncryptionExtension parancsmaggal titkosíthatja a felügyelt lemezeket a -skipVmBackup paraméter megadásával. A Set-AzVMDiskEncryptionExtension parancs a felügyelt lemezalapú virtuális gépeken meghiúsul, amíg biztonsági mentést nem végez, és meg nem adja ezt a paramétert.

A titkosítás titkosítása vagy letiltása a virtuális gép újraindítását okozhatja.

IaaS virtuális gépek titkosítása előre titkosított virtuális merevlemezekkel az Azure PowerShell használatával

A titkosított VHD-n engedélyezheti a lemeztitkosítást a Set-AzVMOSDisk PowerShell-parancsmaggal. Az alábbi példa néhány gyakori paramétert mutat be.

$VirtualMachine = New-AzVMConfig -VMName "MySecureVM" -VMSize "Standard_A1"
$VirtualMachine = Set-AzVMOSDisk -VM $VirtualMachine -Name "SecureOSDisk" -VhdUri "os.vhd" Caching ReadWrite -Windows -CreateOption "Attach" -DiskEncryptionKeyUrl "https://mytestvault.vault.azure.net/secrets/Test1/514ceb769c984379a7e0230bddaaaaaa" -DiskEncryptionKeyVaultId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myresourcegroup/providers/Microsoft.KeyVault/vaults/mytestvault"
New-AzVM -VM $VirtualMachine -ResourceGroupName "MyVirtualMachineResourceGroup"

Titkosítás engedélyezése újonnan hozzáadott adatlemezen

Új adatlemezt az az virtuálisgép-lemez csatolásával vagy az Azure Portalon vehet fel. A titkosítás előtt először csatlakoztatnia kell az újonnan csatlakoztatott adatlemezt. Az adatmeghajtó titkosítását kell kérnie, mert a meghajtó nem használható, amíg a titkosítás folyamatban van.

Titkosítás engedélyezése újonnan hozzáadott lemezen az Azure CLI-vel

Ha a virtuális gépet korábban az "Összes" kóddal titkosították, akkor a --volume-type paraméternek az Összesnek kell maradnia. Mindegyik tartalmazza az operációs rendszert és az adatlemezeket is. Ha a virtuális gépet korábban "OS" típusú kötettípussal titkosították, akkor a --volume-type paramétert a Mind értékre kell módosítani, hogy az operációs rendszer és az új adatlemez is szerepeljen benne. Ha a virtuális gépet csak az "Adatok" kötettípussal titkosították, akkor az itt bemutatott módon megőrizheti az adatokat. Az új adatlemezek virtuális géphez való hozzáadása és csatolása nem elegendő a titkosítás előkészítéséhez. A titkosítás engedélyezése előtt az újonnan csatlakoztatott lemezt is formázni és megfelelően kell csatlakoztatni a virtuális gépen belül. Linuxon a lemezt /etc/fstab nyelven kell csatlakoztatni egy állandó blokkeszköz nevével.

A PowerShell-szintaxissal ellentétben a parancssori felület nem igényel egyedi sorozatverziót a titkosítás engedélyezésekor. A parancssori felület automatikusan létrehozza és felhasználja a saját egyedi sorozatverzió-értékét.

• Futó virtuális gép titkosítása ügyfélkód használatával:

      az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --aad-client-id "<my spn created with CLI/my Azure AD ClientID>"  --aad-client-secret "My-AAD-client-secret" --disk-encryption-keyvault "MySecureVault" --volume-type "Data"
  

• Futó virtuális gép titkosítása a KEK használatával az ügyfél titkos kódjának körbefuttatásához:

      az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --aad-client-id "<my spn created with CLI which is the Azure AD ClientID>"  --aad-client-secret "My-AAD-client-secret" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type "Data"
  

Titkosítás engedélyezése újonnan hozzáadott lemezen az Azure PowerShell használatával

Amikor a PowerShell használatával titkosít egy új lemezt Linuxhoz, meg kell adni egy új sorozatverziót. A sorozatverziónak egyedinek kell lennie. A következő szkript létrehoz egy GUID azonosítót a sorozatverzióhoz.

• Futó virtuális gép titkosítása ügyfélkód használatával: Az alábbi szkript inicializálja a változókat, és futtatja a Set-AzVMDiskEncryptionExtension parancsmagot. Az erőforráscsoportnak, a virtuális gépnek, a key vaultnak, a Microsoft Entra alkalmazásnak és az ügyfél titkos kódjának már előfeltételként létre kellett volna hoznia. Cserélje le a MyVirtualMachineResourceGroup, a MyKeyVaultResourceGroup, a MySecureVM, a MySecureVault, a My-AAD-client-ID és a My-AAD-client-secret értéket az értékeire. A -VolumeType paraméter adatlemezekre van beállítva, és nem az operációsrendszer-lemezre. Ha a virtuális gépet korábban "OS" vagy "All" kötettípussal titkosították, akkor a -VolumeType paramétert a Mind értékre kell módosítani, hogy az operációs rendszer és az új adatlemez is szerepeljen benne.

      $KVRGname = 'MyKeyVaultResourceGroup';
      $VMRGName = 'MyVirtualMachineResourceGroup';
      $vmName = 'MySecureVM';
      $aadClientID = 'My-AAD-client-ID';
      $aadClientSecret = 'My-AAD-client-secret';
      $KeyVaultName = 'MySecureVault';
      $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
      $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
      $KeyVaultResourceId = $KeyVault.ResourceId;
      $sequenceVersion = [Guid]::NewGuid();
  
      Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $vmName -AadClientID $aadClientID -AadClientSecret $aadClientSecret -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType 'data' –SequenceVersion $sequenceVersion;
  

• Futó virtuális gép titkosítása a KEK használatával az ügyfél titkos kódjának körbefuttatásához: Az Azure Disk Encryption lehetővé teszi egy meglévő kulcs megadását a kulcstartóban a titkosítás engedélyezése során létrehozott lemeztitkosítási titkos kulcsok burkolásához. Kulcstitkosítási kulcs megadásakor az Azure Disk Encryption ezzel a kulccsal csomagolja be a titkosítási titkos kulcsokat, mielőtt a kulcstartóba ír. A -VolumeType paraméter adatlemezekre van beállítva, és nem az operációsrendszer-lemezre. Ha a virtuális gépet korábban "OS" vagy "All" kötettípussal titkosították, akkor a -VolumeType paramétert a Mind értékre kell módosítani, hogy az operációs rendszer és az új adatlemez is szerepeljen benne.

      $KVRGname = 'MyKeyVaultResourceGroup';
      $VMRGName = 'MyVirtualMachineResourceGroup';
      $vmName = 'MyExtraSecureVM';
      $aadClientID = 'My-AAD-client-ID';
      $aadClientSecret = 'My-AAD-client-secret';
      $KeyVaultName = 'MySecureVault';
      $keyEncryptionKeyName = 'MyKeyEncryptionKey';
      $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
      $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
      $KeyVaultResourceId = $KeyVault.ResourceId;
      $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
      $sequenceVersion = [Guid]::NewGuid();
  
      Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $vmName -AadClientID $aadClientID -AadClientSecret $aadClientSecret -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType 'data' –SequenceVersion $sequenceVersion;
  

Feljegyzés

A disk-encryption-keyvault paraméter értékének szintaxisa a teljes azonosító sztring: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name].

A kulcstitkosítási kulcs paraméter értékének szintaxisa a KEK teljes URI-ja, a következő módon: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id].

Titkosítás letiltása Linux rendszerű virtuális gépek esetén

A titkosítást az Azure PowerShell, az Azure CLI vagy egy Resource Manager-sablon használatával tilthatja le.

Fontos

Az Azure Disk Encryption és a Linux rendszerű virtuális gépek titkosításának letiltása csak adatkötetek esetén támogatott. Nem támogatott adat- vagy operációsrendszer-köteteken, ha az operációsrendszer-kötet titkosítva van.

• Lemeztitkosítás letiltása az Azure PowerShell használatával: A titkosítás letiltásához használja a Disable-AzureRmVMDiskEncryption parancsmagot.

      Disable-AzVMDiskEncryption -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM' [--volume-type {ALL, DATA, OS}]
  

• Titkosítás letiltása az Azure CLI-vel: A titkosítás letiltásához használja az az vm encryption disable parancsot.

      az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type [ALL, DATA, OS]
  

• Titkosítás letiltása Resource Manager-sablonnal: A titkosítás letiltásához használja a Titkosítás letiltása futó Linux rendszerű virtuálisgép-sablonon .

  1. Válassza az Üzembe helyezés az Azure-ban lehetőséget.
  2. Válassza ki az előfizetést, az erőforráscsoportot, a helyet, a virtuális gépet, a jogi feltételeket és a szerződést.
  3. Válassza a Vásárlás lehetőséget a lemeztitkosítás letiltásához egy futó Windows rendszerű virtuális gépen.

Következő lépések

• A Linuxhoz készült Azure Disk Encryption áttekintése
• Kulcstartó létrehozása és konfigurálása az Azure Disk Encryptionhez a Microsoft Entra-azonosítóval (korábbi kiadás)