Az Azure CLI használata a felügyelt lemezek inaktív dupla titkosításának engedélyezéséhez

  • Cikk

A következőkre vonatkozik: ✔️ Linux rendszerű virtuális gépek rugalmas méretezési ✔️ csoportjai

Az Azure Disk Storage támogatja a kettős titkosítást inaktív állapotban a felügyelt lemezek esetében. A inaktív kettős titkosításról és más felügyelt lemeztitkosítási típusokról a lemeztitkosításról szóló cikkünk dupla titkosítási szakaszában olvashat.

Restrictions

Az inaktív dupla titkosítás jelenleg nem támogatott ultralemezekkel vagy Prémium SSD v2-lemezekkel.

Előfeltételek

Telepítse a legújabb Azure CLI-t, és jelentkezzen be egy Azure-fiókba az bejelentkezéssel.

Első lépések

  1. Hozzon létre egy Azure Key Vault-példányt és egy titkosítási kulcsot.

    A Key Vault-példány létrehozásakor engedélyeznie kell a helyreállítható törlési és törlési védelmet. A helyreállítható törlés biztosítja, hogy a Key Vault egy adott megőrzési időszakra (alapértelmezés szerint 90 napos) törölt kulcsot tároljon. A törlés elleni védelem biztosítja, hogy a törölt kulcsok nem törölhetők véglegesen, amíg a megőrzési időszak el nem telik. Ezek a beállítások védelmet nyújtanak a véletlen törlés miatti adatvesztéstől. Ezek a beállítások kötelezőek, ha key vaultot használnak a felügyelt lemezek titkosításához.

    subscriptionId=yourSubscriptionID
rgName=yourResourceGroupName
location=westcentralus
keyVaultName=yourKeyVaultName
keyName=yourKeyName
diskEncryptionSetName=yourDiskEncryptionSetName
diskName=yourDiskName

az account set --subscription $subscriptionId

az keyvault create -n $keyVaultName -g $rgName -l $location --enable-purge-protection true --enable-soft-delete true

az keyvault key create --vault-name $keyVaultName -n $keyName --protection software

  2. Kérje le a kulcs URL-címét, amellyel az keyvault key showlétrehozott.

    az keyvault key show --name $keyName --vault-name $keyVaultName

  3. Hozzon létre egy DiskEncryptionSet encryptionType készlettel EncryptionAtRestWithPlatformAndCustomerKeys értékre. Cserélje le yourKeyURL a következő URL-címre az keyvault key show: .

    az disk-encryption-set create --resource-group $rgName --name $diskEncryptionSetName --key-url yourKeyURL --source-vault $keyVaultName --encryption-type EncryptionAtRestWithPlatformAndCustomerKeys

  4. Adjon hozzáférést a DiskEncryptionSet erőforrásnak a kulcstartóhoz.

    Megjegyzés:

    Eltarthat néhány percig, amíg az Azure létrehozza a DiskEncryptionSet identitását a Microsoft Entra-azonosítójában. Ha a következő parancs futtatásakor "Nem található az Active Directory-objektum" hibaüzenet jelenik meg, várjon néhány percet, és próbálkozzon újra.

    desIdentity=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [identity.principalId] -o tsv)

az keyvault set-policy -n $keyVaultName -g $rgName --object-id $desIdentity --key-permissions wrapkey unwrapkey get

Következő lépések

Most, hogy létrehozta és konfigurálta ezeket az erőforrásokat, használhatja őket a felügyelt lemezek védelmére. Az alábbi hivatkozások példaszkripteket tartalmaznak, amelyek mindegyike rendelkezik megfelelő forgatókönyvvel, amelyekkel biztonságossá teheti a felügyelt lemezeket.