Az Azure CLI használata a felügyelt lemezek inaktív dupla titkosításának engedélyezéséhez
A következőkre vonatkozik: ✔️ Linux rendszerű virtuális gépek rugalmas méretezési ✔️ csoportjai
Az Azure Disk Storage támogatja a kettős titkosítást inaktív állapotban a felügyelt lemezek esetében. A inaktív kettős titkosításról és más felügyelt lemeztitkosítási típusokról a lemeztitkosításról szóló cikkünk dupla titkosítási szakaszában olvashat.
Restrictions
Az inaktív dupla titkosítás jelenleg nem támogatott ultralemezekkel vagy Prémium SSD v2-lemezekkel.
Előfeltételek
Telepítse a legújabb Azure CLI-t, és jelentkezzen be egy Azure-fiókba az bejelentkezéssel.
Első lépések
Hozzon létre egy Azure Key Vault-példányt és egy titkosítási kulcsot.
A Key Vault-példány létrehozásakor engedélyeznie kell a helyreállítható törlési és törlési védelmet. A helyreállítható törlés biztosítja, hogy a Key Vault egy adott megőrzési időszakra (alapértelmezés szerint 90 napos) törölt kulcsot tároljon. A törlés elleni védelem biztosítja, hogy a törölt kulcsok nem törölhetők véglegesen, amíg a megőrzési időszak el nem telik. Ezek a beállítások védelmet nyújtanak a véletlen törlés miatti adatvesztéstől. Ezek a beállítások kötelezőek, ha key vaultot használnak a felügyelt lemezek titkosításához.
subscriptionId=yourSubscriptionID rgName=yourResourceGroupName location=westcentralus keyVaultName=yourKeyVaultName keyName=yourKeyName diskEncryptionSetName=yourDiskEncryptionSetName diskName=yourDiskName az account set --subscription $subscriptionId az keyvault create -n $keyVaultName -g $rgName -l $location --enable-purge-protection true --enable-soft-delete true az keyvault key create --vault-name $keyVaultName -n $keyName --protection software
Kérje le a kulcs URL-címét, amellyel
az keyvault key show
létrehozott.az keyvault key show --name $keyName --vault-name $keyVaultName
Hozzon létre egy DiskEncryptionSet encryptionType készlettel EncryptionAtRestWithPlatformAndCustomerKeys értékre. Cserélje le
yourKeyURL
a következő URL-címreaz keyvault key show
: .az disk-encryption-set create --resource-group $rgName --name $diskEncryptionSetName --key-url yourKeyURL --source-vault $keyVaultName --encryption-type EncryptionAtRestWithPlatformAndCustomerKeys
Adjon hozzáférést a DiskEncryptionSet erőforrásnak a kulcstartóhoz.
Megjegyzés:
Eltarthat néhány percig, amíg az Azure létrehozza a DiskEncryptionSet identitását a Microsoft Entra-azonosítójában. Ha a következő parancs futtatásakor "Nem található az Active Directory-objektum" hibaüzenet jelenik meg, várjon néhány percet, és próbálkozzon újra.
desIdentity=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [identity.principalId] -o tsv) az keyvault set-policy -n $keyVaultName -g $rgName --object-id $desIdentity --key-permissions wrapkey unwrapkey get
Következő lépések
Most, hogy létrehozta és konfigurálta ezeket az erőforrásokat, használhatja őket a felügyelt lemezek védelmére. Az alábbi hivatkozások példaszkripteket tartalmaznak, amelyek mindegyike rendelkezik megfelelő forgatókönyvvel, amelyekkel biztonságossá teheti a felügyelt lemezeket.