Az Azure PowerShell-modullal engedélyezheti a kettős titkosítást inaktív állapotban felügyelt lemezeken

  • Cikk

A következőkre vonatkozik: ✔️ Windows rendszerű virtuális gépek

Az Azure Disk Storage támogatja a kettős titkosítást inaktív állapotban a felügyelt lemezek esetében. A inaktív kettős titkosításról és más felügyelt lemeztitkosítási típusokról a lemeztitkosításról szóló cikkünk dupla titkosítási szakaszában olvashat.

Restrictions

Az inaktív dupla titkosítás jelenleg nem támogatott ultralemezekkel vagy Prémium SSD v2-lemezekkel.

Előfeltételek

Telepítse a legújabb Azure PowerShell-verziót, és jelentkezzen be egy Azure-fiókba az Csatlakozás-AzAccount használatával.

Első lépések

  1. Hozzon létre egy Azure Key Vault-példányt és egy titkosítási kulcsot.

    A Key Vault-példány létrehozásakor engedélyeznie kell a helyreállítható törlési és törlési védelmet. A helyreállítható törlés biztosítja, hogy a Key Vault egy adott megőrzési időszakra (alapértelmezés szerint 90 napos) törölt kulcsot tároljon. A törlés elleni védelem biztosítja, hogy a törölt kulcsok nem törölhetők véglegesen, amíg a megőrzési időszak el nem telik. Ezek a beállítások védelmet nyújtanak a véletlen törlés miatti adatvesztéstől. Ezek a beállítások kötelezőek, ha key vaultot használnak a felügyelt lemezek titkosításához.

    $ResourceGroupName="yourResourceGroupName"
$LocationName="westus2"
$keyVaultName="yourKeyVaultName"
$keyName="yourKeyName"
$keyDestination="Software"
$diskEncryptionSetName="yourDiskEncryptionSetName"

$keyVault = New-AzKeyVault -Name $keyVaultName -ResourceGroupName $ResourceGroupName -Location $LocationName -EnableSoftDelete -EnablePurgeProtection

$key = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyName -Destination $keyDestination

  2. Kérje le a létrehozott kulcs URL-címét, a későbbi parancsokhoz szüksége lesz rá. Az azonosító kimenete Get-AzKeyVaultKey a kulcs URL-címe.

    Get-AzKeyVaultKey -VaultName $keyVaultName -KeyName $keyName

  3. Szerezze be a létrehozott Key Vault-példány erőforrás-azonosítóját, és szüksége lesz rá a további parancsokhoz.

    Get-AzKeyVault -VaultName $keyVaultName

  4. Hozzon létre egy DiskEncryptionSet encryptionType készlettel EncryptionAtRestWithPlatformAndCustomerKeys értékre. Cserélje le és yourKeyVaultURL cserélje le yourKeyURL a korábban lekért URL-címeket.

    $config = New-AzDiskEncryptionSetConfig -Location $locationName -KeyUrl "yourKeyURL" -SourceVaultId 'yourKeyVaultURL' -IdentityType 'SystemAssigned'

$config | New-AzDiskEncryptionSet -ResourceGroupName $ResourceGroupName -Name $diskEncryptionSetName -EncryptionType EncryptionAtRestWithPlatformAndCustomerKeys

  5. Adjon hozzáférést a DiskEncryptionSet erőforrásnak a kulcstartóhoz.

    Megjegyzés:

    Eltarthat néhány percig, amíg az Azure létrehozza a DiskEncryptionSet identitását a Microsoft Entra-azonosítójában. Ha a következő parancs futtatásakor "Nem található az Active Directory-objektum" hibaüzenet jelenik meg, várjon néhány percet, és próbálkozzon újra.

    $des=Get-AzDiskEncryptionSet -name $diskEncryptionSetName -ResourceGroupName $ResourceGroupName
Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ObjectId $des.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get

Következő lépések

Most, hogy létrehozta és konfigurálta ezeket az erőforrásokat, használhatja őket a felügyelt lemezek védelmére. Az alábbi hivatkozások példaszkripteket tartalmaznak, amelyek mindegyike rendelkezik megfelelő forgatókönyvvel, amelyekkel biztonságossá teheti a felügyelt lemezeket.