Az Azure PowerShell-modullal engedélyezheti a kettős titkosítást inaktív állapotban felügyelt lemezeken
A következőkre vonatkozik: ✔️ Windows rendszerű virtuális gépek
Az Azure Disk Storage támogatja a kettős titkosítást inaktív állapotban a felügyelt lemezek esetében. A inaktív kettős titkosításról és más felügyelt lemeztitkosítási típusokról a lemeztitkosításról szóló cikkünk dupla titkosítási szakaszában olvashat.
Restrictions
Az inaktív dupla titkosítás jelenleg nem támogatott ultralemezekkel vagy Prémium SSD v2-lemezekkel.
Előfeltételek
Telepítse a legújabb Azure PowerShell-verziót, és jelentkezzen be egy Azure-fiókba az Csatlakozás-AzAccount használatával.
Első lépések
Hozzon létre egy Azure Key Vault-példányt és egy titkosítási kulcsot.
A Key Vault-példány létrehozásakor engedélyeznie kell a helyreállítható törlési és törlési védelmet. A helyreállítható törlés biztosítja, hogy a Key Vault egy adott megőrzési időszakra (alapértelmezés szerint 90 napos) törölt kulcsot tároljon. A törlés elleni védelem biztosítja, hogy a törölt kulcsok nem törölhetők véglegesen, amíg a megőrzési időszak el nem telik. Ezek a beállítások védelmet nyújtanak a véletlen törlés miatti adatvesztéstől. Ezek a beállítások kötelezőek, ha key vaultot használnak a felügyelt lemezek titkosításához.
$ResourceGroupName="yourResourceGroupName" $LocationName="westus2" $keyVaultName="yourKeyVaultName" $keyName="yourKeyName" $keyDestination="Software" $diskEncryptionSetName="yourDiskEncryptionSetName" $keyVault = New-AzKeyVault -Name $keyVaultName -ResourceGroupName $ResourceGroupName -Location $LocationName -EnableSoftDelete -EnablePurgeProtection $key = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyName -Destination $keyDestination
Kérje le a létrehozott kulcs URL-címét, a későbbi parancsokhoz szüksége lesz rá. Az azonosító kimenete
Get-AzKeyVaultKey
a kulcs URL-címe.Get-AzKeyVaultKey -VaultName $keyVaultName -KeyName $keyName
Szerezze be a létrehozott Key Vault-példány erőforrás-azonosítóját, és szüksége lesz rá a további parancsokhoz.
Get-AzKeyVault -VaultName $keyVaultName
Hozzon létre egy DiskEncryptionSet encryptionType készlettel EncryptionAtRestWithPlatformAndCustomerKeys értékre. Cserélje le és
yourKeyVaultURL
cserélje leyourKeyURL
a korábban lekért URL-címeket.$config = New-AzDiskEncryptionSetConfig -Location $locationName -KeyUrl "yourKeyURL" -SourceVaultId 'yourKeyVaultURL' -IdentityType 'SystemAssigned' $config | New-AzDiskEncryptionSet -ResourceGroupName $ResourceGroupName -Name $diskEncryptionSetName -EncryptionType EncryptionAtRestWithPlatformAndCustomerKeys
Adjon hozzáférést a DiskEncryptionSet erőforrásnak a kulcstartóhoz.
Megjegyzés:
Eltarthat néhány percig, amíg az Azure létrehozza a DiskEncryptionSet identitását a Microsoft Entra-azonosítójában. Ha a következő parancs futtatásakor "Nem található az Active Directory-objektum" hibaüzenet jelenik meg, várjon néhány percet, és próbálkozzon újra.
$des=Get-AzDiskEncryptionSet -name $diskEncryptionSetName -ResourceGroupName $ResourceGroupName Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ObjectId $des.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get
Következő lépések
Most, hogy létrehozta és konfigurálta ezeket az erőforrásokat, használhatja őket a felügyelt lemezek védelmére. Az alábbi hivatkozások példaszkripteket tartalmaznak, amelyek mindegyike rendelkezik megfelelő forgatókönyvvel, amelyekkel biztonságossá teheti a felügyelt lemezeket.