Share via

Membuat versi gambar terenkripsi dengan kunci yang dikelola pelanggan

  • Artikel

Berlaku untuk: ✔️ Mesin virtual Linux ✔️ Mesin virtual Windows ✔️ Set skala fleksibel ✔️ Set skala seragam

Gambar di Azure Compute Gallery (sebelumnya dikenal sebagai Shared Image Gallery) disimpan sebagai rekam jepret. Gambar-gambar ini secara otomatis dienkripsi melalui enkripsi AES enkripsi sisi server 256-bit. Enkripsi sisi server juga mematuhi FIPS 140-2. Untuk informasi selengkapnya tentang modul kriptografi yang mendasari disk yang dikelola Azure, lihat API Kriptografi: Generasi Berikutnya.

Anda dapat mengandalkan kunci yang dikelola platform untuk enkripsi gambar Anda, atau menggunakan kunci Anda sendiri. Anda juga dapat menggunakan kedua fitur ini bersama-sama untuk enkripsi ganda. Jika Anda memilih untuk mengelola enkripsi dengan kunci Anda sendiri, Anda dapat menentukan kunci yang dikelola pelanggan untuk digunakan untuk mengenkripsi dan mendekripsi semua disk dalam gambar Anda.

Enkripsi sisi server melalui kunci yang dikelola pelanggan menggunakan Azure Key Vault. Anda dapat mengimpor kunci RSA ke kubah kunci atau menghasilkan kunci RSA baru di Azure Key Vault.

Prasyarat

Artikel ini mengharuskan Anda sudah memiliki enkripsi disk yang diatur di setiap wilayah tempat Anda ingin mereplikasi gambar Anda:

  • Untuk hanya menggunakan kunci yang dikelola pelanggan, lihat artikel tentang mengaktifkan kunci yang dikelola pelanggan dengan enkripsi sisi server dengan menggunakan portal Microsoft Azure atau PowerShell.

  • Untuk menggunakan kunci yang dikelola platform dan dikelola pelanggan (untuk enkripsi ganda), lihat artikel tentang mengaktifkan enkripsi ganda saat istirahat dengan menggunakan portal Microsoft Azure atau PowerShell.

    Penting

    Anda harus menggunakan link https://aka.ms/diskencryptionupdates untuk mengakses portal Microsoft Azure. Enkripsi ganda saat istirahat saat ini tidak terlihat di portal Microsoft Azure publik kecuali Anda menggunakan tautan itu.

Batasan

Saat Anda menggunakan kunci yang dikelola pelanggan untuk mengenkripsi gambar di Azure Compute Gallery, batasan ini berlaku:

  • Kumpulan kunci enkripsi harus berada dalam langganan yang sama dengan gambar Anda.

  • Kumpulan kunci enkripsi adalah sumber daya regional, sehingga setiap wilayah memerlukan kumpulan kunci enkripsi yang berbeda.

  • Setelah menggunakan kunci Anda sendiri untuk mengenkripsi gambar, Anda tidak dapat kembali menggunakan kunci yang dikelola platform untuk mengenkripsi gambar tersebut.

  • Sumber versi gambar VM saat ini tidak mendukung enkripsi kunci yang dikelola pelanggan.

  • Beberapa fitur seperti mereplikasi gambar SSE+CMK, membuat gambar dari disk terenkripsi SSE+CMK, dll. tidak didukung melalui portal.

PowerShell

Untuk menentukan enkripsi disk yang diatur untuk versi gambar, gunakan New-AzGalleryImageVersion dengan parameter -TargetRegion:


$sourceId = <ID of the image version source>

$osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet'}

$dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet1';Lun=1}

$dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet2';Lun=2}

$dataDiskImageEncryptions = @($dataDiskImageEncryption1,$dataDiskImageEncryption2)

$encryption1 = @{OSDiskImage=$osDiskImageEncryption;DataDiskImages=$dataDiskImageEncryptions}

$region1 = @{Name='West US';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption1}

$eastUS2osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet'}

$eastUS2dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet1';Lun=1}

$eastUS2dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet2';Lun=2}

$eastUS2DataDiskImageEncryptions = @($eastUS2dataDiskImageEncryption1,$eastUS2dataDiskImageEncryption2)

$encryption2 = @{OSDiskImage=$eastUS2osDiskImageEncryption;DataDiskImages=$eastUS2DataDiskImageEncryptions}

$region2 = @{Name='East US 2';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption2}

$targetRegion = @($region1, $region2)


# Create the image
New-AzGalleryImageVersion `
   -ResourceGroupName $rgname `
   -GalleryName $galleryName `
   -GalleryImageDefinitionName $imageDefinitionName `
   -Name $versionName -Location $location `
   -SourceImageId $sourceId `
   -ReplicaCount 2 `
   -StorageAccountType Standard_LRS `
   -PublishingProfileEndOfLifeDate '2020-12-01' `
   -TargetRegion $targetRegion

Buat VM

Anda dapat membuat mesin virtual (VM) dari Azure Compute Gallery dan menggunakan kunci yang dikelola pelanggan untuk mengenkripsi disk. Sintaksnya sama dengan membuat VM umumatau khusus dari gambar. Gunakan kumpulan parameter yang diperluas dan Set-AzVMOSDisk -Name $($vmName +"_OSDisk") -DiskEncryptionSetId $diskEncryptionSet.Id -CreateOption FromImage tambahkan ke konfigurasi VM.

Untuk disk data, tambahkan -DiskEncryptionSetId $setID parameter saat Anda menggunakan Add-AzVMDataDisk.

CLI

Untuk menentukan kumpulan enkripsi disk untuk versi gambar, gunakan versi gambar-gambar galeri gambar az dengan --target-region-encryption parameter. Format untuk --target-region-encryption adalah daftar kunci yang dipisahkan koma untuk mengenkripsi OS dan disk data. Tampilannya akan seperti ini: <encryption set for the OS disk>,<Lun number of the data disk>,<encryption set for the data disk>,<Lun number for the second data disk>,<encryption set for the second data disk>.

Jika sumber untuk disk OS adalah disk terkelola atau VM, --managed-image gunakan untuk menentukan sumber untuk versi gambar. Dalam contoh ini, sumbernya adalah gambar terkelola yang memiliki disk OS dan disk data di LUN 0. Disk OS akan dienkripsi dengan DiskEncryptionSet1, dan disk data akan dienkripsi dengan DiskEncryptionSet2.

az sig image-version create \
   -g MyResourceGroup \
   --gallery-image-version 1.0.0 \
   --location westus \
   --target-regions westus=2=standard_lrs eastus2 \
   --target-region-encryption WestUSDiskEncryptionSet1,0,WestUSDiskEncryptionSet2 EastUS2DiskEncryptionSet1,0,EastUS2DiskEncryptionSet2 \
   --gallery-name MyGallery \
   --gallery-image-definition MyImage \
   --managed-image "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/images/myImage"

Jika sumber untuk disk OS adalah snapshot, gunakan --os-snapshot untuk menentukan disk OS. Tambahkan rekam jepret disk data lainnya yang juga harus menjadi bagian dari versi gambar. Gunakan --data-snapshot-luns untuk menentukan LUN, dan --data-snapshots gunakan untuk menentukan snapshot.

Dalam contoh ini, sumbernya adalah snapshot disk. Ada disk OS dan disk data di LUN 0. Disk OS akan dienkripsi dengan DiskEncryptionSet1, dan disk data akan dienkripsi dengan DiskEncryptionSet2.

az sig image-version create \
   -g MyResourceGroup \
   --gallery-image-version 1.0.0 \
   --location westus\
   --target-regions westus=2=standard_lrs eastus\
   --target-region-encryption WestUSDiskEncryptionSet1,0,WestUSDiskEncryptionSet2 EastUS2DiskEncryptionSet1,0,EastUS2DiskEncryptionSet2 \
   --os-snapshot "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/snapshots/myOSSnapshot" \
   --data-snapshot-luns 0 \
   --data-snapshots "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/snapshots/myDDSnapshot" \
   --gallery-name MyGallery \
   --gallery-image-definition MyImage

Membuat VM

Anda dapat membuat mesin virtual dari Azure Compute Gallery dan menggunakan kunci yang dikelola pelanggan untuk mengenkripsi disk. Sintaksnya sama dengan membuat VM umum atau khusus dengan penambahan --os-disk-encryption-set parameter. Untuk disk data, tambahkan dengan daftar enkripsi disk yang dibatasi --data-disk-encryption-sets ruang untuk disk data.

Portal

Saat membuat versi gambar di portal, Anda dapat menggunakan tab Enkripsi untuk menerapkan kumpulan enkripsi penyimpanan Anda.

  1. Pada halaman Buat versi gambar, pilih tab Enkripsi.
  2. Dalam tipe Enkripsi,pilih Enkripsi saat istirahat dengan kunci yang dikelola pelanggan atauEnkripsi ganda dengan kunci yang dikelola platform dan dikelola pelanggan.
  3. Untuk setiap disk dalam gambar, pilih kumpulan enkripsi dari daftar drop-down enkripsi Disk.

Membuat VM

Anda dapat membuat VM dari versi gambar dan menggunakan kunci yang dikelola pelanggan untuk mengenkripsi disk. Saat Anda membuat VM di portal, pada tab Disk, pilih Enkripsi saat istirahat dengan kunci yang dikelola pelanggan atauEnkripsi ganda dengan kunci yang dikelola platform dan dikelola pelanggan untuk tipe Enkripsi. Anda kemudian dapat memilih enkripsi yang disetel dari daftar turun bawah.

Langkah berikutnya

Pelajari lebih lanjut tentang enkripsi disk sisi server.

Untuk informasi tentang cara menyediakan informasi paket pembelian, lihat Menyediakan informasi paket pembelian Azure Marketplace saat membuat citra.