Gunakan Azure CLI untuk mengaktifkan enkripsi ganda saat tidak aktif untuk disk terkelola

Berlaku untuk: ✔️ Mesin Virtual Linux ✔️ Set skala fleksibel

Azure Disk Storage mendukung enkripsi ganda saat istirahat untuk disk terkelola. Untuk informasi konseptual tentang enkripsi ganda saat tidak aktif, dan jenis enkripsi disk terkelola lainnya, lihat bagian Enkripsi ganda saat tidak aktif di artikel enkripsi disk kami.

Batasan

Enkripsi ganda saat tidak aktif saat ini tidak didukung dengan disk Ultra Disk atau Premium SSD v2.

Prasyarat

Instal Azure CLI terbaru dan masuk ke akun Azure dengan az login.

Memulai

1. Buat instans Azure Key Vault dan kunci enkripsi.

   Saat membuat instans Azure Key Vault, Anda harus mengaktifkan penghapusan sementara dan perlindungan pembersihan. Penghapusan sementara memastikan bahwa Azure Key Vault memegang kunci yang dihapus untuk periode retensi tertentu (default 90 hari). Perlindungan penghapusan menyeluruh memastikan bahwa kunci yang dihapus tidak dapat dihapus secara permanen hingga periode retensi berakhir. Pengaturan ini melindungi Anda dari kehilangan data karena tidak sengaja terhapus. Pengaturan ini wajib dilakukan ketika menggunakan Azure Key Vault untuk mengenkripsi disk terkelola.

   subscriptionId=yourSubscriptionID
   rgName=yourResourceGroupName
   location=westcentralus
   keyVaultName=yourKeyVaultName
   keyName=yourKeyName
   diskEncryptionSetName=yourDiskEncryptionSetName
   diskName=yourDiskName
   
   az account set --subscription $subscriptionId
   
   az keyvault create -n $keyVaultName -g $rgName -l $location --enable-purge-protection true --enable-soft-delete true
   
   az keyvault key create --vault-name $keyVaultName -n $keyName --protection software
   

2. Dapatkan URL kunci kunci yang Anda buat dengan az keyvault key show.

   az keyvault key show --name $keyName --vault-name $keyVaultName
   

3. Buat DiskEncryptionSet dengan set encryptionType sebagai EncryptionAtRestWithPlatformAndCustomerKeys. Ganti yourKeyURL dengan URL yang Anda terima dari az keyvault key show.

   az disk-encryption-set create --resource-group $rgName --name $diskEncryptionSetName --key-url yourKeyURL --source-vault $keyVaultName --encryption-type EncryptionAtRestWithPlatformAndCustomerKeys
   

4. Berikan akses DiskEncryptionSet akses sumber daya ke brankas kunci.

   Catatan

   Mungkin perlu waktu beberapa menit bagi Azure untuk membuat identitas DiskEncryptionSet Anda di ID Microsoft Entra Anda. Jika Anda mendapatkan kesalahan seperti "Tidak dapat menemukan objek Direktori Aktif" saat menjalankan perintah berikut, tunggu beberapa menit dan coba lagi.

   desIdentity=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [identity.principalId] -o tsv)
   
   az keyvault set-policy -n $keyVaultName -g $rgName --object-id $desIdentity --key-permissions wrapkey unwrapkey get
   

Langkah berikutnya

Setelah membuat dan mengonfigurasi sumber daya ini, Anda dapat menggunakannya untuk mengamankan disk yang terkelola. Tautan berikut berisi contoh skrip, masing-masing dengan setiap skenario, yang dapat Anda gunakan untuk mengamankan disk terkelola Anda.

• Sampel templat Azure Resource Manager
• Mengaktifkan kunci yang dikelola pelanggan dengan enkripsi sisi server - Contoh