Gunakan Azure CLI untuk mengaktifkan enkripsi ganda saat tidak aktif untuk disk terkelola
Berlaku untuk: ✔️ Mesin Virtual Linux ✔️ Set skala fleksibel
Azure Disk Storage mendukung enkripsi ganda saat istirahat untuk disk terkelola. Untuk informasi konseptual tentang enkripsi ganda saat tidak aktif, dan jenis enkripsi disk terkelola lainnya, lihat bagian Enkripsi ganda saat tidak aktif di artikel enkripsi disk kami.
Batasan
Enkripsi ganda saat tidak aktif saat ini tidak didukung dengan disk Ultra Disk atau Premium SSD v2.
Prasyarat
Instal Azure CLI terbaru dan masuk ke akun Azure dengan az login.
Memulai
Buat instans Azure Key Vault dan kunci enkripsi.
Saat membuat instans Azure Key Vault, Anda harus mengaktifkan penghapusan sementara dan perlindungan pembersihan. Penghapusan sementara memastikan bahwa Azure Key Vault memegang kunci yang dihapus untuk periode retensi tertentu (default 90 hari). Perlindungan penghapusan menyeluruh memastikan bahwa kunci yang dihapus tidak dapat dihapus secara permanen hingga periode retensi berakhir. Pengaturan ini melindungi Anda dari kehilangan data karena tidak sengaja terhapus. Pengaturan ini wajib dilakukan ketika menggunakan Azure Key Vault untuk mengenkripsi disk terkelola.
subscriptionId=yourSubscriptionID rgName=yourResourceGroupName location=westcentralus keyVaultName=yourKeyVaultName keyName=yourKeyName diskEncryptionSetName=yourDiskEncryptionSetName diskName=yourDiskName az account set --subscription $subscriptionId az keyvault create -n $keyVaultName -g $rgName -l $location --enable-purge-protection true --enable-soft-delete true az keyvault key create --vault-name $keyVaultName -n $keyName --protection software
Dapatkan URL kunci kunci yang Anda buat dengan
az keyvault key show
.az keyvault key show --name $keyName --vault-name $keyVaultName
Buat DiskEncryptionSet dengan set encryptionType sebagai EncryptionAtRestWithPlatformAndCustomerKeys. Ganti
yourKeyURL
dengan URL yang Anda terima dariaz keyvault key show
.az disk-encryption-set create --resource-group $rgName --name $diskEncryptionSetName --key-url yourKeyURL --source-vault $keyVaultName --encryption-type EncryptionAtRestWithPlatformAndCustomerKeys
Berikan akses DiskEncryptionSet akses sumber daya ke brankas kunci.
Catatan
Mungkin perlu waktu beberapa menit bagi Azure untuk membuat identitas DiskEncryptionSet Anda di ID Microsoft Entra Anda. Jika Anda mendapatkan kesalahan seperti "Tidak dapat menemukan objek Direktori Aktif" saat menjalankan perintah berikut, tunggu beberapa menit dan coba lagi.
desIdentity=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [identity.principalId] -o tsv) az keyvault set-policy -n $keyVaultName -g $rgName --object-id $desIdentity --key-permissions wrapkey unwrapkey get
Langkah berikutnya
Setelah membuat dan mengonfigurasi sumber daya ini, Anda dapat menggunakannya untuk mengamankan disk yang terkelola. Tautan berikut berisi contoh skrip, masing-masing dengan setiap skenario, yang dapat Anda gunakan untuk mengamankan disk terkelola Anda.