Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Berlaku untuk: ✔️ Mesin Virtual Linux ✔️ Set skala fleksibel
Saat Anda mengaktifkan enkripsi di host, data yang disimpan di host VM dienkripsi saat tidak aktif dan mengalirkan enkripsi ke layanan Microsoft Azure Storage. Untuk informasi konseptual tentang enkripsi di host, dan jenis enkripsi disk terkelola lainnya, lihat Enkripsi di host - Enkripsi end-to-end untuk data VM Anda.
Batasan
- Tidak dapat diaktifkan pada komputer virtual (VM) atau set skala komputer virtual yang saat ini atau pernah mengaktifkan Azure Disk Encryption.
- Azure Disk Encryption tidak dapat diaktifkan pada disk yang mengaktifkan enkripsi di host.
- Enkripsi dapat diaktifkan pada set skala komputer virtual yang ada. Namun, hanya VM baru yang dibuat setelah mengaktifkan enkripsi yang dienkripsi secara otomatis.
- VM yang ada harus dibatalkan alokasinya dan dialokasikan kembali untuk dienkripsi.
Pembatasan berikut hanya berlaku untuk Ultra Disk dan Premium SSD v2:
- Disk yang menggunakan ukuran sektor 512e harus dibuat setelah 13/5/2023.
- Jika disk Anda dibuat sebelum tanggal ini, rekam jepret disk Anda, dan buat disk baru menggunakan rekam jepret.
Ukuran komputer virtual yang didukung
Daftar lengkap ukuran Komputer Virtual yang didukung dapat ditarik secara terprogram. Untuk mempelajari cara mengambilnya secara terprogram, lihat bagian Menemukan ukuran VM yang didukung. Meningkatkan ukuran VM menghasilkan validasi untuk memeriksa apakah ukuran VM baru mendukung fitur EncryptionAtHost.
Prasyarat
Anda harus mengaktifkan fitur untuk langganan sebelum Anda menggunakan properti EncryptionAtHost untuk Komputer Virtual/VMSS Anda. Gunakan langkah-langkah berikut untuk mengaktifkan fitur untuk langganan Anda:
- Jalankan perintah berikut untuk mendaftarkan fitur untuk langganan Anda
az feature register --namespace Microsoft.Compute --name EncryptionAtHost
- Harap periksa apakah status pendaftaran sudah Terdaftar (perlu beberapa menit) menggunakan perintah di bawah ini sebelum mencoba fitur tersebut.
az feature show --namespace Microsoft.Compute --name EncryptionAtHost
Membuat sumber daya
Catatan
Bagian ini hanya berlaku untuk konfigurasi dengan kunci yang dikelola pelanggan. Jika Anda menggunakan kunci yang dikelola platform, Anda dapat melompat ke bagian Contoh skrip .
Setelah fitur diaktifkan, Anda perlu menyiapkan DiskEncryptionSet dan Azure Key Vault atau Azure Key Vault Managed HSM.
Azure Key Vault
- Instal Azure CLI terbaru dan masuk ke akun Azure dengan az login.
- Membuat Azure Key Vault dan kunci enkripsi.
Saat membuat Key Vault, Anda harus mengaktifkan perlindungan pembersihan. Perlindungan pembersihan memastikan bahwa kunci yang dihapus tidak dapat dihapus secara permanen hingga berakhirnya periode retensi. Pengaturan ini melindungi Anda dari kehilangan data karena tidak sengaja terhapus. Pengaturan ini wajib dilakukan ketika menggunakan Azure Key Vault untuk mengenkripsi disk terkelola.
Penting
Jangan menggunakan Camel Case saat menulis wilayah, jika Anda melakukannya, Anda mungkin mengalami masalah saat menambahkan disk tambahan ke sumber daya di portal Azure.
subscriptionId=yourSubscriptionID
rgName=yourResourceGroupName
location=westcentralus
keyVaultName=yourKeyVaultName
keyName=yourKeyName
diskEncryptionSetName=yourDiskEncryptionSetName
diskName=yourDiskName
az account set --subscription $subscriptionId
az group create --resource-group $rgName --location $location
az keyvault create -n $keyVaultName \
-g $rgName \
-l $location \
--enable-purge-protection true
az keyvault key create --vault-name $keyVaultName \
-n $keyName \
--protection software
- Buat DiskEncryptionSet. Anda dapat mengatur enable-auto-key-rotation ke true untuk mengaktifkan rotasi otomatis kunci. Saat Anda mengaktifkan rotasi otomatis, sistem secara otomatis memperbarui semua disk terkelola, rekam jepret, dan gambar yang merujuk pada enkripsi disk yang diatur untuk menggunakan versi baru kunci dalam waktu satu jam.
keyVaultKeyUrl=$(az keyvault key show --vault-name $keyVaultName --name $keyName --query [key.kid] -o tsv)
az disk-encryption-set create -n $diskEncryptionSetName \
-l $location \
-g $rgName \
--key-url $keyVaultKeyUrl \
--enable-auto-key-rotation false
- Berikan sumber daya DiskEncryptionSet akses ke brankas kunci.
Catatan
Mungkin perlu waktu beberapa menit bagi Azure untuk membuat identitas DiskEncryptionSet Anda di ID Microsoft Entra Anda. Jika Anda mendapatkan kesalahan seperti "Tidak dapat menemukan objek Direktori Aktif" saat menjalankan perintah berikut, tunggu beberapa menit dan coba lagi.
desIdentity=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [identity.principalId] -o tsv)
az keyvault set-policy -n $keyVaultName \
-g $rgName \
--object-id $desIdentity \
--key-permissions wrapkey unwrapkey get
Azure Key Vault HSM Terkelola
Atau, Anda dapat menggunakan HSM Terkelola untuk menangani kunci Anda.
Untuk melakukan ini, Anda harus melengkapi prasyarat berikut:
- Instal Azure CLI terbaru dan masuk ke akun Azure dengan az masuk.
- Buat dan konfigurasikan HSM terkelola.
- Tetapkan izin kepada pengguna, sehingga mereka dapat mengelola HSM Terkelola Anda.
Konfigurasi
Setelah membuat HSM Terkelola dan menambahkan izin, aktifkan perlindungan pembersihan dan buat kunci enkripsi.
subscriptionId=yourSubscriptionID
rgName=yourResourceGroupName
location=westcentralus
keyVaultName=yourKeyVaultName
keyName=yourKeyName
diskEncryptionSetName=yourDiskEncryptionSetName
diskName=yourDiskName
az account set --subscription $subscriptionId
az keyvault update-hsm --subscription $subscriptionId -g $rgName --hsm-name $keyVaultName --enable-purge-protection true
az keyvault key create --hsm-name $keyVaultName --name $keyName --ops wrapKey unwrapKey --kty RSA-HSM --size 2048
Kemudian, buat DiskEncryptionSet.
keyVaultKeyUrl=$(az keyvault key show --vault-name $keyVaultName --name $keyName --query [key.kid] -o tsv)
az disk-encryption-set create -n $diskEncryptionSetName \
-l $location \
-g $rgName \
--key-url $keyVaultKeyUrl \
--enable-auto-key-rotation false
Akhirnya, berikan akses DiskEncryptionSet ke HSM Terkelola.
desIdentity=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [identity.principalId] -o tsv)
az keyvault role assignment create --hsm-name $keyVaultName --role "Managed HSM Crypto Service Encryption User" --assignee $desIdentity --scope /keys
Contoh skrip
Buat VM dengan enkripsi diaktifkan pada host menggunakan kunci yang dikelola pelanggan
Buat VM dengan disk terkelola menggunakan URI sumber daya DiskEncryptionSet yang dibuat sebelumnya untuk mengenkripsi cache OS dan data disk dengan kunci yang dikelola pelanggan. Disk sementara dienkripsi dengan kunci yang dikelola platform.
rgName=yourRGName
vmName=yourVMName
location=eastus
vmSize=Standard_DS2_v2
image=LinuxImageURN
diskEncryptionSetName=yourDiskEncryptionSetName
diskEncryptionSetId=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [id] -o tsv)
az vm create -g $rgName \
-n $vmName \
-l $location \
--encryption-at-host \
--image $image \
--size $vmSize \
--generate-ssh-keys \
--os-disk-encryption-set $diskEncryptionSetId \
--data-disk-sizes-gb 128 128 \
--data-disk-encryption-sets $diskEncryptionSetId $diskEncryptionSetId
Buat VM dengan enkripsi yang diaktifkan di host menggunakan kunci yang dikelola oleh platform.
Buat VM dengan enkripsi di host yang diaktifkan untuk mengenkripsi cache pada disk OS/disk data dan disk sementara dengan kunci yang dikelola oleh platform.
rgName=yourRGName
vmName=yourVMName
location=eastus
vmSize=Standard_DS2_v2
image=LinuxImageURN
az vm create -g $rgName \
-n $vmName \
-l $location \
--encryption-at-host \
--image $image \
--size $vmSize \
--generate-ssh-keys \
--data-disk-sizes-gb 128 128 \
Memperbarui VM untuk mengaktifkan enkripsi di host
rgName=yourRGName
vmName=yourVMName
az vm update -n $vmName \
-g $rgName \
--set securityProfile.encryptionAtHost=true
Memeriksa status enkripsi di host untuk VM
rgName=yourRGName
vmName=yourVMName
az vm show -n $vmName \
-g $rgName \
--query [securityProfile.encryptionAtHost] -o tsv
Memperbarui VM untuk menonaktifkan enkripsi di host
Anda harus membatalkan alokasi mesin virtual Anda sebelum Anda dapat menonaktifkan enkripsi di host.
rgName=yourRGName
vmName=yourVMName
az vm update -n $vmName \
-g $rgName \
--set securityProfile.encryptionAtHost=false
Buat Set Skala Mesin Virtual dengan enkripsi pada host yang diaktifkan dengan kunci yang dikelola oleh pelanggan
Buat Set Skala Komputer Virtual dengan disk terkelola menggunakan URI sumber daya DiskEncryptionSet yang dibuat sebelumnya untuk mengenkripsi cache OS dan disk data dengan kunci yang dikelola pelanggan. Disk sementara dienkripsi dengan kunci yang dikelola platform.
Penting
Mulai November 2023, set skala VM yang dibuat menggunakan PowerShell dan Azure CLI akan default ke Mode Orkestrasi Fleksibel jika tidak ada mode orkestrasi yang ditentukan. Untuk informasi selengkapnya tentang perubahan ini dan tindakan apa yang harus Anda ambil, buka Perubahan Krusial untuk Pelanggan VMSS PowerShell/CLI - Microsoft Community Hub
rgName=yourRGName
vmssName=yourVMSSName
location=westus2
vmSize=Standard_DS3_V2
image=Ubuntu2204
diskEncryptionSetName=yourDiskEncryptionSetName
diskEncryptionSetId=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [id] -o tsv)
az vmss create -g $rgName \
-n $vmssName \
--encryption-at-host \
--image $image \
--orchestration-mode flexible \
--admin-username azureuser \
--generate-ssh-keys \
--os-disk-encryption-set $diskEncryptionSetId \
--data-disk-sizes-gb 64 128 \
--data-disk-encryption-sets $diskEncryptionSetId $diskEncryptionSetId
Membuat Set Skala Komputer Virtual dengan enkripsi di host yang diaktifkan dengan kunci yang dikelola platform
Buat Set Skala Komputer Virtual dengan enkripsi di host yang diaktifkan untuk mengenkripsi cache disk OS/data dan disk sementara dengan kunci yang dikelola platform.
Penting
Mulai November 2023, set skala VM yang dibuat menggunakan PowerShell dan Azure CLI akan default ke Mode Orkestrasi Fleksibel jika tidak ada mode orkestrasi yang ditentukan. Untuk informasi selengkapnya tentang perubahan ini dan tindakan apa yang harus Anda ambil, buka Perubahan Krusial untuk Pelanggan VMSS PowerShell/CLI - Microsoft Community Hub
rgName=yourRGName
vmssName=yourVMSSName
location=westus2
vmSize=Standard_DS3_V2
image=Ubuntu2204
az vmss create -g $rgName \
-n $vmssName \
--encryption-at-host \
--image $image \
--orchestration-mode flexible \
--admin-username azureuser \
--generate-ssh-keys \
--data-disk-sizes-gb 64 128 \
Memperbarui Virtual Machine Scale Set untuk mengaktifkan enkripsi di host
rgName=yourRGName
vmssName=yourVMName
az vmss update -n $vmssName \
-g $rgName \
--set virtualMachineProfile.securityProfile.encryptionAtHost=true
Periksa status enkripsi di host untuk Set Skala Komputer Virtual
rgName=yourRGName
vmssName=yourVMName
az vmss show -n $vmssName \
-g $rgName \
--query [virtualMachineProfile.securityProfile.encryptionAtHost] -o tsv
Memperbarui Virtual Machine Scale Set untuk menonaktifkan enkripsi di host
Anda dapat menonaktifkan enkripsi di host pada Virtual Machine Scale Set Anda tetapi, ini hanya akan memengaruhi VM yang dibuat setelah Anda menonaktifkan enkripsi di host. Untuk mesin virtual yang ada, Anda harus membatalkan alokasi mesin virtual, menonaktifkan enkripsi di host pada mesin virtual individu, lalu mengalokasikan kembali mesin virtual.
rgName=yourRGName
vmssName=yourVMName
az vmss update -n $vmssName \
-g $rgName \
--set virtualMachineProfile.securityProfile.encryptionAtHost=false
Menemukan ukuran VM yang didukung
Ukuran VM versi lama tidak didukung. Anda dapat menemukan daftar ukuran VM yang didukung dengan menggunakan API SKU sumber daya atau Azure CLI.
Saat memanggil Resource Skus API, periksa apakah EncryptionAtHostSupported kemampuan diatur ke True.
{
"resourceType": "virtualMachines",
"name": "Standard_DS1_v2",
"tier": "Standard",
"size": "DS1_v2",
"family": "standardDSv2Family",
"locations": [
"CentralUS"
],
"capabilities": [
{
"name": "EncryptionAtHostSupported",
"value": "True"
}
]
}
Untuk Azure CLI, gunakan perintah az vm image list-skus .
location=centralus
az vm list-skus --location $location --all \
--resource-type virtualMachines \
--query "[?capabilities[?name=='EncryptionAtHostSupported' && value=='True']].{VMName:name, EncryptionAtHost:capabilities[?name=='EncryptionAtHostSupported'].value | [0]}" \
--output table
Langkah berikutnya
Setelah membuat dan mengonfigurasi sumber daya ini, Anda dapat menggunakannya untuk mengamankan disk yang terkelola. Tautan berikut ini berisi contoh skrip, dengan skenario masing-masing, yang dapat digunakan untuk mengamankan disk terkelola Anda.