Aktifkan enkripsi ganda saat tidak aktif untuk disk terkelola

Berlaku untuk: ✔️ Mesin Virtual Linux ✔️ Mesin Virtual Windows ✔️

Azure Disk Storage mendukung enkripsi ganda saat istirahat untuk disk terkelola. Untuk informasi konseptual tentang enkripsi ganda saat tidak aktif, dan jenis enkripsi disk terkelola lainnya, lihat bagian Enkripsi ganda saat tidak aktif di artikel enkripsi disk kami.

Batasan

Enkripsi ganda saat tidak aktif saat ini tidak didukung dengan disk Ultra Disk atau Premium SSD v2.

Prasyarat

Jika Anda akan menggunakan Azure CLI, instal Azure CLI terbaru dan masuk ke akun Azure dengan az login.

Jika Anda akan menggunakan modul Azure PowerShell, instal versi Azure PowerShell terbaru, dan masuk ke akun Azure menggunakan Connect-AzAccount.

Memulai

Portal Azure

1. Masuk ke portal Azure.

2. Cari dan pilih Kumpulan Enkripsi Disk.

   

3. Pilih + Buat.

4. Gunakan salah satu wilayah yang didukung.

5. Untuk Jenis enkripsi, pilih Enkripsi ganda dengan kunci yang dikelola platform dan kunci yang dikelola pelanggan.

   Catatan

   Setelah Anda membuat set enkripsi disk yang diatur dengan jenis enkripsi tertentu, enkripsi tersebut tidak dapat diubah. Jika ingin menggunakan jenis enkripsi yang berbeda, Anda harus membuat set enkripsi disk baru.

6. Isi info selebihnya.

   

7. Pilih Azure Key Vault dan kunci, atau buat yang baru jika perlu.

   Catatan

   Jika membuat instans Key Vault, Anda harus mengaktifkan penghapusan sementara dan perlindungan hapus menyeluruh. Pengaturan ini wajib dilakukan saat menggunakan Key Vault untuk mengenkripsi disk terkelola, dan melindungi Anda dari kehilangan data karena penghapusan yang tidak disengaja.

   

8. Pilih Buat.

9. Navigasi ke set enkripsi disk yang Anda buat, dan pilih kesalahan yang ditampilkan. Ini akan mengonfigurasi set enkripsi disk Anda agar berfungsi.

   

   Pemberitahuan akan muncul dan berhasil. Melakukannya akan memungkinkan Anda untuk menggunakan set enkripsi disk dengan brankas kunci Anda.

   

10. Navigasi ke disk Anda.

11. Pilih Enkripsi.

12. Untuk Manajemen kunci, pilih salah satu kunci di bawah Kunci yang dikelola platform dan dikelola pelanggan.

13. pilih Simpan.

    

Anda telah mengaktifkan enkripsi ganda saat tidak aktif pada disk terkelola Anda.

Azure CLI

1. Buat instans Azure Key Vault dan kunci enkripsi.

   Saat membuat instans Azure Key Vault, Anda harus mengaktifkan penghapusan sementara dan perlindungan pembersihan. Penghapusan sementara memastikan bahwa Azure Key Vault memegang kunci yang dihapus untuk periode retensi tertentu (default 90 hari). Perlindungan penghapusan menyeluruh memastikan bahwa kunci yang dihapus tidak dapat dihapus secara permanen hingga periode retensi berakhir. Pengaturan ini melindungi Anda dari kehilangan data karena tidak sengaja terhapus. Pengaturan ini wajib dilakukan ketika menggunakan Azure Key Vault untuk mengenkripsi disk terkelola.

   subscriptionId=yourSubscriptionID
   rgName=yourResourceGroupName
   location=westcentralus
   keyVaultName=yourKeyVaultName
   keyName=yourKeyName
   diskEncryptionSetName=yourDiskEncryptionSetName
   diskName=yourDiskName
   
   az account set --subscription $subscriptionId
   
   az keyvault create -n $keyVaultName -g $rgName -l $location --enable-purge-protection true --enable-soft-delete true
   
   az keyvault key create --vault-name $keyVaultName -n $keyName --protection software
   

2. Dapatkan URL kunci kunci yang Anda buat dengan az keyvault key show.

   az keyvault key show --name $keyName --vault-name $keyVaultName
   

3. Buat DiskEncryptionSet dengan set encryptionType sebagai EncryptionAtRestWithPlatformAndCustomerKeys. Ganti yourKeyURL dengan URL yang Anda terima dari az keyvault key show.

   az disk-encryption-set create --resource-group $rgName --name $diskEncryptionSetName --key-url yourKeyURL --source-vault $keyVaultName --encryption-type EncryptionAtRestWithPlatformAndCustomerKeys
   

4. Berikan akses DiskEncryptionSet akses sumber daya ke brankas kunci.

Catatan

Mungkin perlu waktu beberapa menit bagi Azure untuk membuat identitas DiskEncryptionSet Anda di ID Microsoft Entra Anda. Jika Anda mendapatkan kesalahan seperti "Tidak dapat menemukan objek Direktori Aktif" saat menjalankan perintah berikut, tunggu beberapa menit dan coba lagi.

desIdentity=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [identity.principalId] -o tsv)

az keyvault set-policy -n $keyVaultName -g $rgName --object-id $desIdentity --key-permissions wrapkey unwrapkey get

Azure PowerShell

1. Buat instans Azure Key Vault dan kunci enkripsi.

   Saat membuat instans Azure Key Vault, Anda harus mengaktifkan penghapusan sementara dan perlindungan pembersihan. Penghapusan sementara memastikan bahwa Azure Key Vault memegang kunci yang dihapus untuk periode retensi tertentu (default 90 hari). Perlindungan penghapusan menyeluruh memastikan bahwa kunci yang dihapus tidak dapat dihapus secara permanen hingga periode retensi berakhir. Pengaturan ini melindungi Anda dari kehilangan data karena tidak sengaja terhapus. Pengaturan ini wajib dilakukan ketika menggunakan Azure Key Vault untuk mengenkripsi disk terkelola.

   $ResourceGroupName="yourResourceGroupName"
   $LocationName="westus2"
   $keyVaultName="yourKeyVaultName"
   $keyName="yourKeyName"
   $keyDestination="Software"
   $diskEncryptionSetName="yourDiskEncryptionSetName"
   
   $keyVault = New-AzKeyVault -Name $keyVaultName -ResourceGroupName $ResourceGroupName -Location $LocationName -EnableSoftDelete -EnablePurgeProtection
   
   $key = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyName -Destination $keyDestination  
   

2. Ambil URL untuk kunci yang Anda buat, Anda akan memerlukannya untuk perintah berikutnya. Output ID dari Get-AzKeyVaultKey adalah URL kunci.

   Get-AzKeyVaultKey -VaultName $keyVaultName -KeyName $keyName
   

3. Dapatkan ID sumber daya untuk instans Key Vault yang Anda buat, Anda akan memerlukannya untuk perintah berikutnya.

   Get-AzKeyVault -VaultName $keyVaultName
   

4. Buat DiskEncryptionSet dengan set encryptionType sebagai EncryptionAtRestWithPlatformAndCustomerKeys. Ganti yourKeyURL dan yourKeyVaultURL dengan URL yang Anda ambil sebelumnya.

   $config = New-AzDiskEncryptionSetConfig -Location $locationName -KeyUrl "yourKeyURL" -SourceVaultId 'yourKeyVaultURL' -IdentityType 'SystemAssigned'
   
   $config | New-AzDiskEncryptionSet -ResourceGroupName $ResourceGroupName -Name $diskEncryptionSetName -EncryptionType EncryptionAtRestWithPlatformAndCustomerKeys
   

5. Berikan akses DiskEncryptionSet akses sumber daya ke brankas kunci.

   Catatan

   Mungkin perlu waktu beberapa menit bagi Azure untuk membuat identitas DiskEncryptionSet Anda di ID Microsoft Entra Anda. Jika Anda mendapatkan kesalahan seperti "Tidak dapat menemukan objek Direktori Aktif" saat menjalankan perintah berikut, tunggu beberapa menit dan coba lagi.

   $des=Get-AzDiskEncryptionSet -name $diskEncryptionSetName -ResourceGroupName $ResourceGroupName
   Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ObjectId $des.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get
   

Langkah berikutnya

• Azure PowerShell - Mengaktifkan kunci yang dikelola pelanggan dengan enkripsi sisi server - disk terkelola
• Sampel templat Azure Resource Manager
• Mengaktifkan kunci yang dikelola pelanggan dengan enkripsi sisi server - Contoh