Mengonfigurasi Key Vault untuk Azure Disk Encryption

  • 6 menit

Untuk menerapkan enkripsi ke VM baru menggunakan Azure Disk Encryption, Contoso perlu mengonfigurasi brankas kunci untuk mengontrol dan mengelola kunci dan rahasia enkripsi disk.

Catatan

Anda dapat membuat brankas kunci sebagai tugas terpisah sebelum mengaktifkan Azure Disk Encryption, atau Anda dapat memilih untuk membuat brankas kunci selama proses mengaktifkan Azure Disk Encryption.

Ada tiga langkah yang harus Anda lakukan untuk mengonfigurasi brankas kunci:

  1. Buat grup sumber daya. Ini adalah langkah opsional. Anda dapat membuat grup sumber daya untuk meng-host brankas kunci atau menggunakan yang sudah ada. Anda dapat menggunakan portal Azure, Antarmuka Baris Perintah Azure (Azure CLI), atau PowerShell untuk membuat grup sumber daya.
  2. Membuat brankas kunci. Anda dapat menggunakan portal Azure, Azure CLI, atau PowerShell untuk membuat brankas kunci.
  3. Mengatur kebijakan akses tingkat lanjut brankas kunci. Azure memerlukan akses ke kunci enkripsi atau rahasia di brankas kunci Anda. Ini memungkinkan Azure membuatnya tersedia untuk VM untuk memulai dan mendekripsi volume.

Tip

Jika Anda tidak mengaktifkan brankas kunci untuk enkripsi disk pada saat pembuatan menggunakan parameter -enabled-for-disk-encryption, Anda harus memperbarui kebijakan akses tingkat lanjutnya.

Gunakan Azure CLI

Prosedur untuk membuat dan mengonfigurasi brankas kunci menggunakan Azure CLI adalah sebagai berikut.

  1. Buat grup sumber daya.

    Lakukan langkah-langkah berikut untuk membuat grup sumber daya di Azure CLI:

    1. Masuk ke Azure menggunakan perintah berikut ini:

      az login

    2. Jalankan perintah berikut untuk membuat grup sumber daya, mengubah nama dan lokasi agar sesuai dengan kebutuhan Anda:

      az group create --name "ContosoResourceGroup" --location eastus

  2. Langkah selanjutnya adalah membuat brankas kunci. Jalankan perintah berikut di Azure CLI untuk membuat brankas kunci, mengubah nama, nama grup sumber daya, dan lokasi yang sesuai dengan kebutuhan Anda:

    az keyvault create --name "ContosoADEKeyVault" --resource-group "ContosoResourceGroup" --location "eastus" --enabled-for-disk-encryption

    Catatan

    Setiap brankas kunci harus memiliki nama yang unik

  3. Mengatur kebijakan akses tingkat lanjut brankas kunci.

    Jalankan perintah berikut di Azure CLI untuk menyelesaikan proses ini.

    1. Pertama, aktifkan brankas untuk enkripsi disk. Ini diperlukan:

      az keyvault update --name "ContosoADEKeyVault" --resource-group "ContosoResourceGroup" --enabled-for-disk-encryption "true"

    2. Selanjutnya, jalankan perintah berikut untuk mengaktifkan brankas kunci untuk penyebaran, jika diperlukan. Opsi ini memungkinkan penyedia sumber daya Microsoft.Compute mengambil rahasia dari brankas kunci saat direferensikan dalam pembuatan sumber daya, seperti saat membuat VM:

      az keyvault update --name "ContosoADEKeyVault" --resource-group "ContosoResourceGroup" --enabled-for-deployment "true"

    3. Terakhir, Anda dapat mengaktifkan brankas kunci untuk penyebaran templat, jika diperlukan, dengan memungkinkan Resource Manager mengambil rahasia dari brankas. Gunakan kode berikut untuk mengaktifkan brankas kunci untuk penyebaran templat:

      az keyvault update --name "ContosoADEKeyVault" --resource-group "ContosoResourceGroup" --enabled-for-template-deployment "true"

Menggunakan PowerShell

Anda juga dapat menggunakan perintah PowerShell untuk membuat dan mengonfigurasi brankas kunci.

  1. Buat grup sumber daya menggunakan perintah PowerShell berikut ini:

    New-AzResourceGroup -Name "ContosoResourceGroup" -Location "EastUS"

  2. Buat brankas kunci menggunakan perintah PowerShell berikut ini:

    New-AzKeyvault -name ContosoADEKeyVault -ResourceGroupName ContosoResourceGroup -Location EastUS -EnabledForDiskEncryption

  3. Mengatur kebijakan akses tingkat lanjut brankas kunci. Gunakan perintah PowerShell berikut untuk mengonfigurasi kebijakan akses brankas kunci:

    Set-AzKeyVaultAccessPolicy -VaultName 'ContosoADEKVault' -ResourceGroupName 'ContosoResourceGroup' -enabled-for-disk-encryption -EnabledForDeployment -EnabledForTemplateDeployment

Penting

Ingatlah untuk mengubah nama brankas kunci dan nama grup sumber daya dalam perintah sebelumnya ini agar sesuai dengan lingkungan spesifik Anda.

Menggunakan portal

Opsi terakhir adalah menggunakan portal Azure untuk membuat brankas kunci. Cara ini memungkinkan Anda menggabungkan ketiga langkah yang diuraikan di bagian sebelumnya.

Untuk membuat dan mengonfigurasi brankas kunci menggunakan portal, gunakan prosedur berikut:

  1. Di portal Azure, dalam kotak pencarian, masukkan Key vaults (Brankas kunci), lalu dari daftar Services (Layanan), pilih Key vaults (Brankas kunci).

  2. Di blade Key vaults (Brankas kunci), pilih Create key vault (Buat Brankas kunci).

  3. Pilih Subscription (Langganan), Resource group (Grup sumber daya), Region (Wilayah), dan Pricing tier (Tingkat harga) yang sesuai.

    A screenshot of the Create key vault blade in Azure portal. The administrator has entered the details to match the text in the preceding Azure CLI command.

  4. Pilih Berikutnya : Kebijakan akses >.

  5. Di bagian Enable Access to (Aktifkan Akses ke), di tab Access policy (Kebijakan akses), pilih kotak centang yang sesuai untuk mengonfigurasi kebijakan akses tingkat lanjut brankas kunci:

    • VM Azure untuk penyebaran
    • Azure Resource Manager untuk penyebaran templat
    • Azure Disk Encryption untuk enkripsi volume

  6. Pilih Tinjau + buat, lalu pilih Buat.

    A screenshot of the Create key vault blade in Azure portal. On the Access policy tab, the administrator is configuring the Enable Access to settings and has selected all check boxes as described in the preceding text.