Mengonfigurasi Key Vault untuk Azure Disk Encryption
Untuk menerapkan enkripsi ke VM baru menggunakan Azure Disk Encryption, Contoso perlu mengonfigurasi brankas kunci untuk mengontrol dan mengelola kunci dan rahasia enkripsi disk.
Catatan
Anda dapat membuat brankas kunci sebagai tugas terpisah sebelum mengaktifkan Azure Disk Encryption, atau Anda dapat memilih untuk membuat brankas kunci selama proses mengaktifkan Azure Disk Encryption.
Ada tiga langkah yang harus Anda lakukan untuk mengonfigurasi brankas kunci:
- Buat grup sumber daya. Ini adalah langkah opsional. Anda dapat membuat grup sumber daya untuk meng-host brankas kunci atau menggunakan yang sudah ada. Anda dapat menggunakan portal Azure, Antarmuka Baris Perintah Azure (Azure CLI), atau PowerShell untuk membuat grup sumber daya.
- Membuat brankas kunci. Anda dapat menggunakan portal Azure, Azure CLI, atau PowerShell untuk membuat brankas kunci.
- Mengatur kebijakan akses tingkat lanjut brankas kunci. Azure memerlukan akses ke kunci enkripsi atau rahasia di brankas kunci Anda. Ini memungkinkan Azure membuatnya tersedia untuk VM untuk memulai dan mendekripsi volume.
Tip
Jika Anda tidak mengaktifkan brankas kunci untuk enkripsi disk pada saat pembuatan menggunakan parameter -enabled-for-disk-encryption
, Anda harus memperbarui kebijakan akses tingkat lanjutnya.
Gunakan Azure CLI
Prosedur untuk membuat dan mengonfigurasi brankas kunci menggunakan Azure CLI adalah sebagai berikut.
Buat grup sumber daya.
Lakukan langkah-langkah berikut untuk membuat grup sumber daya di Azure CLI:
Masuk ke Azure menggunakan perintah berikut ini:
az login
Jalankan perintah berikut untuk membuat grup sumber daya, mengubah nama dan lokasi agar sesuai dengan kebutuhan Anda:
az group create --name "ContosoResourceGroup" --location eastus
Langkah selanjutnya adalah membuat brankas kunci. Jalankan perintah berikut di Azure CLI untuk membuat brankas kunci, mengubah nama, nama grup sumber daya, dan lokasi yang sesuai dengan kebutuhan Anda:
az keyvault create --name "ContosoADEKeyVault" --resource-group "ContosoResourceGroup" --location "eastus" --enabled-for-disk-encryption
Catatan
Setiap brankas kunci harus memiliki nama yang unik
Mengatur kebijakan akses tingkat lanjut brankas kunci.
Jalankan perintah berikut di Azure CLI untuk menyelesaikan proses ini.
Pertama, aktifkan brankas untuk enkripsi disk. Ini diperlukan:
az keyvault update --name "ContosoADEKeyVault" --resource-group "ContosoResourceGroup" --enabled-for-disk-encryption "true"
Selanjutnya, jalankan perintah berikut untuk mengaktifkan brankas kunci untuk penyebaran, jika diperlukan. Opsi ini memungkinkan penyedia sumber daya Microsoft.Compute mengambil rahasia dari brankas kunci saat direferensikan dalam pembuatan sumber daya, seperti saat membuat VM:
az keyvault update --name "ContosoADEKeyVault" --resource-group "ContosoResourceGroup" --enabled-for-deployment "true"
Terakhir, Anda dapat mengaktifkan brankas kunci untuk penyebaran templat, jika diperlukan, dengan memungkinkan Resource Manager mengambil rahasia dari brankas. Gunakan kode berikut untuk mengaktifkan brankas kunci untuk penyebaran templat:
az keyvault update --name "ContosoADEKeyVault" --resource-group "ContosoResourceGroup" --enabled-for-template-deployment "true"
Menggunakan PowerShell
Anda juga dapat menggunakan perintah PowerShell untuk membuat dan mengonfigurasi brankas kunci.
Buat grup sumber daya menggunakan perintah PowerShell berikut ini:
New-AzResourceGroup -Name "ContosoResourceGroup" -Location "EastUS"
Buat brankas kunci menggunakan perintah PowerShell berikut ini:
New-AzKeyvault -name ContosoADEKeyVault -ResourceGroupName ContosoResourceGroup -Location EastUS -EnabledForDiskEncryption
Mengatur kebijakan akses tingkat lanjut brankas kunci. Gunakan perintah PowerShell berikut untuk mengonfigurasi kebijakan akses brankas kunci:
Set-AzKeyVaultAccessPolicy -VaultName 'ContosoADEKVault' -ResourceGroupName 'ContosoResourceGroup' -enabled-for-disk-encryption -EnabledForDeployment -EnabledForTemplateDeployment
Penting
Ingatlah untuk mengubah nama brankas kunci dan nama grup sumber daya dalam perintah sebelumnya ini agar sesuai dengan lingkungan spesifik Anda.
Menggunakan portal
Opsi terakhir adalah menggunakan portal Azure untuk membuat brankas kunci. Cara ini memungkinkan Anda menggabungkan ketiga langkah yang diuraikan di bagian sebelumnya.
Untuk membuat dan mengonfigurasi brankas kunci menggunakan portal, gunakan prosedur berikut:
Di portal Azure, dalam kotak pencarian, masukkan Key vaults (Brankas kunci), lalu dari daftar Services (Layanan), pilih Key vaults (Brankas kunci).
Di blade Key vaults (Brankas kunci), pilih Create key vault (Buat Brankas kunci).
Pilih Subscription (Langganan), Resource group (Grup sumber daya), Region (Wilayah), dan Pricing tier (Tingkat harga) yang sesuai.
Pilih Berikutnya : Kebijakan akses >.
Di bagian Enable Access to (Aktifkan Akses ke), di tab Access policy (Kebijakan akses), pilih kotak centang yang sesuai untuk mengonfigurasi kebijakan akses tingkat lanjut brankas kunci:
- VM Azure untuk penyebaran
- Azure Resource Manager untuk penyebaran templat
- Azure Disk Encryption untuk enkripsi volume
Pilih Tinjau + buat, lalu pilih Buat.