Usare il modulo Azure PowerShell per abilitare la doppia crittografia dei dati inattivi per i dischi gestiti
Si applica a: ✔️ Macchine virtuali Windows
Dischi di Azure Archiviazione supporta la doppia crittografia dei dati inattivi per i dischi gestiti. Per informazioni concettuali sulla doppia crittografia dei dati inattivi e su altri tipi di crittografia del disco gestito, vedere la sezione Crittografia doppia dei dati inattivi dell'articolo crittografia dischi.
Limitazioni
La doppia crittografia dei dati inattivi non è attualmente supportata con dischi Ultra o SSD Premium v2.
Prerequisiti
Installare la versione più recente di Azure PowerShell e accedere a un account Azure usando Connessione-AzAccount.
Introduzione
Creare un'istanza di Azure Key Vault e la chiave di crittografia.
Quando si crea l'istanza di Key Vault, è necessario abilitare l'eliminazione temporanea e la protezione dall'eliminazione. L'eliminazione temporanea assicura che l'insieme di credenziali delle chiavi mantenga una chiave eliminata per un determinato periodo di conservazione (valore predefinito di 90 giorni). La protezione dall'eliminazione garantisce che una chiave eliminata non possa essere eliminata definitivamente fino al termine del periodo di conservazione. Queste impostazioni consentono di evitare la perdita di dati a causa dell'eliminazione accidentale. Queste impostazioni sono obbligatorie quando si usa un insieme di credenziali delle chiavi per la crittografia dei dischi gestiti.
$ResourceGroupName="yourResourceGroupName" $LocationName="westus2" $keyVaultName="yourKeyVaultName" $keyName="yourKeyName" $keyDestination="Software" $diskEncryptionSetName="yourDiskEncryptionSetName" $keyVault = New-AzKeyVault -Name $keyVaultName -ResourceGroupName $ResourceGroupName -Location $LocationName -EnableSoftDelete -EnablePurgeProtection $key = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyName -Destination $keyDestination
Recuperare l'URL per la chiave creata, sarà necessario per i comandi successivi. L'output ID di
Get-AzKeyVaultKey
è l'URL della chiave.Get-AzKeyVaultKey -VaultName $keyVaultName -KeyName $keyName
Ottenere l'ID risorsa per l'istanza di Key Vault creata, è necessario per i comandi successivi.
Get-AzKeyVault -VaultName $keyVaultName
Creare un Oggetto DiskEncryptionSet con encryptionType impostato su EncryptionAtRestWithPlatformAndCustomerKeys. Sostituire
yourKeyURL
eyourKeyVaultURL
con gli URL recuperati in precedenza.$config = New-AzDiskEncryptionSetConfig -Location $locationName -KeyUrl "yourKeyURL" -SourceVaultId 'yourKeyVaultURL' -IdentityType 'SystemAssigned' $config | New-AzDiskEncryptionSet -ResourceGroupName $ResourceGroupName -Name $diskEncryptionSetName -EncryptionType EncryptionAtRestWithPlatformAndCustomerKeys
Concedere al set di crittografia dischi l'accesso all'insieme di credenziali delle chiavi.
Nota
La creazione dell'identità di DiskEncryptionSet nell'ID Microsoft Entra potrebbe richiedere alcuni minuti. Se quando si esegue il comando seguente viene visualizzato un errore simile a "Impossibile trovare l'oggetto Active Directory", attendere qualche minuto e riprovare.
$des=Get-AzDiskEncryptionSet -name $diskEncryptionSetName -ResourceGroupName $ResourceGroupName Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ObjectId $des.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get
Passaggi successivi
Dopo aver creato e configurato queste risorse, è possibile usarle per proteggere i dischi gestiti. I collegamenti seguenti contengono script di esempio, ognuno con uno scenario corrispondente, che è possibile usare per proteggere i dischi gestiti.
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per