Usare il modulo Azure PowerShell per abilitare la doppia crittografia dei dati inattivi per i dischi gestiti

Articolo
10/18/2023

Si applica a: ✔️ Macchine virtuali Windows

Dischi di Azure Archiviazione supporta la doppia crittografia dei dati inattivi per i dischi gestiti. Per informazioni concettuali sulla doppia crittografia dei dati inattivi e su altri tipi di crittografia del disco gestito, vedere la sezione Crittografia doppia dei dati inattivi dell'articolo crittografia dischi.

Limitazioni

La doppia crittografia dei dati inattivi non è attualmente supportata con dischi Ultra o SSD Premium v2.

Prerequisiti

Installare la versione più recente di Azure PowerShell e accedere a un account Azure usando Connessione-AzAccount.

Introduzione

Creare un'istanza di Azure Key Vault e la chiave di crittografia.

Quando si crea l'istanza di Key Vault, è necessario abilitare l'eliminazione temporanea e la protezione dall'eliminazione. L'eliminazione temporanea assicura che l'insieme di credenziali delle chiavi mantenga una chiave eliminata per un determinato periodo di conservazione (valore predefinito di 90 giorni). La protezione dall'eliminazione garantisce che una chiave eliminata non possa essere eliminata definitivamente fino al termine del periodo di conservazione. Queste impostazioni consentono di evitare la perdita di dati a causa dell'eliminazione accidentale. Queste impostazioni sono obbligatorie quando si usa un insieme di credenziali delle chiavi per la crittografia dei dischi gestiti.
```
$ResourceGroupName="yourResourceGroupName"
$LocationName="westus2"
$keyVaultName="yourKeyVaultName"
$keyName="yourKeyName"
$keyDestination="Software"
$diskEncryptionSetName="yourDiskEncryptionSetName"

$keyVault = New-AzKeyVault -Name $keyVaultName -ResourceGroupName $ResourceGroupName -Location $LocationName -EnableSoftDelete -EnablePurgeProtection

$key = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyName -Destination $keyDestination  
```
Recuperare l'URL per la chiave creata, sarà necessario per i comandi successivi. L'output ID di Get-AzKeyVaultKey è l'URL della chiave.
```
Get-AzKeyVaultKey -VaultName $keyVaultName -KeyName $keyName
```
Ottenere l'ID risorsa per l'istanza di Key Vault creata, è necessario per i comandi successivi.
```
Get-AzKeyVault -VaultName $keyVaultName
```

Creare un Oggetto DiskEncryptionSet con encryptionType impostato su EncryptionAtRestWithPlatformAndCustomerKeys. Sostituire yourKeyURL e yourKeyVaultURL con gli URL recuperati in precedenza.

$config = New-AzDiskEncryptionSetConfig -Location $locationName -KeyUrl "yourKeyURL" -SourceVaultId 'yourKeyVaultURL' -IdentityType 'SystemAssigned'

$config | New-AzDiskEncryptionSet -ResourceGroupName $ResourceGroupName -Name $diskEncryptionSetName -EncryptionType EncryptionAtRestWithPlatformAndCustomerKeys

Concedere al set di crittografia dischi l'accesso all'insieme di credenziali delle chiavi.

Nota

La creazione dell'identità di DiskEncryptionSet nell'ID Microsoft Entra potrebbe richiedere alcuni minuti. Se quando si esegue il comando seguente viene visualizzato un errore simile a "Impossibile trovare l'oggetto Active Directory", attendere qualche minuto e riprovare.
```
$des=Get-AzDiskEncryptionSet -name $diskEncryptionSetName -ResourceGroupName $ResourceGroupName
Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ObjectId $des.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get
```

Passaggi successivi

Dopo aver creato e configurato queste risorse, è possibile usarle per proteggere i dischi gestiti. I collegamenti seguenti contengono script di esempio, ognuno con uno scenario corrispondente, che è possibile usare per proteggere i dischi gestiti.

Condividi tramite