Configurare Key Vault per Crittografia dischi di Azure

  • 6 minuti

Per applicare la crittografia a una nuova macchina virtuale usando Crittografia dischi di Azure, Contoso deve configurare un insieme di credenziali delle chiavi per controllare e gestire i segreti e le chiavi di crittografia del disco.

Nota

È possibile creare un insieme di credenziali delle chiavi come attività distinta prima di abilitare Crittografia dischi di Azure oppure è possibile scegliere di creare l'insieme di credenziali delle chiavi durante il processo di abilitazione di Crittografia dischi di Azure.

Per configurare un insieme di credenziali delle chiavi, sono necessari tre passaggi:

  1. Crea un gruppo di risorse. Questo è un passaggio facoltativo. È possibile creare un gruppo di risorse per ospitare l'insieme di credenziali delle chiavi o usarne uno già esistente. Per creare il gruppo di risorse, usare il portale di Azure, l'interfaccia della riga di comando di Azure o PowerShell.
  2. Creare un insieme di credenziali delle chiavi. Per creare un insieme di credenziali delle chiavi, è possibile usare il portale di Azure, l'interfaccia della riga di comando di Azure o PowerShell.
  3. Impostare criteri di accesso avanzati per l'insieme di credenziali delle chiavi. Azure richiede l'accesso alle chiavi di crittografia o ai segreti nell'insieme di credenziali delle chiavi. In questo modo, Azure può renderli disponibili per la macchina virtuale per avviare e decrittografare i volumi.

Suggerimento

Se non si è abilitato l'insieme di credenziali delle chiavi per la crittografia del disco al momento della creazione usando il parametro -enabled-for-disk-encryption, occorre aggiornarne i criteri di accesso avanzati.

Utilizzare l'interfaccia della riga di comando di Azure

La procedura per creare e configurare un insieme di credenziali delle chiavi tramite l'interfaccia della riga di comando di Azure è la seguente.

  1. Crea un gruppo di risorse.

    Per creare un gruppo di risorse nell'interfaccia della riga di comando di Azure, seguire questa procedura:

    1. Accedere ad Azure usando il comando seguente:

      az login

    2. Eseguire il comando seguente per creare il gruppo di risorse, modificando il nome e la posizione in base alle esigenze:

      az group create --name "ContosoResourceGroup" --location eastus

  2. Il passaggio successivo consiste nel creare un insieme di credenziali delle chiavi. Eseguire il comando seguente nell'interfaccia della riga di comando di Azure per creare un insieme di credenziali delle chiavi, modificando il nome, il nome del gruppo di risorse e la posizione in base alle esigenze:

    az keyvault create --name "ContosoADEKeyVault" --resource-group "ContosoResourceGroup" --location "eastus" --enabled-for-disk-encryption

    Nota

    Ogni insieme di credenziali delle chiavi deve avere un nome univoco

  3. Impostare criteri di accesso avanzati per l'insieme di credenziali delle chiavi.

    Eseguire i comandi seguenti nell'interfaccia della riga di comando di Azure per completare questo processo.

    1. Per prima cosa, abilitare l'insieme di credenziali per la crittografia del disco. È un'operazione obbligatoria:

      az keyvault update --name "ContosoADEKeyVault" --resource-group "ContosoResourceGroup" --enabled-for-disk-encryption "true"

    2. Eseguire quindi il comando seguente per abilitare l'insieme di credenziali delle chiavi per la distribuzione, se necessario. Questa opzione consente al provider di risorse Microsoft.Compute di recuperare i segreti dall'insieme di credenziali delle chiavi quando vi viene fatto riferimento durante la creazione delle risorse, ad esempio quando si crea una macchina virtuale:

      az keyvault update --name "ContosoADEKeyVault" --resource-group "ContosoResourceGroup" --enabled-for-deployment "true"

    3. Infine, è possibile abilitare l'insieme di credenziali delle chiavi per la distribuzione modelli, se necessario, consentendo a Resource Manager di recuperare i segreti dall'insieme di credenziali. Usare il codice seguente per abilitare l'insieme di credenziali delle chiavi per la distribuzione modelli:

      az keyvault update --name "ContosoADEKeyVault" --resource-group "ContosoResourceGroup" --enabled-for-template-deployment "true"

Utilizzare PowerShell

È anche possibile usare i comandi di PowerShell per creare e configurare l'insieme di credenziali delle chiavi.

  1. Creare un gruppo di risorse usando il comando di PowerShell seguente:

    New-AzResourceGroup -Name "ContosoResourceGroup" -Location "EastUS"

  2. Creare un insieme di credenziali delle chiavi usando il comando di PowerShell seguente:

    New-AzKeyvault -name ContosoADEKeyVault -ResourceGroupName ContosoResourceGroup -Location EastUS -EnabledForDiskEncryption

  3. Impostare criteri di accesso avanzati per l'insieme di credenziali delle chiavi. Usare il comando di PowerShell seguente per configurare i criteri di accesso all'insieme di credenziali delle chiavi:

    Set-AzKeyVaultAccessPolicy -VaultName 'ContosoADEKVault' -ResourceGroupName 'ContosoResourceGroup' -enabled-for-disk-encryption -EnabledForDeployment -EnabledForTemplateDeployment

Importante

Ricordarsi di modificare il nome dell'insieme di credenziali delle chiavi e il nome del gruppo di risorse nei comandi precedenti in modo che corrispondano allo specifico ambiente in uso.

Usare il portale

Un'ultima opzione consiste nell'usare il portale di Azure per creare un insieme di credenziali delle chiavi. In questo modo è possibile combinare tutti e tre i passaggi descritti nelle sezioni precedenti.

Per creare e configurare un insieme di credenziali delle chiavi tramite il portale, seguire questa procedura:

  1. Nella casella di ricerca del portale di Azure immettere Insiemi di credenziali delle chiavi e quindi nell'elenco Servizi selezionare Insiemi di credenziali delle chiavi.

  2. Nel riquadro Insiemi di credenziali delle chiavi selezionare Crea un insieme di credenziali delle chiavi.

  3. Selezionare le voci appropriate per Sottoscrizione, Gruppo di risorse, Area e Piano tariffario.

    A screenshot of the Create key vault blade in Azure portal. The administrator has entered the details to match the text in the preceding Azure CLI command.

  4. Selezionare Avanti: Criteri di accesso >.

  5. Nella sezione Abilita l'accesso a, nella scheda Criteri di accesso, selezionare le caselle di controllo appropriate per configurare i criteri di accesso avanzati per l'insieme di credenziali delle chiavi:

    • Macchine virtuali di Azure per la distribuzione
    • Azure Resource Manager per la distribuzione modelli
    • Crittografia dischi di Azure per la crittografia dei volumi

  6. Seleziona Rivedi e crea e quindi seleziona Crea.

    A screenshot of the Create key vault blade in Azure portal. On the Access policy tab, the administrator is configuring the Enable Access to settings and has selected all check boxes as described in the preceding text.