Een sleutelkluis voor Azure Disk Encryption maken en configureren
Azure Disk Encryption gebruikt Azure Key Vault om sleutels en geheimen voor schijfversleuteling te beheren. Zie Aan de slag met Azure Key Vault en Uw sleutelkluis beveiligen voor meer informatie over sleutelkluizen.
Een sleutelkluis maken en configureren voor gebruik met Azure Disk Encryption bestaat uit drie stappen:
- Een resourcegroep maken, indien nodig.
- Een sleutelkluis maken.
- Geavanceerd toegangsbeleid voor sleutelkluis instellen.
U kunt eventueel ook een sleutelversleutelingssleutel genereren of importeren (KEK).
Hulpprogramma's installeren en verbinding maken met Azure
U kunt de stappen in dit artikel voltooien met de Azure CLI, de Azure PowerShell AZ-module of de Azure-portal.
Een resourcegroep maken
Als u al een resourcegroep hebt, kunt u verdergaan naar Een sleutelkluis maken.
Een resourcegroep is een logische container waarin Azure-resources worden geïmplementeerd en beheerd.
Maak een resourcegroep met behulp van de Azure CLI-opdracht az group create, de Azure PowerShell-opdracht New-AzResourceGroup of vanuit de Azure-portal.
Azure CLI
az group create --name "myResourceGroup" --location eastus
Azure PowerShell
New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"
Een sleutelkluis maken
Als u al een sleutelkluis hebt, kunt u verdergaan naar Set key vault advanced access policies (Geavanceerde toegangsbeleidsregels voor sleutelkluizen instellen).
Maak een sleutelkluis met behulp van de Azure CLI-opdracht az keyvault create, de Azure PowerShell opdracht New-AzKeyvault, de Azure Portal of een Resource Manager sjabloon.
Waarschuwing
Om ervoor te zorgen dat versleutelingsgeheimen geen regionale grenzen overschrijden, moet u een sleutelkluis maken en gebruiken die zich in dezelfde regio en tenant bevindt als de virtuele machines die moeten worden versleuteld.
Elke sleutelkluis moet een unieke naam hebben. Vervang <your-unique-keyvault-name> door de naam van uw sleutelkluis in de volgende voorbeelden.
Azure CLI
Wanneer u een sleutelkluis maakt met behulp van de Azure CLI, voegt u de vlag '--enabled-for-disk-encryption' toe.
az keyvault create --name "<your-unique-keyvault-name>" --resource-group "myResourceGroup" --location "eastus" --enabled-for-disk-encryption
Azure PowerShell
Wanneer u een sleutelkluis maakt met behulp van Azure PowerShell, voegt u de vlag -EnabledForDiskEncryption toe.
New-AzKeyvault -name "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup" -Location "eastus" -EnabledForDiskEncryption
Resource Manager-sjabloon
U kunt ook een sleutelkluis maken met behulp van een Resource Manager-sjabloon.
- Klik in de Azure-snelstartsjabloon op Implementeren in Azure.
- Selecteer het abonnement, de resourcegroep, de locatie van de resourcegroep, de naam van de sleutelkluis, de object-id, de juridische voorwaarden en de overeenkomst en klik vervolgens op Aankoop.
Geavanceerd toegangsbeleid voor de sleutelkluis instellen
Belangrijk
Nieuw gemaakte sleutelkluizen hebben standaard voorlopig verwijderen ingeschakeld. Als u een bestaande sleutelkluis gebruikt, moet u voorlopig verwijderen inschakelen. Zie Overzicht van Azure Key Vault voor voorlopig verwijderen.
Het Azure-platform heeft toegang nodig tot de versleutelingssleutels of geheimen in uw sleutelkluis om ze beschikbaar te maken voor de VM voor het opstarten en ontsleutelen van de volumes.
Als u uw sleutelkluis niet hebt ingeschakeld voor schijfversleuteling, implementatie of sjabloonimplementatie op het moment van maken (zoals in de vorige stap is aangetoond), moet u het geavanceerde toegangsbeleid bijwerken.
Azure CLI
Gebruik az keyvault update om schijfversleuteling in te schakelen voor de sleutelkluis.
Key Vault inschakelen voor schijfversleuteling: Enabled-for-disk-encryption is vereist.
az keyvault update --name "<your-unique-keyvault-name>" --resource-group "MyResourceGroup" --enabled-for-disk-encryption "true"Key Vault inschakelen voor implementatie, indien nodig: Hiermee kan de resourceprovider Microsoft.Compute geheimen ophalen van deze sleutelkluis wanneer er naar deze sleutelkluis wordt verwezen bij het maken van een resource, bijvoorbeeld een virtuele machine.
az keyvault update --name "<your-unique-keyvault-name>" --resource-group "MyResourceGroup" --enabled-for-deployment "true"Key Vault inschakelen voor sjabloonimplementatie, indien nodig: Hiermee kan Resource Manager geheimen uit de kluis ophalen.
az keyvault update --name "<your-unique-keyvault-name>" --resource-group "MyResourceGroup" --enabled-for-template-deployment "true"
Azure PowerShell
Gebruik de PowerShell-cmdlet Set-AzKeyVaultAccessPolicy voor sleutelkluizen om schijfversleuteling in te schakelen voor de sleutelkluis.
Key Vault inschakelen voor schijfversleuteling: EnabledForDiskEncryption is vereist voor Azure Disk Encryption.
Set-AzKeyVaultAccessPolicy -VaultName "<your-unique-keyvault-name>" -ResourceGroupName "MyResourceGroup" -EnabledForDiskEncryptionKey Vault inschakelen voor implementatie, indien nodig: Hiermee kan de resourceprovider Microsoft.Compute geheimen ophalen van deze sleutelkluis wanneer er naar deze sleutelkluis wordt verwezen bij het maken van een resource, bijvoorbeeld een virtuele machine.
Set-AzKeyVaultAccessPolicy -VaultName "<your-unique-keyvault-name>" -ResourceGroupName "MyResourceGroup" -EnabledForDeploymentKey Vault inschakelen voor sjabloonimplementatie, indien nodig: Hiermee kan Azure Resource Manager geheimen van deze sleutelkluis ophalen wanneer er naar deze sleutelkluis wordt verwezen bij een sjabloonimplementatie.
Set-AzKeyVaultAccessPolicy -VaultName "<your-unique-keyvault-name>" -ResourceGroupName "MyResourceGroup" -EnabledForTemplateDeployment
Azure Portal
Selecteer uw sleutelkluis en ga naar Toegangsbeleid.
Schakel onder Toegang tot inschakelen het vak Azure Disk Encryption in voor volumeversleuteling.
Selecteer Azure Virtual Machines voor implementatie en/of Azure Resource Manager voor sjabloonimplementatie, indien nodig.
Klik op Opslaan.
Azure Disk Encryption en automatische rotatie
Hoewel Azure Key Vault nu automatische sleutelrotatie heeft, is het momenteel niet compatibel met Azure Disk Encryption. Azure Disk Encryption blijft de oorspronkelijke versleutelingssleutel gebruiken, zelfs nadat deze automatisch is geroteerd.
Als u een versleutelingssleutel roteert, wordt Azure Disk Encryption niet verbroken, maar het uitschakelen van de 'oude' versleutelingssleutel (met andere woorden, de sleutel die Azure Disk Encryption nog gebruikt) wel.
Een Key Encryption Key (KEK) instellen
Belangrijk
Het account dat wordt uitgevoerd om schijfversleuteling via de sleutelkluis in te schakelen, moet 'lezer'-machtigingen hebben.
Als u een Key Encryption Key (KEK) wilt gebruiken als een extra beveiligingslaag voor versleutelingssleutels, voegt u een KEK toe aan uw sleutelkluis. Wanneer er een KEK is opgegeven, gebruikt Azure Disk Encryption die sleutel om de versleutelingsgeheimen te verpakken voordat er naar Key Vault wordt geschreven.
U kunt een nieuwe KEK genereren met behulp van de Azure CLI-opdrachtaz keyvault key create, de Azure PowerShell cmdlet Add-AzKeyVaultKey of de Azure Portal. U moet een RSA-sleuteltype genereren; Azure Disk Encryption biedt momenteel geen ondersteuning voor het gebruik van Elliptic Curve-sleutels.
U kunt in plaats daarvan een KEK importeren uit uw HSM voor on-premises sleutelbeheer. Zie onze Key Vault-documentatie voor meer informatie.
De URL's voor uw sleutelkluis-KEK moeten versiebeheer hebben. Azure dwingt deze beperking van versiebeheer af. Zie de volgende voorbeelden voor geldige geheim- en KEK-URL's:
- Voorbeeld van een geldige geheim-URL: https://contosovault.vault.azure.net/secrets/EncryptionSecretWithKek/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
- Voorbeeld van een geldige KEK-URL: https://contosovault.vault.azure.net/keys/diskencryptionkek/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Azure CLI
Gebruik de Azure CLI-opdracht az keyvault key create om een nieuwe KEK te genereren en op te slaan in uw sleutelkluis.
az keyvault key create --name "myKEK" --vault-name "<your-unique-keyvault-name>" --kty RSA --size 4096
U kunt in plaats daarvan een persoonlijke sleutel importeren met behulp van de Azure CLI-opdracht az keyvault key import :
In beide gevallen geeft u de naam van uw KEK op aan de parameter Azure CLI az vm encryption enable --key-encryption-key.
az vm encryption enable -g "MyResourceGroup" --name "myVM" --disk-encryption-keyvault "<your-unique-keyvault-name>" --key-encryption-key "myKEK"
Azure PowerShell
Gebruik de Azure PowerShell-cmdlet Add-AzKeyVaultKey om een nieuwe KEK te genereren en op te slaan in uw sleutelkluis.
Add-AzKeyVaultKey -Name "myKEK" -VaultName "<your-unique-keyvault-name>" -Destination "HSM" -Size 4096
U kunt in plaats daarvan een persoonlijke sleutel importeren met behulp van de opdracht Azure PowerShellaz keyvault key import.
In beide gevallen geeft u de id van uw KEK-sleutelkluis en de URL van uw KEK op aan de Azure PowerShell Set-AzVMDiskEncryptionExtension-parameters -KeyEncryptionKeyVaultId en -KeyEncryptionKeyUrl. In dit voorbeeld wordt ervan uitgegaan dat u dezelfde sleutelkluis gebruikt voor zowel de schijfversleutelingssleutel als de KEK.
$KeyVault = Get-AzKeyVault -VaultName "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup"
$KEK = Get-AzKeyVaultKey -VaultName "<your-unique-keyvault-name>" -Name "myKEK"
Set-AzVMDiskEncryptionExtension -ResourceGroupName MyResourceGroup -VMName "MyVM" -DiskEncryptionKeyVaultUrl $KeyVault.VaultUri -DiskEncryptionKeyVaultId $KeyVault.ResourceId -KeyEncryptionKeyVaultId $KeyVault.ResourceId -KeyEncryptionKeyUrl $KEK.Id -SkipVmBackup -VolumeType All