Dubbele rustversleuteling inschakelen voor beheerde schijven

Van toepassing op: ✔️ Virtuele Linux-machines ✔️ Virtuele Windows-machines ✔️

Azure Disk Storage ondersteunt dubbele versleuteling-at-rest voor beheerde schijven. Voor conceptuele informatie over dubbele versleuteling in rust en andere typen beheerde schijfversleuteling, zie de sectie Dubbele versleuteling in rust van ons artikel over schijfversleuteling.

Beperkingen

Dubbele versleuteling in rust wordt momenteel niet ondersteund met Ultra Disks of Premium SSD v2-schijven.

Vereisten

Als u Azure CLI wilt gebruiken, installeert u de nieuwste Azure CLI en meldt u zich aan bij een Azure-account met az login.

Als u de Azure PowerShell-module gaat gebruiken, installeer dan de nieuwste versie van Azure PowerShell en meld u aan bij een Azure-account met behulp van Connect-AzAccount.

Aan de slag

Meld u aan bij het Azure-portaal.
Zoek en selecteer Schijfencryptiesets.

Schermopname van het Azure-portaal, Schijfversleutelingssets is gemarkeerd in de zoekbalk.
Selecteer + Aanmaken.
Selecteer een van de ondersteunde regio's.
Voor het versleutelingstype, selecteer dubbele versleuteling met door het platform beheerde en door de klant beheerde sleutels.

Notitie

Wanneer u een schijfversleutelingsset met een bepaald versleutelingstype hebt gemaakt, kan deze niet worden gewijzigd. Als u een ander versleutelingstype wilt gebruiken, moet u een nieuwe schijfversleutelingsset maken.
Vul de resterende gegevens in.

Schermopname van de blade voor het maken van een set voor schijfversleuteling, regio's en dubbele versleuteling met door het platform beheerde en door de klant beheerde sleutels zijn gemarkeerd.
Selecteer een Azure Key Vault en sleutel of maak indien nodig een nieuwe sleutel.

Notitie

Als u een Key Vault-exemplaar maakt, moet u zacht verwijderen en zuivering bescherming inschakelen. Deze instellingen zijn verplicht bij het gebruik van een Sleutelkluis voor het versleutelen van beheerde schijven en beschermen u tegen het verlies van gegevens vanwege onbedoelde verwijdering.

Schermopname van de blade voor het maken van een Key Vault.
Selecteer Aanmaken.
Navigeer naar de schijfversleutelingsset die u hebt gemaakt en selecteer de fout die wordt weergegeven. Hiermee configureert u de schijfversleutelingsset zodat deze werkt.

Schermopname van de weergegeven fout in de schijfversleutelingsset. De fouttekst is: Om een schijf, afbeelding of momentopname met deze schijfversleutelingsset te associëren, moet u machtigingen verlenen aan de sleutelkluis.

Er moet een melding verschijnen en dat moet succesvol zijn. Hierdoor kun je de schijfversleutelingsset gebruiken met je sleutelkluis.

Schermopname van geslaagde machtiging en roltoewijzing voor uw sleutelkluis.
Navigeer naar uw schijf.
Selecteer Versleuteling.
Voor sleutelbeheer selecteert u een van de sleutels onder Door platform beheerde en door de klant beheerde sleutels.
Selecteer Opslaan.

Schermopname van de versleutelingsblade voor uw beheerde schijf, het bovengenoemde versleutelingstype is gemarkeerd.

U hebt nu dubbele versleuteling in rust ingeschakeld op uw beheerde schijf.

Maak een exemplaar van Azure Key Vault en versleutelingssleutel.

Wanneer u het Key Vault-exemplaar maakt, moet u voorlopig verwijderen en beveiliging tegen opschonen inschakelen. Voorlopig verwijderen zorgt ervoor dat de Sleutelkluis een verwijderde sleutel bevat voor een bepaalde bewaarperiode (standaard 90 dagen). Beveiliging tegen opschonen zorgt ervoor dat een verwijderde sleutel pas definitief kan worden verwijderd als de bewaarperiode is verstreken. Met deze instellingen kunt u geen gegevens kwijtraken vanwege onbedoelde verwijdering. Deze instellingen zijn verplicht wanneer u een sleutelkluis gebruikt voor het versleutelen van beheerde schijven.
```
subscriptionId=yourSubscriptionID
rgName=yourResourceGroupName
location=westcentralus
keyVaultName=yourKeyVaultName
keyName=yourKeyName
diskEncryptionSetName=yourDiskEncryptionSetName
diskName=yourDiskName

az account set --subscription $subscriptionId

az keyvault create -n $keyVaultName -g $rgName -l $location --enable-purge-protection true --enable-soft-delete true

az keyvault key create --vault-name $keyVaultName -n $keyName --protection software
```
Haal de URL van de sleutel op die je hebt gemaakt met behulp van az keyvault key show.
```
az keyvault key show --name $keyName --vault-name $keyVaultName
```

Maak een DiskEncryptionSet met het versleutelingstype ingesteld als EncryptionAtRestWithPlatformAndCustomerKeys. Vervang yourKeyURL met de URL die u van az keyvault key show hebt ontvangen.

az disk-encryption-set create --resource-group $rgName --name $diskEncryptionSetName --key-url yourKeyURL --source-vault $keyVaultName --encryption-type EncryptionAtRestWithPlatformAndCustomerKeys

Verleen de DiskEncryptionSet-resource toegang tot de sleutelkluis.

Notitie

Het kan enkele minuten duren voordat Azure de identiteit van uw DiskEncryptionSet in uw Microsoft Entra-id heeft gemaakt. Als er een foutbericht wordt weergegeven als 'Kan het Active Directory-object niet vinden' wanneer u de volgende opdracht uitvoert, wacht u enkele minuten en probeert u het opnieuw.

desIdentity=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [identity.principalId] -o tsv)

az keyvault set-policy -n $keyVaultName -g $rgName --object-id $desIdentity --key-permissions wrapkey unwrapkey get

Maak een exemplaar van Azure Key Vault en versleutelingssleutel.

Wanneer u het Key Vault-exemplaar maakt, moet u soft delete en purge bescherming inschakelen. Voorlopig verwijderen zorgt ervoor dat de Sleutelkluis een verwijderde sleutel bevat voor een bepaalde bewaarperiode (standaard 90 dagen). Beveiliging tegen opschonen zorgt ervoor dat een verwijderde sleutel pas definitief kan worden verwijderd als de bewaarperiode is verstreken. Met deze instellingen kunt u geen gegevens kwijtraken vanwege onbedoelde verwijdering. Deze instellingen zijn verplicht wanneer u een sleutelkluis gebruikt voor het versleutelen van beheerde schijven.
```
$ResourceGroupName="yourResourceGroupName"
$LocationName="westus2"
$keyVaultName="yourKeyVaultName"
$keyName="yourKeyName"
$keyDestination="Software"
$diskEncryptionSetName="yourDiskEncryptionSetName"

$keyVault = New-AzKeyVault -Name $keyVaultName -ResourceGroupName $ResourceGroupName -Location $LocationName -EnableSoftDelete -EnablePurgeProtection

$key = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyName -Destination $keyDestination  
```
Haal de URL op voor de sleutel die u hebt gemaakt. U hebt deze nodig voor volgende opdrachten. De ID-uitvoer van Get-AzKeyVaultKey is de belangrijkste URL.
```
Get-AzKeyVaultKey -VaultName $keyVaultName -KeyName $keyName
```
Haal de resource-id op voor het Key Vault-exemplaar dat u hebt gemaakt. U hebt deze nodig voor volgende opdrachten.
```
Get-AzKeyVault -VaultName $keyVaultName
```

Maak een DiskEncryptionSet met encryptionType ingesteld als EncryptionAtRestWithPlatformAndCustomerKeys. Vervang yourKeyURL en yourKeyVaultURL door de URL's die u eerder hebt opgehaald.

$config = New-AzDiskEncryptionSetConfig -Location $locationName -KeyUrl "yourKeyURL" -SourceVaultId 'yourKeyVaultURL' -IdentityType 'SystemAssigned'

$config | New-AzDiskEncryptionSet -ResourceGroupName $ResourceGroupName -Name $diskEncryptionSetName -EncryptionType EncryptionAtRestWithPlatformAndCustomerKeys

Verleen de DiskEncryptionSet-resource toegang tot de sleutelkluis.

Notitie

Het kan enkele minuten duren voordat Azure de identiteit van uw DiskEncryptionSet in uw Microsoft Entra-id heeft gemaakt. Als er een foutbericht wordt weergegeven als 'Kan het Active Directory-object niet vinden' wanneer u de volgende opdracht uitvoert, wacht u enkele minuten en probeert u het opnieuw.
```
$des=Get-AzDiskEncryptionSet -name $diskEncryptionSetName -ResourceGroupName $ResourceGroupName
Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ObjectId $des.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get
```

Volgende stappen

Feedback

Is deze pagina nuttig?

Last updated on 2025-04-08