Delen via

Een versleutelde versie van de installatiekopieën maken met door de klant beheerde sleutels

  • Artikel

Van toepassing op: ✔️ Virtuele Linux-machines voor Windows-VM's ✔️ ✔️ Flexibele schaalsets Uniform-schaalsets ✔️

Installatiekopieën in een Azure Compute Gallery (voorheen shared Image Gallery genoemd) worden opgeslagen als momentopnamen. Deze installatiekopieën worden automatisch versleuteld via 256-bits versleutelings-AES-versleuteling aan de serverzijde. Versleuteling aan de serverzijde is ook compatibel met FIPS 140-2. Zie Cryptografie-API: Volgende generatie voor meer informatie over de cryptografische modules die onderliggende door Azure beheerde schijven zijn.

U kunt gebruikmaken van door het platform beheerde sleutels voor de versleuteling van uw installatiekopieën of uw eigen sleutels gebruiken. U kunt beide functies ook samen gebruiken voor dubbele versleuteling. Als u ervoor kiest om versleuteling met uw eigen sleutels te beheren, kunt u een door de klant beheerde sleutel opgeven voor het versleutelen en ontsleutelen van alle schijven in uw installatiekopieën.

Versleuteling aan de serverzijde via door de klant beheerde sleutels maakt gebruik van Azure Key Vault. U kunt uw RSA-sleutels importeren in uw sleutelkluis of nieuwe RSA-sleutels genereren in Azure Key Vault.

Vereisten

Voor dit artikel is vereist dat u al een schijfversleuteling hebt ingesteld in elke regio waar u de installatiekopie wilt repliceren:

  • Als u alleen een door de klant beheerde sleutel wilt gebruiken, raadpleegt u de artikelen over het inschakelen van door de klant beheerde sleutels met versleuteling aan de serverzijde met behulp van Azure Portal of PowerShell.

  • Als u zowel door het platform beheerde als door de klant beheerde sleutels (voor dubbele versleuteling) wilt gebruiken, raadpleegt u de artikelen over het inschakelen van dubbele versleuteling in rust met behulp van Azure Portal of PowerShell.

    Belangrijk

    U moet de koppeling https://aka.ms/diskencryptionupdates gebruiken om toegang te krijgen tot Azure Portal. Dubbele versleuteling-at-rest is momenteel niet zichtbaar in de openbare Azure-portal, tenzij u die koppeling gebruikt.

Beperkingen

Wanneer u door de klant beheerde sleutels gebruikt voor het versleutelen van installatiekopieën in een Azure Compute-galerie, gelden deze beperkingen:

  • Versleutelingssleutelsets moeten zich in hetzelfde abonnement bevinden als uw installatiekopie.

  • Versleutelingssleutelsets zijn regionale resources, dus voor elke regio is een andere versleutelingssleutelset vereist.

  • Nadat u uw eigen sleutels hebt gebruikt om een installatiekopieën te versleutelen, kunt u niet teruggaan naar het gebruik van door het platform beheerde sleutels voor het versleutelen van deze installatiekopieën.

  • De versiebron van de VM-installatiekopie biedt momenteel geen ondersteuning voor door de klant beheerde sleutelversleuteling.

  • Sommige functies, zoals het repliceren van een SSE+CMK-installatiekopieën, het maken van een installatiekopieën van versleutelde SSE+CMK-schijven, enzovoort, worden niet ondersteund via de portal.

Powershell

Als u een schijfversleutelingsset wilt opgeven voor een installatiekopieversie, gebruikt u New-AzGalleryImageVersion met de -TargetRegion parameter:


$sourceId = <ID of the image version source>

$osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet'}

$dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet1';Lun=1}

$dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet2';Lun=2}

$dataDiskImageEncryptions = @($dataDiskImageEncryption1,$dataDiskImageEncryption2)

$encryption1 = @{OSDiskImage=$osDiskImageEncryption;DataDiskImages=$dataDiskImageEncryptions}

$region1 = @{Name='West US';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption1}

$eastUS2osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet'}

$eastUS2dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet1';Lun=1}

$eastUS2dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet2';Lun=2}

$eastUS2DataDiskImageEncryptions = @($eastUS2dataDiskImageEncryption1,$eastUS2dataDiskImageEncryption2)

$encryption2 = @{OSDiskImage=$eastUS2osDiskImageEncryption;DataDiskImages=$eastUS2DataDiskImageEncryptions}

$region2 = @{Name='East US 2';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption2}

$targetRegion = @($region1, $region2)


# Create the image
New-AzGalleryImageVersion `
   -ResourceGroupName $rgname `
   -GalleryName $galleryName `
   -GalleryImageDefinitionName $imageDefinitionName `
   -Name $versionName -Location $location `
   -SourceImageId $sourceId `
   -ReplicaCount 2 `
   -StorageAccountType Standard_LRS `
   -PublishingProfileEndOfLifeDate '2020-12-01' `
   -TargetRegion $targetRegion

Een VM maken:

U kunt een virtuele machine (VM) maken vanuit een Azure Compute Gallery en door de klant beheerde sleutels gebruiken om de schijven te versleutelen. De syntaxis is hetzelfde als het maken van een gegeneraliseerde of gespecialiseerde VM op basis van een installatiekopieën. Gebruik de uitgebreide parameterset en voeg deze toe Set-AzVMOSDisk -Name $($vmName +"_OSDisk") -DiskEncryptionSetId $diskEncryptionSet.Id -CreateOption FromImage aan de VM-configuratie.

Voor gegevensschijven voegt u de -DiskEncryptionSetId $setID parameter toe wanneer u Add-AzVMDataDisk gebruikt.

CLI

Als u een schijfversleutelingsset wilt opgeven voor een installatiekopieversie, gebruikt u az image gallery create-image-version met de --target-region-encryption parameter. De indeling hiervoor --target-region-encryption is een door komma's gescheiden lijst met sleutels voor het versleutelen van het besturingssysteem en de gegevensschijven. Dit ziet er als volgt uit: <encryption set for the OS disk>,<Lun number of the data disk>,<encryption set for the data disk>,<Lun number for the second data disk>,<encryption set for the second data disk>.

Als de bron voor de besturingssysteemschijf een beheerde schijf of een VIRTUELE machine is, gebruikt --managed-image u om de bron voor de versie van de installatiekopieën op te geven. In dit voorbeeld is de bron een beheerde installatiekopie met een besturingssysteemschijf en een gegevensschijf op LUN 0. De besturingssysteemschijf wordt versleuteld met DiskEncryptionSet1 en de gegevensschijf wordt versleuteld met DiskEncryptionSet2.

az sig image-version create \
   -g MyResourceGroup \
   --gallery-image-version 1.0.0 \
   --location westus \
   --target-regions westus=2=standard_lrs eastus2 \
   --target-region-encryption WestUSDiskEncryptionSet1,0,WestUSDiskEncryptionSet2 EastUS2DiskEncryptionSet1,0,EastUS2DiskEncryptionSet2 \
   --gallery-name MyGallery \
   --gallery-image-definition MyImage \
   --managed-image "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/images/myImage"

Als de bron voor de besturingssysteemschijf een momentopname is, gebruikt --os-snapshot u deze om de besturingssysteemschijf op te geven. Voeg eventuele andere momentopnamen van gegevensschijven toe die ook deel moeten uitmaken van de versie van de installatiekopie. Gebruik --data-snapshot-luns dit om de LUN op te geven en gebruik --data-snapshots deze om de momentopnamen op te geven.

In dit voorbeeld zijn de bronnen schijfmomentopnamen. Er is een besturingssysteemschijf en een gegevensschijf op LUN 0. De besturingssysteemschijf wordt versleuteld met DiskEncryptionSet1 en de gegevensschijf wordt versleuteld met DiskEncryptionSet2.

az sig image-version create \
   -g MyResourceGroup \
   --gallery-image-version 1.0.0 \
   --location westus\
   --target-regions westus=2=standard_lrs eastus\
   --target-region-encryption WestUSDiskEncryptionSet1,0,WestUSDiskEncryptionSet2 EastUS2DiskEncryptionSet1,0,EastUS2DiskEncryptionSet2 \
   --os-snapshot "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/snapshots/myOSSnapshot" \
   --data-snapshot-luns 0 \
   --data-snapshots "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/snapshots/myDDSnapshot" \
   --gallery-name MyGallery \
   --gallery-image-definition MyImage

De VM maken

U kunt een VIRTUELE machine maken vanuit een Azure Compute Gallery en door de klant beheerde sleutels gebruiken om de schijven te versleutelen. De syntaxis is hetzelfde als het maken van een gegeneraliseerde of gespecialiseerde VM met de toevoeging van de --os-disk-encryption-set parameter. Voeg voor gegevensschijven --data-disk-encryption-sets een door spaties gescheiden lijst toe met de schijfversleutelingssets voor de gegevensschijven.

Portal

Wanneer u de versie van de installatiekopie in de portal maakt, kunt u het tabblad Versleuteling gebruiken om uw opslagversleutelingssets toe te passen.

  1. Selecteer op de pagina Een versie van een installatiekopie maken het tabblad Versleuteling .
  2. Selecteer in versleutelingstype versleuteling in rust met een door de klant beheerde sleutel of dubbele versleuteling met door het platform beheerde en door de klant beheerde sleutels.
  3. Selecteer voor elke schijf in de installatiekopie een versleutelingsset in de vervolgkeuzelijst Schijfversleutelingsset .

De VM maken

U kunt een VM maken op basis van een installatiekopieënversie en door de klant beheerde sleutels gebruiken om de schijven te versleutelen. Wanneer u de virtuele machine in de portal maakt, selecteert u versleuteling in rust met door de klant beheerde sleutels of dubbele versleuteling met door het platform beheerde en door de klant beheerde sleutels voor het versleutelingstype. Vervolgens kunt u de versleutelingsset selecteren in de vervolgkeuzelijst.

Volgende stappen

Meer informatie over schijfversleuteling aan de serverzijde.

Zie Informatie over het leveren van aankoopplangegevens voor Azure Marketplace bij het maken van installatiekopieën.