Een versleutelde installatiekopieënversie maken met door de klant beheerde sleutels

  • Artikel

Van toepassing op: ✔️ Linux-VM's ✔️ Windows-VM's ✔️ Flexibele schaalsets ✔️ Uniforme schaalsets

Installatiekopieën in een Azure Compute Gallery (voorheen bekend als Shared Image Gallery) worden opgeslagen als momentopnamen. Deze installatiekopieën worden automatisch versleuteld via 256-bits versleuteling aan de serverzijde AES-versleuteling. Versleuteling aan de serverzijde is ook compatibel met FIPS 140-2. Zie Cryptography API: Next Generation (Cryptografie-API: volgende generatie) voor meer informatie over de cryptografische modules die onderliggende azure managed disks bevatten.

U kunt vertrouwen op door het platform beheerde sleutels voor de versleuteling van uw installatiekopieën of uw eigen sleutels gebruiken. U kunt beide functies ook samen gebruiken voor dubbele versleuteling. Als u ervoor kiest om versleuteling te beheren met uw eigen sleutels, kunt u een door de klant beheerde sleutel opgeven voor het versleutelen en ontsleutelen van alle schijven in uw installatiekopieën.

Versleuteling aan de serverzijde via door de klant beheerde sleutels maakt gebruik van Azure Key Vault. U kunt uw RSA-sleutels importeren in uw sleutelkluis of nieuwe RSA-sleutels genereren in Azure Key Vault.

Vereisten

Dit artikel vereist dat u al een schijfversleuteling hebt ingesteld in elke regio waarin u uw installatiekopie wilt repliceren:

  • Als u alleen een door de klant beheerde sleutel wilt gebruiken, raadpleegt u de artikelen over het inschakelen van door de klant beheerde sleutels met versleuteling aan de serverzijde met behulp van de Azure Portal of PowerShell.

  • Als u zowel door het platform beheerde als door de klant beheerde sleutels (voor dubbele versleuteling) wilt gebruiken, raadpleegt u de artikelen over het inschakelen van dubbele versleuteling at rest met behulp van de Azure Portal of PowerShell.

    Belangrijk

    U moet de koppeling https://aka.ms/diskencryptionupdates gebruiken om toegang te krijgen tot de Azure Portal. Dubbele versleuteling at rest is momenteel niet zichtbaar in de openbare Azure Portal tenzij u die koppeling gebruikt.

Beperkingen

Wanneer u door de klant beheerde sleutels gebruikt voor het versleutelen van installatiekopieën in een Azure Compute-galerie, gelden deze beperkingen:

  • Versleutelingssleutelsets moeten zich in hetzelfde abonnement bevinden als uw installatiekopie.

  • Versleutelingssleutelsets zijn regionale resources, dus voor elke regio is een andere versleutelingssleutelset vereist.

  • Nadat u uw eigen sleutels hebt gebruikt om een installatiekopieën te versleutelen, kunt u niet meer teruggaan naar het gebruik van door het platform beheerde sleutels voor het versleutelen van deze afbeeldingen.

  • De bronversie van de VM-installatiekopie biedt momenteel geen ondersteuning voor door de klant beheerde sleutelversleuteling.

  • Enkele van de functies, zoals het repliceren van een SSE+CMK-installatiekopieën, het maken van een installatiekopieën van een versleutelde SSE+CMK-schijf, enzovoort. worden niet ondersteund via de portal.

PowerShell

Als u een schijfversleutelingsset wilt opgeven voor een versie van een installatiekopie, gebruikt u New-AzGalleryImageVersion met de -TargetRegion parameter :


$sourceId = <ID of the image version source>

$osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet'}

$dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet1';Lun=1}

$dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet2';Lun=2}

$dataDiskImageEncryptions = @($dataDiskImageEncryption1,$dataDiskImageEncryption2)

$encryption1 = @{OSDiskImage=$osDiskImageEncryption;DataDiskImages=$dataDiskImageEncryptions}

$region1 = @{Name='West US';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption1}

$eastUS2osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet'}

$eastUS2dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet1';Lun=1}

$eastUS2dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet2';Lun=2}

$eastUS2DataDiskImageEncryptions = @($eastUS2dataDiskImageEncryption1,$eastUS2dataDiskImageEncryption2)

$encryption2 = @{OSDiskImage=$eastUS2osDiskImageEncryption;DataDiskImages=$eastUS2DataDiskImageEncryptions}

$region2 = @{Name='East US 2';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption2}

$targetRegion = @($region1, $region2)


# Create the image
New-AzGalleryImageVersion `
   -ResourceGroupName $rgname `
   -GalleryName $galleryName `
   -GalleryImageDefinitionName $imageDefinitionName `
   -Name $versionName -Location $location `
   -SourceImageId $sourceId `
   -ReplicaCount 2 `
   -StorageAccountType Standard_LRS `
   -PublishingProfileEndOfLifeDate '2020-12-01' `
   -TargetRegion $targetRegion

Een virtuele machine maken

U kunt een virtuele machine (VM) maken vanuit een Azure Compute Gallery en door de klant beheerde sleutels gebruiken om de schijven te versleutelen. De syntaxis is hetzelfde als het maken van een gegeneraliseerde of gespecialiseerde VM op basis van een installatiekopieën. Gebruik de uitgebreide parameterset en voeg toe Set-AzVMOSDisk -Name $($vmName +"_OSDisk") -DiskEncryptionSetId $diskEncryptionSet.Id -CreateOption FromImage aan de VM-configuratie.

Voeg voor gegevensschijven de -DiskEncryptionSetId $setID parameter toe wanneer u Add-AzVMDataDisk gebruikt.

CLI

Als u een schijfversleutelingsset voor een versie van een installatiekopie wilt opgeven, gebruikt u az image gallery create-image-version met de --target-region-encryption parameter . De indeling voor --target-region-encryption is een door komma's gescheiden lijst met sleutels voor het versleutelen van het besturingssysteem en de gegevensschijven. Dit ziet er als volgt uit: <encryption set for the OS disk>,<Lun number of the data disk>,<encryption set for the data disk>,<Lun number for the second data disk>,<encryption set for the second data disk>.

Als de bron voor de besturingssysteemschijf een beheerde schijf of een VM is, gebruikt --managed-image u om de bron voor de versie van de installatiekopieën op te geven. In dit voorbeeld is de bron een beheerde installatiekopie met een besturingssysteemschijf en een gegevensschijf op LUN 0. De besturingssysteemschijf wordt versleuteld met DiskEncryptionSet1 en de gegevensschijf wordt versleuteld met DiskEncryptionSet2.

az sig image-version create \
   -g MyResourceGroup \
   --gallery-image-version 1.0.0 \
   --location westus \
   --target-regions westus=2=standard_lrs eastus2 \
   --target-region-encryption WestUSDiskEncryptionSet1,0,WestUSDiskEncryptionSet2 EastUS2DiskEncryptionSet1,0,EastUS2DiskEncryptionSet2 \
   --gallery-name MyGallery \
   --gallery-image-definition MyImage \
   --managed-image "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/images/myImage"

Als de bron voor de besturingssysteemschijf een momentopname is, gebruikt --os-snapshot u om de besturingssysteemschijf op te geven. Voeg andere momentopnamen van de gegevensschijf toe die ook deel moeten uitmaken van de versie van de installatiekopie. Gebruik --data-snapshot-luns om de LUN op te geven en gebruik --data-snapshots om de momentopnamen op te geven.

In dit voorbeeld zijn de bronnen momentopnamen van schijven. Er is een besturingssysteemschijf en een gegevensschijf op LUN 0. De besturingssysteemschijf wordt versleuteld met DiskEncryptionSet1 en de gegevensschijf wordt versleuteld met DiskEncryptionSet2.

az sig image-version create \
   -g MyResourceGroup \
   --gallery-image-version 1.0.0 \
   --location westus\
   --target-regions westus=2=standard_lrs eastus\
   --target-region-encryption WestUSDiskEncryptionSet1,0,WestUSDiskEncryptionSet2 EastUS2DiskEncryptionSet1,0,EastUS2DiskEncryptionSet2 \
   --os-snapshot "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/snapshots/myOSSnapshot" \
   --data-snapshot-luns 0 \
   --data-snapshots "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/snapshots/myDDSnapshot" \
   --gallery-name MyGallery \
   --gallery-image-definition MyImage

De VM maken

U kunt een VM maken vanuit een Azure Compute Gallery en door de klant beheerde sleutels gebruiken om de schijven te versleutelen. De syntaxis is hetzelfde als het maken van een gegeneraliseerde of gespecialiseerde VM met de toevoeging van de --os-disk-encryption-set parameter. Voor gegevensschijven voegt --data-disk-encryption-sets u toe met een door spaties gescheiden lijst met de schijfversleutelingssets voor de gegevensschijven.

Portal

Wanneer u uw versie van de installatiekopie in de portal maakt, kunt u het tabblad Versleuteling gebruiken om uw opslagversleutelingssets toe te passen.

  1. Selecteer op de pagina Een installatiekopieversie maken het tabblad Versleuteling .
  2. Selecteer in Versleutelingstypede optie Versleuteling at-rest met een door de klant beheerde sleutel of Dubbele versleuteling met door het platform beheerde en door de klant beheerde sleutels.
  3. Selecteer voor elke schijf in de installatiekopie een versleutelingsset in de vervolgkeuzelijst Schijfversleutelingsset .

De VM maken

U kunt een VM maken op basis van een installatiekopieënversie en door de klant beheerde sleutels gebruiken om de schijven te versleutelen. Wanneer u de VIRTUELE machine in de portal maakt, selecteert u op het tabblad Schijvende optie Versleuteling at-rest met door de klant beheerde sleutels of Dubbele versleuteling met door het platform beheerde sleutels en door de klant beheerde sleutels als Versleutelingstype. Vervolgens kunt u de versleutelingsset selecteren in de vervolgkeuzelijst.

Volgende stappen

Meer informatie over schijfversleuteling aan de serverzijde.

Zie Informatie over aankoopplannen opgeven Azure Marketplace bij het maken van installatiekopieën voor meer informatie over het verstrekken van informatie over aankoopplannen.