De Azure PowerShell-module gebruiken om dubbele versleuteling-at-rest in te schakelen voor beheerde schijven
Van toepassing op: ✔️ Windows-VM's
Azure Disk Storage ondersteunt dubbele versleuteling-at-rest voor beheerde schijven. Voor conceptuele informatie over dubbele versleuteling at rest en andere typen beheerde schijfversleuteling raadpleegt u de sectie Dubbele versleuteling-at-rest van ons artikel over schijfversleuteling.
Beperkingen
Dubbele versleuteling-at-rest wordt momenteel niet ondersteund met Ultra Disks of Premium SSD v2-schijven.
Vereisten
Installeer de nieuwste Versie van Azure PowerShell en meld u aan bij een Azure-account met behulp van Verbinding maken-AzAccount.
Aan de slag
Maak een exemplaar van Azure Key Vault en versleutelingssleutel.
Wanneer u het Key Vault-exemplaar maakt, moet u voorlopig verwijderen en beveiliging tegen opschonen inschakelen. Voorlopig verwijderen zorgt ervoor dat de Sleutelkluis een verwijderde sleutel bevat voor een bepaalde bewaarperiode (standaard 90 dagen). Beveiliging tegen opschonen zorgt ervoor dat een verwijderde sleutel pas definitief kan worden verwijderd als de bewaarperiode is verstreken. Met deze instellingen kunt u geen gegevens kwijtraken vanwege onbedoelde verwijdering. Deze instellingen zijn verplicht wanneer u een sleutelkluis gebruikt voor het versleutelen van beheerde schijven.
$ResourceGroupName="yourResourceGroupName" $LocationName="westus2" $keyVaultName="yourKeyVaultName" $keyName="yourKeyName" $keyDestination="Software" $diskEncryptionSetName="yourDiskEncryptionSetName" $keyVault = New-AzKeyVault -Name $keyVaultName -ResourceGroupName $ResourceGroupName -Location $LocationName -EnableSoftDelete -EnablePurgeProtection $key = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyName -Destination $keyDestination
Haal de URL op voor de sleutel die u hebt gemaakt. U hebt deze nodig voor volgende opdrachten. De id-uitvoer van
Get-AzKeyVaultKey
is de sleutel-URL.Get-AzKeyVaultKey -VaultName $keyVaultName -KeyName $keyName
Haal de resource-id op voor het Key Vault-exemplaar dat u hebt gemaakt. U hebt deze nodig voor volgende opdrachten.
Get-AzKeyVault -VaultName $keyVaultName
Maak een DiskEncryptionSet met encryptionType ingesteld als EncryptionAtRestWithPlatformAndCustomerKeys. Vervang en
yourKeyVaultURL
dooryourKeyURL
de URL's die u eerder hebt opgehaald.$config = New-AzDiskEncryptionSetConfig -Location $locationName -KeyUrl "yourKeyURL" -SourceVaultId 'yourKeyVaultURL' -IdentityType 'SystemAssigned' $config | New-AzDiskEncryptionSet -ResourceGroupName $ResourceGroupName -Name $diskEncryptionSetName -EncryptionType EncryptionAtRestWithPlatformAndCustomerKeys
Verdeel de DiskEncryptionSet-resource toegang tot de sleutelkluis.
Notitie
Het kan enkele minuten duren voordat Azure de identiteit van uw DiskEncryptionSet in uw Microsoft Entra-id heeft gemaakt. Als er een foutbericht wordt weergegeven als 'Kan het Active Directory-object niet vinden' wanneer u de volgende opdracht uitvoert, wacht u enkele minuten en probeert u het opnieuw.
$des=Get-AzDiskEncryptionSet -name $diskEncryptionSetName -ResourceGroupName $ResourceGroupName Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ObjectId $des.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get
Volgende stappen
Nu u deze resources hebt gemaakt en geconfigureerd, kunt u deze gebruiken om uw beheerde schijven te beveiligen. De volgende koppelingen bevatten voorbeeldscripts, elk met een respectieve scenario, die u kunt gebruiken om uw beheerde schijven te beveiligen.