De Azure PowerShell-module gebruiken om dubbele versleuteling-at-rest in te schakelen voor beheerde schijven

Van toepassing op: ✔️ Windows-VM's

Azure Disk Storage ondersteunt dubbele versleuteling-at-rest voor beheerde schijven. Voor conceptuele informatie over dubbele versleuteling at rest en andere typen beheerde schijfversleuteling raadpleegt u de sectie Dubbele versleuteling-at-rest van ons artikel over schijfversleuteling.

Beperkingen

Dubbele versleuteling-at-rest wordt momenteel niet ondersteund met Ultra Disks of Premium SSD v2-schijven.

Vereisten

Installeer de nieuwste Versie van Azure PowerShell en meld u aan bij een Azure-account met behulp van Verbinding maken-AzAccount.

Aan de slag

1. Maak een exemplaar van Azure Key Vault en versleutelingssleutel.

   Wanneer u het Key Vault-exemplaar maakt, moet u voorlopig verwijderen en beveiliging tegen opschonen inschakelen. Voorlopig verwijderen zorgt ervoor dat de Sleutelkluis een verwijderde sleutel bevat voor een bepaalde bewaarperiode (standaard 90 dagen). Beveiliging tegen opschonen zorgt ervoor dat een verwijderde sleutel pas definitief kan worden verwijderd als de bewaarperiode is verstreken. Met deze instellingen kunt u geen gegevens kwijtraken vanwege onbedoelde verwijdering. Deze instellingen zijn verplicht wanneer u een sleutelkluis gebruikt voor het versleutelen van beheerde schijven.

   $ResourceGroupName="yourResourceGroupName"
   $LocationName="westus2"
   $keyVaultName="yourKeyVaultName"
   $keyName="yourKeyName"
   $keyDestination="Software"
   $diskEncryptionSetName="yourDiskEncryptionSetName"
   
   $keyVault = New-AzKeyVault -Name $keyVaultName -ResourceGroupName $ResourceGroupName -Location $LocationName -EnableSoftDelete -EnablePurgeProtection
   
   $key = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyName -Destination $keyDestination  
   

2. Haal de URL op voor de sleutel die u hebt gemaakt. U hebt deze nodig voor volgende opdrachten. De id-uitvoer van Get-AzKeyVaultKey is de sleutel-URL.

   Get-AzKeyVaultKey -VaultName $keyVaultName -KeyName $keyName
   

3. Haal de resource-id op voor het Key Vault-exemplaar dat u hebt gemaakt. U hebt deze nodig voor volgende opdrachten.

   Get-AzKeyVault -VaultName $keyVaultName
   

4. Maak een DiskEncryptionSet met encryptionType ingesteld als EncryptionAtRestWithPlatformAndCustomerKeys. Vervang en yourKeyVaultURL door yourKeyURL de URL's die u eerder hebt opgehaald.

   $config = New-AzDiskEncryptionSetConfig -Location $locationName -KeyUrl "yourKeyURL" -SourceVaultId 'yourKeyVaultURL' -IdentityType 'SystemAssigned'
   
   $config | New-AzDiskEncryptionSet -ResourceGroupName $ResourceGroupName -Name $diskEncryptionSetName -EncryptionType EncryptionAtRestWithPlatformAndCustomerKeys
   

5. Verdeel de DiskEncryptionSet-resource toegang tot de sleutelkluis.

   Notitie

   Het kan enkele minuten duren voordat Azure de identiteit van uw DiskEncryptionSet in uw Microsoft Entra-id heeft gemaakt. Als er een foutbericht wordt weergegeven als 'Kan het Active Directory-object niet vinden' wanneer u de volgende opdracht uitvoert, wacht u enkele minuten en probeert u het opnieuw.

   $des=Get-AzDiskEncryptionSet -name $diskEncryptionSetName -ResourceGroupName $ResourceGroupName
   Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ObjectId $des.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get
   

Volgende stappen

Nu u deze resources hebt gemaakt en geconfigureerd, kunt u deze gebruiken om uw beheerde schijven te beveiligen. De volgende koppelingen bevatten voorbeeldscripts, elk met een respectieve scenario, die u kunt gebruiken om uw beheerde schijven te beveiligen.

• Azure PowerShell - Door de klant beheerde sleutels inschakelen met versleuteling aan de serverzijde - beheerde schijven
• Voorbeelden van Azure Resource Manager-sjablonen