Tworzenie zaszyfrowanej wersji obrazu przy użyciu kluczy zarządzanych przez klienta

Dotyczy: ✔️ Maszyny wirtualne z systemem Linux Maszyny ✔️ wirtualne z systemem Windows — elastyczne zestawy ✔️ ✔️ skalowania

Obrazy w galerii obliczeń platformy Azure (wcześniej znanej jako Shared Image Gallery) są przechowywane jako migawki. Te obrazy są automatycznie szyfrowane za pośrednictwem 256-bitowego szyfrowania AES po stronie serwera. Szyfrowanie po stronie serwera jest również zgodne ze standardem FIPS 140-2. Aby uzyskać więcej informacji na temat modułów kryptograficznych bazowych dysków zarządzanych platformy Azure, zobacz Cryptography API: Next Generation (Interfejs API kryptografii: następna generacja).

Możesz polegać na kluczach zarządzanych przez platformę na potrzeby szyfrowania obrazów lub użyć własnych kluczy. Oba te funkcje można również używać do podwójnego szyfrowania. Jeśli zdecydujesz się zarządzać szyfrowaniem przy użyciu własnych kluczy, możesz określić klucz zarządzany przez klienta do użycia do szyfrowania i odszyfrowywania wszystkich dysków na obrazach.

Szyfrowanie po stronie serwera za pośrednictwem kluczy zarządzanych przez klienta korzysta z usługi Azure Key Vault. Klucze RSA można zaimportować do magazynu kluczy lub wygenerować nowe klucze RSA na platformie Azure Key Vault.

Wymagania wstępne

Ten artykuł wymaga już zestawu szyfrowania dysków w każdym regionie, w którym chcesz replikować obraz:

• Aby użyć tylko klucza zarządzanego przez klienta, zobacz artykuły dotyczące włączania kluczy zarządzanych przez klienta przy użyciu szyfrowania po stronie serwera przy użyciu Azure Portal lub programu PowerShell.

• Aby użyć kluczy zarządzanych przez platformę i kluczy zarządzanych przez klienta (w przypadku podwójnego szyfrowania), zobacz artykuły dotyczące włączania podwójnego szyfrowania magazynowanych przy użyciu Azure Portal lub programu PowerShell.

  Ważne

  Aby uzyskać dostęp do Azure Portal, musisz użyć linkuhttps://aka.ms/diskencryptionupdates. Podwójne szyfrowanie magazynowane nie jest obecnie widoczne w publicznej Azure Portal, chyba że używasz tego linku.

Ograniczenia

Jeśli używasz kluczy zarządzanych przez klienta do szyfrowania obrazów w usłudze Azure Compute Gallery, obowiązują następujące ograniczenia:

• Zestawy kluczy szyfrowania muszą znajdować się w tej samej subskrypcji co obraz.

• Zestawy kluczy szyfrowania to zasoby regionalne, więc każdy region wymaga innego zestawu kluczy szyfrowania.

• Po użyciu własnych kluczy do szyfrowania obrazu nie można wrócić do używania kluczy zarządzanych przez platformę do szyfrowania tych obrazów.

• Źródło wersji obrazu maszyny wirtualnej nie obsługuje obecnie szyfrowania kluczy zarządzanych przez klienta.

• Niektóre funkcje, takie jak replikowanie obrazu SSE+CMK, tworzenie obrazu z zaszyfrowanego dysku SSE+CMK itp. nie są obsługiwane za pośrednictwem portalu.

PowerShell

Aby określić zestaw szyfrowania dysku dla wersji obrazu, użyj polecenia New-AzGalleryImageVersion z parametrem -TargetRegion :

$sourceId = <ID of the image version source>

$osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet'}

$dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet1';Lun=1}

$dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet2';Lun=2}

$dataDiskImageEncryptions = @($dataDiskImageEncryption1,$dataDiskImageEncryption2)

$encryption1 = @{OSDiskImage=$osDiskImageEncryption;DataDiskImages=$dataDiskImageEncryptions}

$region1 = @{Name='West US';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption1}

$eastUS2osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet'}

$eastUS2dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet1';Lun=1}

$eastUS2dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet2';Lun=2}

$eastUS2DataDiskImageEncryptions = @($eastUS2dataDiskImageEncryption1,$eastUS2dataDiskImageEncryption2)

$encryption2 = @{OSDiskImage=$eastUS2osDiskImageEncryption;DataDiskImages=$eastUS2DataDiskImageEncryptions}

$region2 = @{Name='East US 2';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption2}

$targetRegion = @($region1, $region2)


# Create the image
New-AzGalleryImageVersion `
   -ResourceGroupName $rgname `
   -GalleryName $galleryName `
   -GalleryImageDefinitionName $imageDefinitionName `
   -Name $versionName -Location $location `
   -SourceImageId $sourceId `
   -ReplicaCount 2 `
   -StorageAccountType Standard_LRS `
   -PublishingProfileEndOfLifeDate '2020-12-01' `
   -TargetRegion $targetRegion

Tworzenie maszyny wirtualnej

Maszynę wirtualną można utworzyć z galerii obliczeń platformy Azure i zaszyfrować dyski przy użyciu kluczy zarządzanych przez klienta. Składnia jest taka sama jak tworzenie uogólnionej lub wyspecjalizowanej maszyny wirtualnej na podstawie obrazu. Użyj rozszerzonego zestawu parametrów i dodaj Set-AzVMOSDisk -Name $($vmName +"_OSDisk") -DiskEncryptionSetId $diskEncryptionSet.Id -CreateOption FromImage go do konfiguracji maszyny wirtualnej.

W przypadku dysków danych dodaj parametr podczas używania -DiskEncryptionSetId $setID polecenia Add-AzVMDataDisk.

Interfejs wiersza polecenia

Aby określić zestaw szyfrowania dysków dla wersji obrazu, użyj polecenia az image gallery create-image-version z parametrem --target-region-encryption . Format parametru --target-region-encryption to rozdzielona przecinkami lista kluczy do szyfrowania dysków systemu operacyjnego i danych. Powinien wyglądać następująco: <encryption set for the OS disk>,<Lun number of the data disk>,<encryption set for the data disk>,<Lun number for the second data disk>,<encryption set for the second data disk>.

Jeśli źródłem dysku systemu operacyjnego jest dysk zarządzany lub maszyna wirtualna, użyj polecenia --managed-image , aby określić źródło wersji obrazu. W tym przykładzie źródłem jest obraz zarządzany z dyskiem systemu operacyjnego i dyskiem danych w numerze LUN 0. Dysk systemu operacyjnego zostanie zaszyfrowany przy użyciu funkcji DiskEncryptionSet1, a dysk danych zostanie zaszyfrowany przy użyciu funkcji DiskEncryptionSet2.

az sig image-version create \
   -g MyResourceGroup \
   --gallery-image-version 1.0.0 \
   --location westus \
   --target-regions westus=2=standard_lrs eastus2 \
   --target-region-encryption WestUSDiskEncryptionSet1,0,WestUSDiskEncryptionSet2 EastUS2DiskEncryptionSet1,0,EastUS2DiskEncryptionSet2 \
   --gallery-name MyGallery \
   --gallery-image-definition MyImage \
   --managed-image "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/images/myImage"

Jeśli źródłem dysku systemu operacyjnego jest migawka, użyj polecenia --os-snapshot , aby określić dysk systemu operacyjnego. Dodaj wszelkie inne migawki dysku danych, które również powinny być częścią wersji obrazu. Użyj --data-snapshot-luns polecenia , aby określić jednostkę LUN i użyć --data-snapshots polecenia , aby określić migawki.

W tym przykładzie źródła są migawkami dysków. Istnieje dysk systemu operacyjnego i dysk danych w numerze LUN 0. Dysk systemu operacyjnego zostanie zaszyfrowany przy użyciu funkcji DiskEncryptionSet1, a dysk danych zostanie zaszyfrowany przy użyciu funkcji DiskEncryptionSet2.

az sig image-version create \
   -g MyResourceGroup \
   --gallery-image-version 1.0.0 \
   --location westus\
   --target-regions westus=2=standard_lrs eastus\
   --target-region-encryption WestUSDiskEncryptionSet1,0,WestUSDiskEncryptionSet2 EastUS2DiskEncryptionSet1,0,EastUS2DiskEncryptionSet2 \
   --os-snapshot "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/snapshots/myOSSnapshot" \
   --data-snapshot-luns 0 \
   --data-snapshots "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/snapshots/myDDSnapshot" \
   --gallery-name MyGallery \
   --gallery-image-definition MyImage 
   

Tworzenie maszyny wirtualnej

Maszynę wirtualną można utworzyć z galerii obliczeń platformy Azure i zaszyfrować dyski przy użyciu kluczy zarządzanych przez klienta. Składnia jest taka sama jak tworzenie uogólnionej lub wyspecjalizowanej maszyny wirtualnej z dodatkiem parametru --os-disk-encryption-set . W przypadku dysków danych dodaj --data-disk-encryption-sets listę rozdzielanych spacjami zestawów szyfrowania dysków dla dysków.

Portal

Podczas tworzenia wersji obrazu w portalu możesz użyć karty Szyfrowanie , aby zastosować zestawy szyfrowania magazynu.

1. Na stronie Tworzenie wersji obrazu wybierz kartę Szyfrowanie .
2. W obszarze Typ szyfrowania wybierz pozycję Szyfrowanie magazynowane przy użyciu klucza zarządzanego przez klienta lub Podwójne szyfrowanie przy użyciu kluczy zarządzanych przez platformę i kluczy zarządzanych przez klienta.
3. Dla każdego dysku na obrazie wybierz zestaw szyfrowania z listy rozwijanej Zestaw szyfrowania dysków .

Tworzenie maszyny wirtualnej

Maszynę wirtualną można utworzyć na podstawie wersji obrazu i zaszyfrować dyski przy użyciu kluczy zarządzanych przez klienta. Podczas tworzenia maszyny wirtualnej w portalu na karcie Dyski wybierz pozycję Szyfrowanie magazynowane przy użyciu kluczy zarządzanych przez klienta lub Podwójne szyfrowanie przy użyciu kluczy zarządzanych przez platformę i kluczy zarządzanych przez klienta dla typu szyfrowania. Następnie możesz wybrać zestaw szyfrowania z listy rozwijanej.

Następne kroki

Dowiedz się więcej o szyfrowaniu dysków po stronie serwera.

Aby uzyskać informacje o sposobie dostarczania informacji o planie zakupu, zobacz Dostarczanie informacji o planie zakupu Azure Marketplace podczas tworzenia obrazów.