Używanie interfejsu wiersza polecenia platformy Azure do włączania podwójnego szyfrowania magazynowanych dla dysków zarządzanych
Dotyczy: ✔️ Maszyny wirtualne z systemem Linux — elastyczne zestawy skalowania ✔️
Usługa Azure Disk Storage obsługuje podwójne szyfrowanie magazynowane dla dysków zarządzanych. Aby uzyskać informacje koncepcyjne na temat podwójnego szyfrowania magazynowanych i innych typów szyfrowania dysków zarządzanych, zobacz sekcję Podwójne szyfrowanie magazynowane w artykule dotyczącym szyfrowania dysków.
Ograniczenia
Podwójne szyfrowanie magazynowane nie jest obecnie obsługiwane w przypadku dysków w warstwie Ultra Lub dysków SSD w warstwie Premium w wersji 2.
Wymagania wstępne
Zainstaluj najnowszy interfejs wiersza polecenia platformy Azure i zaloguj się do konta platformy Azure przy użyciu polecenia az login.
Wprowadzenie
Utwórz wystąpienie usługi Azure Key Vault i klucza szyfrowania.
Podczas tworzenia wystąpienia usługi Key Vault należy włączyć ochronę usuwania nietrwałego i przeczyszczania. Usuwanie nietrwałe gwarantuje, że usługa Key Vault przechowuje usunięty klucz dla danego okresu przechowywania (domyślna 90 dni). Ochrona przed przeczyszczeniem gwarantuje, że usunięty klucz nie może zostać trwale usunięty, dopóki okres przechowywania nie wygaśnie. Te ustawienia chronią cię przed utratą danych z powodu przypadkowego usunięcia. Te ustawienia są obowiązkowe w przypadku używania usługi Key Vault do szyfrowania dysków zarządzanych.
subscriptionId=yourSubscriptionID rgName=yourResourceGroupName location=westcentralus keyVaultName=yourKeyVaultName keyName=yourKeyName diskEncryptionSetName=yourDiskEncryptionSetName diskName=yourDiskName az account set --subscription $subscriptionId az keyvault create -n $keyVaultName -g $rgName -l $location --enable-purge-protection true --enable-soft-delete true az keyvault key create --vault-name $keyVaultName -n $keyName --protection software
Pobierz adres URL klucza utworzonego za pomocą
az keyvault key show
polecenia .az keyvault key show --name $keyName --vault-name $keyVaultName
Utwórz element DiskEncryptionSet z ustawioną wartością EncryptionAtRestWithPlatformAndCustomerKeys. Zastąp ciąg
yourKeyURL
adresem URL otrzymany zaz keyvault key show
adresu .az disk-encryption-set create --resource-group $rgName --name $diskEncryptionSetName --key-url yourKeyURL --source-vault $keyVaultName --encryption-type EncryptionAtRestWithPlatformAndCustomerKeys
Udziel zasobowi DiskEncryptionSet dostępu do magazynu kluczy.
Uwaga
Utworzenie tożsamości elementu DiskEncryptionSet na platformie Azure w identyfikatorze Entra firmy Microsoft może potrwać kilka minut. Jeśli podczas uruchamiania następującego polecenia wystąpi błąd, taki jak "Nie można odnaleźć obiektu usługi Active Directory", zaczekaj kilka minut i spróbuj ponownie.
desIdentity=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [identity.principalId] -o tsv) az keyvault set-policy -n $keyVaultName -g $rgName --object-id $desIdentity --key-permissions wrapkey unwrapkey get
Następne kroki
Po utworzeniu i skonfigurowaniu tych zasobów można ich użyć do zabezpieczenia dysków zarządzanych. Poniższe linki zawierają przykładowe skrypty, z których każdy ma odpowiedni scenariusz, których można użyć do zabezpieczenia dysków zarządzanych.