Używanie interfejsu wiersza polecenia platformy Azure do włączania podwójnego szyfrowania magazynowanych dla dysków zarządzanych

  • Artykuł

Dotyczy: ✔️ Maszyny wirtualne z systemem Linux — elastyczne zestawy skalowania ✔️

Usługa Azure Disk Storage obsługuje podwójne szyfrowanie magazynowane dla dysków zarządzanych. Aby uzyskać informacje koncepcyjne na temat podwójnego szyfrowania magazynowanych i innych typów szyfrowania dysków zarządzanych, zobacz sekcję Podwójne szyfrowanie magazynowane w artykule dotyczącym szyfrowania dysków.

Ograniczenia

Podwójne szyfrowanie magazynowane nie jest obecnie obsługiwane w przypadku dysków w warstwie Ultra Lub dysków SSD w warstwie Premium w wersji 2.

Wymagania wstępne

Zainstaluj najnowszy interfejs wiersza polecenia platformy Azure i zaloguj się do konta platformy Azure przy użyciu polecenia az login.

Wprowadzenie

  1. Utwórz wystąpienie usługi Azure Key Vault i klucza szyfrowania.

    Podczas tworzenia wystąpienia usługi Key Vault należy włączyć ochronę usuwania nietrwałego i przeczyszczania. Usuwanie nietrwałe gwarantuje, że usługa Key Vault przechowuje usunięty klucz dla danego okresu przechowywania (domyślna 90 dni). Ochrona przed przeczyszczeniem gwarantuje, że usunięty klucz nie może zostać trwale usunięty, dopóki okres przechowywania nie wygaśnie. Te ustawienia chronią cię przed utratą danych z powodu przypadkowego usunięcia. Te ustawienia są obowiązkowe w przypadku używania usługi Key Vault do szyfrowania dysków zarządzanych.

    subscriptionId=yourSubscriptionID
rgName=yourResourceGroupName
location=westcentralus
keyVaultName=yourKeyVaultName
keyName=yourKeyName
diskEncryptionSetName=yourDiskEncryptionSetName
diskName=yourDiskName

az account set --subscription $subscriptionId

az keyvault create -n $keyVaultName -g $rgName -l $location --enable-purge-protection true --enable-soft-delete true

az keyvault key create --vault-name $keyVaultName -n $keyName --protection software

  2. Pobierz adres URL klucza utworzonego za pomocą az keyvault key showpolecenia .

    az keyvault key show --name $keyName --vault-name $keyVaultName

  3. Utwórz element DiskEncryptionSet z ustawioną wartością EncryptionAtRestWithPlatformAndCustomerKeys. Zastąp ciąg yourKeyURL adresem URL otrzymany z az keyvault key showadresu .

    az disk-encryption-set create --resource-group $rgName --name $diskEncryptionSetName --key-url yourKeyURL --source-vault $keyVaultName --encryption-type EncryptionAtRestWithPlatformAndCustomerKeys

  4. Udziel zasobowi DiskEncryptionSet dostępu do magazynu kluczy.

    Uwaga

    Utworzenie tożsamości elementu DiskEncryptionSet na platformie Azure w identyfikatorze Entra firmy Microsoft może potrwać kilka minut. Jeśli podczas uruchamiania następującego polecenia wystąpi błąd, taki jak "Nie można odnaleźć obiektu usługi Active Directory", zaczekaj kilka minut i spróbuj ponownie.

    desIdentity=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [identity.principalId] -o tsv)

az keyvault set-policy -n $keyVaultName -g $rgName --object-id $desIdentity --key-permissions wrapkey unwrapkey get

Następne kroki

Po utworzeniu i skonfigurowaniu tych zasobów można ich użyć do zabezpieczenia dysków zarządzanych. Poniższe linki zawierają przykładowe skrypty, z których każdy ma odpowiedni scenariusz, których można użyć do zabezpieczenia dysków zarządzanych.