Użyj modułu Azure PowerShell, aby włączyć podwójne szyfrowanie magazynowane dla dysków zarządzanych
Dotyczy: ✔️ maszyny wirtualne z systemem Windows
Usługa Azure Disk Storage obsługuje podwójne szyfrowanie magazynowane dla dysków zarządzanych. Aby uzyskać informacje koncepcyjne na temat podwójnego szyfrowania magazynowanych i innych typów szyfrowania dysków zarządzanych, zobacz sekcję Podwójne szyfrowanie magazynowane w artykule dotyczącym szyfrowania dysków.
Ograniczenia
Podwójne szyfrowanie magazynowane nie jest obecnie obsługiwane w przypadku dysków w warstwie Ultra Lub dysków SSD w warstwie Premium w wersji 2.
Wymagania wstępne
Zainstaluj najnowszą wersję programu Azure PowerShell i zaloguj się do konta platformy Azure przy użyciu polecenia Połączenie-AzAccount.
Wprowadzenie
Utwórz wystąpienie usługi Azure Key Vault i klucza szyfrowania.
Podczas tworzenia wystąpienia usługi Key Vault należy włączyć ochronę usuwania nietrwałego i przeczyszczania. Usuwanie nietrwałe gwarantuje, że usługa Key Vault przechowuje usunięty klucz dla danego okresu przechowywania (domyślna 90 dni). Ochrona przed przeczyszczeniem gwarantuje, że usunięty klucz nie może zostać trwale usunięty, dopóki okres przechowywania nie wygaśnie. Te ustawienia chronią cię przed utratą danych z powodu przypadkowego usunięcia. Te ustawienia są obowiązkowe w przypadku używania usługi Key Vault do szyfrowania dysków zarządzanych.
$ResourceGroupName="yourResourceGroupName" $LocationName="westus2" $keyVaultName="yourKeyVaultName" $keyName="yourKeyName" $keyDestination="Software" $diskEncryptionSetName="yourDiskEncryptionSetName" $keyVault = New-AzKeyVault -Name $keyVaultName -ResourceGroupName $ResourceGroupName -Location $LocationName -EnableSoftDelete -EnablePurgeProtection $key = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyName -Destination $keyDestination
Pobierz adres URL utworzonego klucza. Będzie on potrzebny dla kolejnych poleceń. Dane wyjściowe identyfikatora z
Get-AzKeyVaultKey
programu to kluczowy adres URL.Get-AzKeyVaultKey -VaultName $keyVaultName -KeyName $keyName
Pobierz identyfikator zasobu dla utworzonego wystąpienia usługi Key Vault. Będzie on potrzebny dla kolejnych poleceń.
Get-AzKeyVault -VaultName $keyVaultName
Utwórz element DiskEncryptionSet z ustawioną wartością EncryptionAtRestWithPlatformAndCustomerKeys. Zastąp
yourKeyURL
wartości iyourKeyVaultURL
adresami URL pobranymi wcześniej.$config = New-AzDiskEncryptionSetConfig -Location $locationName -KeyUrl "yourKeyURL" -SourceVaultId 'yourKeyVaultURL' -IdentityType 'SystemAssigned' $config | New-AzDiskEncryptionSet -ResourceGroupName $ResourceGroupName -Name $diskEncryptionSetName -EncryptionType EncryptionAtRestWithPlatformAndCustomerKeys
Udziel zasobowi DiskEncryptionSet dostępu do magazynu kluczy.
Uwaga
Utworzenie tożsamości elementu DiskEncryptionSet na platformie Azure w identyfikatorze Entra firmy Microsoft może potrwać kilka minut. Jeśli podczas uruchamiania następującego polecenia wystąpi błąd, taki jak "Nie można odnaleźć obiektu usługi Active Directory", zaczekaj kilka minut i spróbuj ponownie.
$des=Get-AzDiskEncryptionSet -name $diskEncryptionSetName -ResourceGroupName $ResourceGroupName Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ObjectId $des.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get
Następne kroki
Po utworzeniu i skonfigurowaniu tych zasobów można ich użyć do zabezpieczenia dysków zarządzanych. Poniższe linki zawierają przykładowe skrypty, z których każdy ma odpowiedni scenariusz, których można użyć do zabezpieczenia dysków zarządzanych.