Użyj modułu Azure PowerShell, aby włączyć podwójne szyfrowanie magazynowane dla dysków zarządzanych

  • Artykuł

Dotyczy: ✔️ maszyny wirtualne z systemem Windows

Usługa Azure Disk Storage obsługuje podwójne szyfrowanie magazynowane dla dysków zarządzanych. Aby uzyskać informacje koncepcyjne na temat podwójnego szyfrowania magazynowanych i innych typów szyfrowania dysków zarządzanych, zobacz sekcję Podwójne szyfrowanie magazynowane w artykule dotyczącym szyfrowania dysków.

Ograniczenia

Podwójne szyfrowanie magazynowane nie jest obecnie obsługiwane w przypadku dysków w warstwie Ultra Lub dysków SSD w warstwie Premium w wersji 2.

Wymagania wstępne

Zainstaluj najnowszą wersję programu Azure PowerShell i zaloguj się do konta platformy Azure przy użyciu polecenia Połączenie-AzAccount.

Wprowadzenie

  1. Utwórz wystąpienie usługi Azure Key Vault i klucza szyfrowania.

    Podczas tworzenia wystąpienia usługi Key Vault należy włączyć ochronę usuwania nietrwałego i przeczyszczania. Usuwanie nietrwałe gwarantuje, że usługa Key Vault przechowuje usunięty klucz dla danego okresu przechowywania (domyślna 90 dni). Ochrona przed przeczyszczeniem gwarantuje, że usunięty klucz nie może zostać trwale usunięty, dopóki okres przechowywania nie wygaśnie. Te ustawienia chronią cię przed utratą danych z powodu przypadkowego usunięcia. Te ustawienia są obowiązkowe w przypadku używania usługi Key Vault do szyfrowania dysków zarządzanych.

    $ResourceGroupName="yourResourceGroupName"
$LocationName="westus2"
$keyVaultName="yourKeyVaultName"
$keyName="yourKeyName"
$keyDestination="Software"
$diskEncryptionSetName="yourDiskEncryptionSetName"

$keyVault = New-AzKeyVault -Name $keyVaultName -ResourceGroupName $ResourceGroupName -Location $LocationName -EnableSoftDelete -EnablePurgeProtection

$key = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyName -Destination $keyDestination

  2. Pobierz adres URL utworzonego klucza. Będzie on potrzebny dla kolejnych poleceń. Dane wyjściowe identyfikatora z Get-AzKeyVaultKey programu to kluczowy adres URL.

    Get-AzKeyVaultKey -VaultName $keyVaultName -KeyName $keyName

  3. Pobierz identyfikator zasobu dla utworzonego wystąpienia usługi Key Vault. Będzie on potrzebny dla kolejnych poleceń.

    Get-AzKeyVault -VaultName $keyVaultName

  4. Utwórz element DiskEncryptionSet z ustawioną wartością EncryptionAtRestWithPlatformAndCustomerKeys. Zastąp yourKeyURL wartości i yourKeyVaultURL adresami URL pobranymi wcześniej.

    $config = New-AzDiskEncryptionSetConfig -Location $locationName -KeyUrl "yourKeyURL" -SourceVaultId 'yourKeyVaultURL' -IdentityType 'SystemAssigned'

$config | New-AzDiskEncryptionSet -ResourceGroupName $ResourceGroupName -Name $diskEncryptionSetName -EncryptionType EncryptionAtRestWithPlatformAndCustomerKeys

  5. Udziel zasobowi DiskEncryptionSet dostępu do magazynu kluczy.

    Uwaga

    Utworzenie tożsamości elementu DiskEncryptionSet na platformie Azure w identyfikatorze Entra firmy Microsoft może potrwać kilka minut. Jeśli podczas uruchamiania następującego polecenia wystąpi błąd, taki jak "Nie można odnaleźć obiektu usługi Active Directory", zaczekaj kilka minut i spróbuj ponownie.

    $des=Get-AzDiskEncryptionSet -name $diskEncryptionSetName -ResourceGroupName $ResourceGroupName
Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ObjectId $des.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get

Następne kroki

Po utworzeniu i skonfigurowaniu tych zasobów można ich użyć do zabezpieczenia dysków zarządzanych. Poniższe linki zawierają przykładowe skrypty, z których każdy ma odpowiedni scenariusz, których można użyć do zabezpieczenia dysków zarządzanych.