Шифрование дисков Azure для Windows (Microsoft.Azure.Security.AzureDiskEncryption)
Обзор
При шифровании дисков Azure используется Bitlocker для полного шифрования диска на виртуальных машинах Azure под управлением Windows. Шифрование дисков Azure интегрировано в Azure Key Vault, что позволяет управлять секретами и ключами шифрования дисков в подписке Key Vault.
Необходимые компоненты
Полный список предварительных требований см. в статье Шифрование дисков Azure для виртуальных машин под управлением Windows, в частности следующие разделы:
- Поддерживаемые виртуальные машины и операционные системы
- Требования к сети
- Требования групповой политики
Схема расширения
Существует две версии схемы расширения для Шифрования дисков Azure (ADE):
- версия 2.2. Более новая рекомендуемая схема, которая не использует свойства Microsoft Entra.
- версия 1.1 — старая схема, требующая свойств Microsoft Entra.
Чтобы выбрать целевую схему, свойство typeHandlerVersion должно иметь значение, равное версии схемы, которую вы хотите использовать.
Схема версии 2.2. Без идентификатора Microsoft Entra (рекомендуется)
Схема версии 2.2 рекомендуется для всех новых виртуальных машин и не требует свойств Microsoft Entra.
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "2.2",
"autoUpgradeMinorVersion": true,
"settings": {
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Схема версии 1.1: с идентификатором Microsoft Entra
Схема версии 1.1 требует наличия aadClientID и либо aadClientSecret, либо AADClientCertificate. Данная схема не рекомендуется для новых виртуальных машин.
Использование среды aadClientSecret:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientSecret": "[aadClientSecret]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "1.1",
"settings": {
"AADClientID": "[aadClientID]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Использование среды AADClientCertificate:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientCertificate": "[aadClientCertificate]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "1.1",
"settings": {
"AADClientID": "[aadClientID]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Значения свойств
Примечание. Все значения задаются с учетом регистра.
| Имя. | Значение и пример | Тип данных |
|---|---|---|
| версия_API | 2019-07-01 | Дата |
| издатель | Microsoft.Azure.Security | строка |
| type | AzureDiskEncryption | строка |
| typeHandlerVersion | 2.2, 1.1 | строка |
| (схема версии 1.1) AADClientID | xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx | guid |
| (схема версии 1.1) AADClientSecret | password | строка |
| (схема версии 1.1) AADClientCertificate | thumbprint | строка |
| EncryptionOperation | EnableEncryption | строка |
| (необязательно — RSA-OAEP по умолчанию) KeyEncryptionAlgorithm | 'RSA-OAEP', 'RSA-OAEP-256', 'RSA1_5' | строка |
| KeyVaultURL | URL-адрес | строка |
| KeyVaultResourceId | URL-адрес | строка |
| (необязательно) KeyEncryptionKeyURL | URL-адрес | строка |
| (необязательно) KekVaultResourceId | URL-адрес | строка |
| (необязательно) SequenceVersion | uniqueidentifier | строка |
| VolumeType | ОС, данные, все | строка |
Развертывание шаблона
Пример развертывания шаблона на основе схемы версии 2.2 см. в шаблоне быстрого запуска Azure encrypt-running-windows-vm-without-aad.
Пример развертывания шаблона на основе схемы версии 1.1 приведен в описании шаблона быстрого запуска Azure encrypt-running-windows-vm.
Примечание.
Кроме того, если параметр VolumeType имеет значение All, диски данных будут шифроваться только в том случае, если они правильно отформатированы.
Устранение неполадок и поддержка
Устранение неполадок
Дополнительные сведения см. в руководстве по устранению неполадок с шифрованием дисков Azure.
Поддержка
Если в любой момент при изучении этой статьи вам потребуется дополнительная помощь, вы можете обратиться к экспертам по Azure на форумах MSDN Azure и Stack Overflow.
Кроме того, можно зарегистрировать обращение в службу поддержки Azure. Перейдите на сайт поддержки Azure и выберите "Получить поддержку". Дополнительные сведения об использовании службы поддержки Azure см. в статье Часто задаваемые вопросы о поддержке Microsoft Azure.
Следующие шаги
- См. дополнительные сведения о расширениях и компонентах виртуальных машин Windows.
- Дополнительные сведения о шифровании дисков Azure для Windows см. в статье Виртуальные машины Windows.