Использование Azure CLI для включения двойного шифрования неактивных данных для управляемых дисков

  • Статья

Область применения: ✔️ Виртуальные машины Linux ✔️ Гибкие масштабируемые наборы

Хранилище дисков Azure поддерживает двойное шифрование неактивных данных для управляемых дисков. Общие сведения о двойном шифровании неактивных данных и других типах шифрования управляемых дисков см . в разделе "Двойное шифрование неактивных данных" статьи о шифровании дисков.

Ограничения

Двойное шифрование неактивных дисков в настоящее время не поддерживается с дисками Категории "Ультра" или SSD уровня "Премиум" версии 2.

Необходимые компоненты

Установите последнюю версию Azure CLI и войдите в учетную запись Azure, выполнив команду az login.

Приступая к работе

  1. Создайте экземпляр Azure Key Vault и ключ шифрования.

    При создании экземпляра Key Vault необходимо включить обратимое удаление и защиту от удаления. Обратимое удаление гарантирует, что Key Vault будет хранить удаленный ключ в течение заданного срока (по умолчанию 90 дней). Защита от очистки гарантирует, что удаленный ключ не может быть окончательно удален до истечения срока хранения. Эти параметры защищают от потери данных из-за случайного удаления. Эти параметры являются обязательными при использовании Key Vault для шифрования управляемых дисков.

    subscriptionId=yourSubscriptionID
rgName=yourResourceGroupName
location=westcentralus
keyVaultName=yourKeyVaultName
keyName=yourKeyName
diskEncryptionSetName=yourDiskEncryptionSetName
diskName=yourDiskName

az account set --subscription $subscriptionId

az keyvault create -n $keyVaultName -g $rgName -l $location --enable-purge-protection true --enable-soft-delete true

az keyvault key create --vault-name $keyVaultName -n $keyName --protection software

  2. Получите URL-адрес ключа, созданного с az keyvault key showпомощью.

    az keyvault key show --name $keyName --vault-name $keyVaultName

  3. Создайте параметр DiskEncryptionSet с параметром encryptionType, для которого задано значение EncryptionAtRestWithPlatformAndCustomerKeys. Замените yourKeyURL URL-адрес, полученный вами.az keyvault key show

    az disk-encryption-set create --resource-group $rgName --name $diskEncryptionSetName --key-url yourKeyURL --source-vault $keyVaultName --encryption-type EncryptionAtRestWithPlatformAndCustomerKeys

  4. Предоставьте ресурсу DiskEncryptionSet доступ к хранилищу ключей.

    Примечание.

    Для создания удостоверения DiskEncryptionSet в идентификаторе Microsoft Entra может потребоваться несколько минут. Если при выполнении следующей команды появляется сообщение об ошибке вида "Не удается найти объект Active Directory", подождите несколько минут и повторите попытку.

    desIdentity=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [identity.principalId] -o tsv)

az keyvault set-policy -n $keyVaultName -g $rgName --object-id $desIdentity --key-permissions wrapkey unwrapkey get

Следующие шаги

Итак, создав и настроив эти ресурсы, вы теперь можете использовать их для защиты управляемых дисков. Следующие ссылки указывают на примеры скриптов, которые можно использовать для защиты управляемых дисков.