Использование портала Azure для включения двойного шифрования неактивных данных для управляемых дисков
Область применения: ✔️ Виртуальные машины Windows
Хранилище дисков Azure поддерживает двойное шифрование неактивных данных для управляемых дисков. Общие сведения о двойном шифровании неактивных данных и других типах шифрования управляемых дисков см . в разделе "Двойное шифрование неактивных данных" статьи о шифровании дисков.
Ограничения
Двойное шифрование неактивных дисков в настоящее время не поддерживается с дисками Категории "Ультра" или SSD уровня "Премиум" версии 2.
Необходимые компоненты
Установите последнюю версию Azure PowerShell и войдите в учетную запись Azure с помощью Connect-AzAccount.
Приступая к работе
Создайте экземпляр Azure Key Vault и ключ шифрования.
При создании экземпляра Key Vault необходимо включить обратимое удаление и защиту от удаления. Обратимое удаление гарантирует, что Key Vault будет хранить удаленный ключ в течение заданного срока (по умолчанию 90 дней). Защита от очистки гарантирует, что удаленный ключ не может быть окончательно удален до истечения срока хранения. Эти параметры защищают от потери данных из-за случайного удаления. Эти параметры являются обязательными при использовании Key Vault для шифрования управляемых дисков.
$ResourceGroupName="yourResourceGroupName" $LocationName="westus2" $keyVaultName="yourKeyVaultName" $keyName="yourKeyName" $keyDestination="Software" $diskEncryptionSetName="yourDiskEncryptionSetName" $keyVault = New-AzKeyVault -Name $keyVaultName -ResourceGroupName $ResourceGroupName -Location $LocationName -EnableSoftDelete -EnablePurgeProtection $key = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyName -Destination $keyDestination
Получите URL-адрес созданного ключа, вам потребуется для последующих команд. Выходные данные
Get-AzKeyVaultKey
идентификатора — это URL-адрес ключа.Get-AzKeyVaultKey -VaultName $keyVaultName -KeyName $keyName
Получите идентификатор ресурса для созданного экземпляра Key Vault, вам потребуется его для последующих команд.
Get-AzKeyVault -VaultName $keyVaultName
Создайте параметр DiskEncryptionSet с параметром encryptionType, для которого задано значение EncryptionAtRestWithPlatformAndCustomerKeys. Замените
yourKeyURL
иyourKeyVaultURL
на URL-адреса, полученные ранее.$config = New-AzDiskEncryptionSetConfig -Location $locationName -KeyUrl "yourKeyURL" -SourceVaultId 'yourKeyVaultURL' -IdentityType 'SystemAssigned' $config | New-AzDiskEncryptionSet -ResourceGroupName $ResourceGroupName -Name $diskEncryptionSetName -EncryptionType EncryptionAtRestWithPlatformAndCustomerKeys
Предоставьте ресурсу DiskEncryptionSet доступ к хранилищу ключей.
Примечание.
Для создания удостоверения DiskEncryptionSet в идентификаторе Microsoft Entra может потребоваться несколько минут. Если при выполнении следующей команды появляется сообщение об ошибке вида "Не удается найти объект Active Directory", подождите несколько минут и повторите попытку.
$des=Get-AzDiskEncryptionSet -name $diskEncryptionSetName -ResourceGroupName $ResourceGroupName Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ObjectId $des.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get
Следующие шаги
Итак, создав и настроив эти ресурсы, вы теперь можете использовать их для защиты управляемых дисков. Следующие ссылки указывают на примеры скриптов, которые можно использовать для защиты управляемых дисков.