Использование портала Azure для включения двойного шифрования неактивных данных для управляемых дисков

  • Статья

Область применения: ✔️ Виртуальные машины Windows

Хранилище дисков Azure поддерживает двойное шифрование неактивных данных для управляемых дисков. Общие сведения о двойном шифровании неактивных данных и других типах шифрования управляемых дисков см . в разделе "Двойное шифрование неактивных данных" статьи о шифровании дисков.

Ограничения

Двойное шифрование неактивных дисков в настоящее время не поддерживается с дисками Категории "Ультра" или SSD уровня "Премиум" версии 2.

Необходимые компоненты

Установите последнюю версию Azure PowerShell и войдите в учетную запись Azure с помощью Connect-AzAccount.

Приступая к работе

  1. Создайте экземпляр Azure Key Vault и ключ шифрования.

    При создании экземпляра Key Vault необходимо включить обратимое удаление и защиту от удаления. Обратимое удаление гарантирует, что Key Vault будет хранить удаленный ключ в течение заданного срока (по умолчанию 90 дней). Защита от очистки гарантирует, что удаленный ключ не может быть окончательно удален до истечения срока хранения. Эти параметры защищают от потери данных из-за случайного удаления. Эти параметры являются обязательными при использовании Key Vault для шифрования управляемых дисков.

    $ResourceGroupName="yourResourceGroupName"
$LocationName="westus2"
$keyVaultName="yourKeyVaultName"
$keyName="yourKeyName"
$keyDestination="Software"
$diskEncryptionSetName="yourDiskEncryptionSetName"

$keyVault = New-AzKeyVault -Name $keyVaultName -ResourceGroupName $ResourceGroupName -Location $LocationName -EnableSoftDelete -EnablePurgeProtection

$key = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyName -Destination $keyDestination

  2. Получите URL-адрес созданного ключа, вам потребуется для последующих команд. Выходные данные Get-AzKeyVaultKey идентификатора — это URL-адрес ключа.

    Get-AzKeyVaultKey -VaultName $keyVaultName -KeyName $keyName

  3. Получите идентификатор ресурса для созданного экземпляра Key Vault, вам потребуется его для последующих команд.

    Get-AzKeyVault -VaultName $keyVaultName

  4. Создайте параметр DiskEncryptionSet с параметром encryptionType, для которого задано значение EncryptionAtRestWithPlatformAndCustomerKeys. Замените yourKeyURL и yourKeyVaultURL на URL-адреса, полученные ранее.

    $config = New-AzDiskEncryptionSetConfig -Location $locationName -KeyUrl "yourKeyURL" -SourceVaultId 'yourKeyVaultURL' -IdentityType 'SystemAssigned'

$config | New-AzDiskEncryptionSet -ResourceGroupName $ResourceGroupName -Name $diskEncryptionSetName -EncryptionType EncryptionAtRestWithPlatformAndCustomerKeys

  5. Предоставьте ресурсу DiskEncryptionSet доступ к хранилищу ключей.

    Примечание.

    Для создания удостоверения DiskEncryptionSet в идентификаторе Microsoft Entra может потребоваться несколько минут. Если при выполнении следующей команды появляется сообщение об ошибке вида "Не удается найти объект Active Directory", подождите несколько минут и повторите попытку.

    $des=Get-AzDiskEncryptionSet -name $diskEncryptionSetName -ResourceGroupName $ResourceGroupName
Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ObjectId $des.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get

Следующие шаги

Итак, создав и настроив эти ресурсы, вы теперь можете использовать их для защиты управляемых дисков. Следующие ссылки указывают на примеры скриптов, которые можно использовать для защиты управляемых дисков.