Aktivera dubbel kryptering i vila för hanterade diskar

Gäller för: ✔️ Virtuella Linux-datorer ✔️, virtuella Windows-datorer ✔️

Azure Disk Storage stöder dubbel kryptering i vila för hanterade diskar. Konceptuell information om dubbel kryptering i vila och andra krypteringstyper för hanterade diskar finns i avsnittet Dubbel kryptering i vila i vår artikel om diskkryptering.

Begränsningar

Dubbel kryptering i vila stöds för närvarande inte med ultradiskar eller Premium SSD v2-diskar.

Förutsättningar

Om du ska använda Azure CLI installerar du den senaste Azure CLI och loggar in på ett Azure-konto med az login.

Om du ska använda Azure PowerShell-modulen installerar du den senaste Azure PowerShell-versionen och loggar in på ett Azure-konto med Connect-AzAccount.

Komma igång

Azure-portalen

1. Logga in på Azure-portalen.

2. Sök efter och välj Diskkrypteringsuppsättningar.

   

3. Välj + Skapa.

4. Välj en av de regioner som stöds.

5. Som Krypteringstyp väljer du Dubbel kryptering med plattformshanterade och kundhanterade nycklar.

   Kommentar

   När du har skapat en diskkrypteringsuppsättning med en viss krypteringstyp kan den inte ändras. Om du vill använda en annan krypteringstyp måste du skapa en ny diskkrypteringsuppsättning.

6. Fyll i återstående information.

   

7. Välj ett Azure Key Vault och en nyckel eller skapa ett nytt om det behövs.

   Kommentar

   Om du skapar en Key Vault-instans måste du aktivera skydd mot mjuk borttagning och rensning. De här inställningarna är obligatoriska när du använder ett Key Vault för att kryptera hanterade diskar och skyddar dig från att förlora data på grund av oavsiktlig borttagning.

   

8. Välj Skapa.

9. Gå till den diskkrypteringsuppsättning som du skapade och välj det fel som visas. Detta konfigurerar diskkrypteringsuppsättningen så att den fungerar.

   

   Ett meddelande bör visas och lyckas. Om du gör det kan du använda diskkrypteringsuppsättningen med ditt nyckelvalv.

   

10. Gå till disken.

11. Välj Kryptering.

12. För Nyckelhantering väljer du en av nycklarna under Plattformshanterade och kundhanterade nycklar.

13. välj Spara.

    

Du har nu aktiverat dubbel kryptering i vila på den hanterade disken.

Azure CLI

1. Skapa en instans av Azure Key Vault och krypteringsnyckeln.

   När du skapar Key Vault-instansen måste du aktivera skydd mot mjuk borttagning och rensning. Mjuk borttagning säkerställer att Key Vault innehåller en borttagen nyckel för en viss kvarhållningsperiod (standardvärdet 90 dagar). Rensningsskydd säkerställer att en borttagen nyckel inte kan tas bort permanent förrän kvarhållningsperioden upphör att gälla. De här inställningarna skyddar dig från att förlora data på grund av oavsiktlig borttagning. De här inställningarna är obligatoriska när du använder ett Key Vault för att kryptera hanterade diskar.

   subscriptionId=yourSubscriptionID
   rgName=yourResourceGroupName
   location=westcentralus
   keyVaultName=yourKeyVaultName
   keyName=yourKeyName
   diskEncryptionSetName=yourDiskEncryptionSetName
   diskName=yourDiskName
   
   az account set --subscription $subscriptionId
   
   az keyvault create -n $keyVaultName -g $rgName -l $location --enable-purge-protection true --enable-soft-delete true
   
   az keyvault key create --vault-name $keyVaultName -n $keyName --protection software
   

2. Hämta nyckel-URL:en för nyckeln som du skapade med az keyvault key show.

   az keyvault key show --name $keyName --vault-name $keyVaultName
   

3. Skapa en DiskEncryptionSet med encryptionType set som EncryptionAtRestWithPlatformAndCustomerKeys. Ersätt yourKeyURL med den URL som du fick från az keyvault key show.

   az disk-encryption-set create --resource-group $rgName --name $diskEncryptionSetName --key-url yourKeyURL --source-vault $keyVaultName --encryption-type EncryptionAtRestWithPlatformAndCustomerKeys
   

4. Ge resursen DiskEncryptionSet åtkomst till nyckelvalvet.

Kommentar

Det kan ta några minuter för Azure att skapa identiteten för diskEncryptionSet i ditt Microsoft Entra-ID. Om du får ett felmeddelande som "Det går inte att hitta Active Directory-objektet" när du kör följande kommando väntar du några minuter och försöker igen.

desIdentity=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [identity.principalId] -o tsv)

az keyvault set-policy -n $keyVaultName -g $rgName --object-id $desIdentity --key-permissions wrapkey unwrapkey get

Azure PowerShell

1. Skapa en instans av Azure Key Vault och krypteringsnyckeln.

   När du skapar Key Vault-instansen måste du aktivera skydd mot mjuk borttagning och rensning. Mjuk borttagning säkerställer att Key Vault innehåller en borttagen nyckel för en viss kvarhållningsperiod (standardvärdet 90 dagar). Rensningsskydd säkerställer att en borttagen nyckel inte kan tas bort permanent förrän kvarhållningsperioden upphör att gälla. De här inställningarna skyddar dig från att förlora data på grund av oavsiktlig borttagning. De här inställningarna är obligatoriska när du använder ett Key Vault för att kryptera hanterade diskar.

   $ResourceGroupName="yourResourceGroupName"
   $LocationName="westus2"
   $keyVaultName="yourKeyVaultName"
   $keyName="yourKeyName"
   $keyDestination="Software"
   $diskEncryptionSetName="yourDiskEncryptionSetName"
   
   $keyVault = New-AzKeyVault -Name $keyVaultName -ResourceGroupName $ResourceGroupName -Location $LocationName -EnableSoftDelete -EnablePurgeProtection
   
   $key = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyName -Destination $keyDestination  
   

2. Hämta URL:en för nyckeln du skapade. Du behöver den för efterföljande kommandon. ID-utdata från Get-AzKeyVaultKey är nyckel-URL:en.

   Get-AzKeyVaultKey -VaultName $keyVaultName -KeyName $keyName
   

3. Hämta resurs-ID:t för Key Vault-instansen som du skapade. Du behöver det för efterföljande kommandon.

   Get-AzKeyVault -VaultName $keyVaultName
   

4. Skapa en DiskEncryptionSet med encryptionType set som EncryptionAtRestWithPlatformAndCustomerKeys. Ersätt yourKeyURL och yourKeyVaultURL med de URL:er som du hämtade tidigare.

   $config = New-AzDiskEncryptionSetConfig -Location $locationName -KeyUrl "yourKeyURL" -SourceVaultId 'yourKeyVaultURL' -IdentityType 'SystemAssigned'
   
   $config | New-AzDiskEncryptionSet -ResourceGroupName $ResourceGroupName -Name $diskEncryptionSetName -EncryptionType EncryptionAtRestWithPlatformAndCustomerKeys
   

5. Ge resursen DiskEncryptionSet åtkomst till nyckelvalvet.

   Kommentar

   Det kan ta några minuter för Azure att skapa identiteten för diskEncryptionSet i ditt Microsoft Entra-ID. Om du får ett felmeddelande som "Det går inte att hitta Active Directory-objektet" när du kör följande kommando väntar du några minuter och försöker igen.

   $des=Get-AzDiskEncryptionSet -name $diskEncryptionSetName -ResourceGroupName $ResourceGroupName
   Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ObjectId $des.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get
   

Nästa steg

• Azure PowerShell – Aktivera kundhanterade nycklar med kryptering på serversidan – hanterade diskar
• Azure Resource Manager-mallexempel
• Aktivera kundhanterade nycklar med kryptering på serversidan – exempel