Skapa och konfigurera ett nyckelvalv för Azure Disk Encryption

Azure Disk Encryption använder Azure Key Vault för att styra och hantera diskkrypteringsnycklar och hemligheter. Mer information om nyckelvalv finns i Kom igång med Azure Key Vault och Skydda ditt nyckelvalv.

Att skapa och konfigurera ett nyckelvalv för användning med Azure Disk Encryption omfattar tre steg:

  1. Skapa en resursgrupp om det behövs.
  2. Skapa ett nyckelvalv.
  3. Ange avancerade åtkomstprinciper för nyckelvalvet.

Om du vill kan du också generera eller importera en nyckelkrypteringsnyckel (KEK).

Installera verktyg och ansluta till Azure

Stegen i den här artikeln kan slutföras med Azure CLI, modulen Azure PowerShell Az eller Azure Portal.

Anslut till ditt Azure-konto

Innan du använder Azure CLI eller Azure PowerShell måste du först ansluta till din Azure-prenumeration. Du gör det genom att logga in med Azure CLI, logga in med Azure PowerShell eller ange dina autentiseringsuppgifter till Azure Portal när du uppmanas att göra det.

az login
Connect-AzAccount

Skapa en resursgrupp

Om du redan har en resursgrupp kan du gå vidare till Skapa ett nyckelvalv.

En resursgrupp är en logisk container där Azure-resurser distribueras och hanteras.

Skapa en resursgrupp med kommandot az group create Azure CLI, kommandot New-AzResourceGroup Azure PowerShell eller från Azure Portal.

Azure CLI

az group create --name "myResourceGroup" --location eastus

Azure PowerShell

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

Skapa ett nyckelvalv

Om du redan har ett nyckelvalv kan du gå vidare till Ange avancerade åtkomstprinciper för nyckelvalvet.

Skapa ett nyckelvalv med azure CLI-kommandot az keyvault create, kommandot New-AzKeyvault Azure PowerShell, Azure Portal eller en Resource Manager mall.

Varning

För att säkerställa att krypteringshemligheter inte korsar regionala gränser måste du skapa och använda ett nyckelvalv som finns i samma region och klientorganisation som de virtuella datorer som ska krypteras.

Varje Key Vault måste ha ett unikt namn. Ersätt <your-unique-keyvault-name> med namnet på ditt nyckelvalv i följande exempel.

Azure CLI

När du skapar ett nyckelvalv med hjälp av Azure CLI lägger du till flaggan "--enabled-for-disk-encryption".

az keyvault create --name "<your-unique-keyvault-name>" --resource-group "myResourceGroup" --location "eastus" --enabled-for-disk-encryption

Azure PowerShell

När du skapar ett nyckelvalv med Azure PowerShell lägger du till flaggan "-EnabledForDiskEncryption".

New-AzKeyvault -name "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup" -Location "eastus" -EnabledForDiskEncryption

Resource Manager-mall

Du kan också skapa ett nyckelvalv med hjälp av mallen Resource Manager.

  1. I Azure-snabbstartsmallen klickar du på Distribuera till Azure.
  2. Välj prenumeration, resursgrupp, resursgruppsplats, Key Vault namn, objekt-ID, juridiska villkor och avtal och klicka sedan på Köp.

Ställa in avancerade åtkomstprinciper för nyckelvalvet

Viktigt

Nyligen skapade nyckelvalv har mjuk borttagning aktiverat som standard. Om du använder ett befintligt nyckelvalv måste du aktivera mjuk borttagning. Se Översikt över mjuk borttagning i Azure Key Vault.

Azure-plattformen behöver åtkomst till krypteringsnycklarna eller hemligheterna i ditt nyckelvalv för att göra dem tillgängliga för den virtuella datorn för start och dekryptering av volymerna.

Om du inte aktiverade nyckelvalvet för diskkryptering, distribution eller malldistribution när du skapade det (vilket visas i föregående steg) måste du uppdatera dess avancerade åtkomstprinciper.

Azure CLI

Använd az keyvault update för att aktivera diskkryptering för nyckelvalvet.

  • Aktivera Key Vault för diskkryptering: Aktiverad för diskkryptering krävs.

    az keyvault update --name "<your-unique-keyvault-name>" --resource-group "MyResourceGroup" --enabled-for-disk-encryption "true"
    
  • Aktivera Key Vault för distribution om det behövs: Aktiverar Microsoft. Beräkningsresursprovider för att hämta hemligheter från det här nyckelvalvet när det här nyckelvalvet refereras i resursskapandet, till exempel när du skapar en virtuell dator.

    az keyvault update --name "<your-unique-keyvault-name>" --resource-group "MyResourceGroup" --enabled-for-deployment "true"
    
  • Aktivera Key Vault för malldistribution om det behövs: Tillåt att Resource Manager hämtar hemligheter från valvet.

    az keyvault update --name "<your-unique-keyvault-name>" --resource-group "MyResourceGroup" --enabled-for-template-deployment "true"
    

Azure PowerShell

Använd Key Vault PowerShell-cmdleten Set-AzKeyVaultAccessPolicy för att aktivera diskkryptering för nyckelvalvet.

  • Aktivera Key Vault för diskkryptering: EnabledForDiskEncryption krävs för Azure Disk-kryptering.

    Set-AzKeyVaultAccessPolicy -VaultName "<your-unique-keyvault-name>" -ResourceGroupName "MyResourceGroup" -EnabledForDiskEncryption
    
  • Aktivera Key Vault för distribution om det behövs: Aktiverar Microsoft. Beräkningsresursprovider för att hämta hemligheter från det här nyckelvalvet när det här nyckelvalvet refereras i resursskapandet, till exempel när du skapar en virtuell dator.

     Set-AzKeyVaultAccessPolicy -VaultName "<your-unique-keyvault-name>" -ResourceGroupName "MyResourceGroup" -EnabledForDeployment
    
  • Aktivera Key Vault för malldistribution om det behövs: Gör att Azure Resource Manager kan hämta hemligheter från det här nyckelvalvet när det här nyckelvalvet refereras till i en malldistribution.

    Set-AzKeyVaultAccessPolicy -VaultName "<your-unique-keyvault-name>" -ResourceGroupName "MyResourceGroup" -EnabledForTemplateDeployment
    

Azure-portalen

  1. Välj ditt nyckelvalv och gå till Åtkomstprinciper.

  2. Under "Aktivera åtkomst till" väljer du rutan Azure Disk Encryption för volymkryptering.

  3. Välj Azure Virtual Machines för distribution och/eller Azure Resource Manager för malldistribution om det behövs.

  4. Klicka på Spara.

    Avancerade åtkomstprinciper för Azure Key Vault

Azure Disk Encryption och automatisk rotation

Även om Azure Key Vault nu har automatisk nyckelrotation är det för närvarande inte kompatibelt med Azure Disk Encryption. Mer specifikt fortsätter Azure Disk Encryption att använda den ursprungliga krypteringsnyckeln, även efter att den har roterats automatiskt.

Om du roterar en krypteringsnyckel bryts inte Azure Disk Encryption, men om du inaktiverar den "gamla" krypteringsnyckeln (med andra ord den nyckel som Azure Disk Encryption fortfarande använder).

Konfigurera en nyckelkrypteringsnyckel (KEK)

Viktigt

Kontot som körs för att aktivera diskkryptering över nyckelvalvet måste ha läsbehörighet.

Om du vill använda en nyckelkrypteringsnyckel (KEK) för ytterligare ett säkerhetslager för krypteringsnycklar lägger du till en kek i nyckelvalvet. När en nyckelkrypteringsnyckel anges använder Azure Disk Encryption den nyckeln för att omsluta krypteringshemligheterna innan du skriver till Key Vault.

Du kan generera en ny KEK med hjälp av Azure CLI-kommandotaz keyvault key create, cmdleten Azure PowerShell Add-AzKeyVaultKey eller Azure Portal. Du måste generera en RSA-nyckeltyp. Azure Disk Encryption stöder för närvarande inte användning av Elliptic Curve-nycklar.

Du kan i stället importera en KEK från din lokala HSM för nyckelhantering. Mer information finns i Key Vault dokumentationen.

Nyckelvalvets KEK-URL:er måste vara versionshanterade. Azure tillämpar den här begränsningen av versionshantering. Giltiga url:er för hemligheter och KEK finns i följande exempel:

Azure CLI

Använd Azure CLI-kommandot z keyvault key create för att generera en ny KEK och lagra den i ditt nyckelvalv.

az keyvault key create --name "myKEK" --vault-name "<your-unique-keyvault-name>" --kty RSA --size 4096

Du kan i stället importera en privat nyckel med hjälp av Azure CLI az keyvault key import command:

I båda fallen anger du namnet på din KEK till parametern Azure CLI az vm encryption enable --key-encryption-key.

az vm encryption enable -g "MyResourceGroup" --name "myVM" --disk-encryption-keyvault "<your-unique-keyvault-name>" --key-encryption-key "myKEK"

Azure PowerShell

Använd cmdleten Azure PowerShell Add-AzKeyVaultKey för att generera en ny KEK och lagra den i ditt nyckelvalv.

Add-AzKeyVaultKey -Name "myKEK" -VaultName "<your-unique-keyvault-name>" -Destination "HSM" -Size 4096

Du kan i stället importera en privat nyckel med hjälp av kommandot Azure PowerShellaz keyvault key import.

I båda fallen anger du ID:t för ditt KEK-nyckelvalv och URL:en för din KEK till parametrarna Azure PowerShell Set-AzVMDiskEncryptionExtension -KeyEncryptionKeyVaultId och -KeyEncryptionKeyUrl. Det här exemplet förutsätter att du använder samma nyckelvalv för både diskkrypteringsnyckeln och KEK:en.

$KeyVault = Get-AzKeyVault -VaultName "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup"
$KEK = Get-AzKeyVaultKey -VaultName "<your-unique-keyvault-name>" -Name "myKEK"

Set-AzVMDiskEncryptionExtension -ResourceGroupName MyResourceGroup -VMName "MyVM" -DiskEncryptionKeyVaultUrl $KeyVault.VaultUri -DiskEncryptionKeyVaultId $KeyVault.ResourceId -KeyEncryptionKeyVaultId $KeyVault.ResourceId -KeyEncryptionKeyUrl $KEK.Id -SkipVmBackup -VolumeType All

Nästa steg