Använd Azure PowerShell-modulen för att aktivera dubbel kryptering i vila för hanterade diskar

Gäller för: ✔️ Virtuella Windows-datorer

Azure Disk Storage stöder dubbel kryptering i vila för hanterade diskar. Konceptuell information om dubbel kryptering i vila och andra krypteringstyper för hanterade diskar finns i avsnittet Dubbel kryptering i vila i vår artikel om diskkryptering.

Begränsningar

Dubbel kryptering i vila stöds för närvarande inte med ultradiskar eller Premium SSD v2-diskar.

Förutsättningar

Installera den senaste Azure PowerShell-versionen och logga in på ett Azure-konto med Anslut-AzAccount.

Komma igång

1. Skapa en instans av Azure Key Vault och krypteringsnyckeln.

   När du skapar Key Vault-instansen måste du aktivera skydd mot mjuk borttagning och rensning. Mjuk borttagning säkerställer att Key Vault innehåller en borttagen nyckel för en viss kvarhållningsperiod (standardvärdet 90 dagar). Rensningsskydd säkerställer att en borttagen nyckel inte kan tas bort permanent förrän kvarhållningsperioden upphör att gälla. De här inställningarna skyddar dig från att förlora data på grund av oavsiktlig borttagning. De här inställningarna är obligatoriska när du använder ett Key Vault för att kryptera hanterade diskar.

   $ResourceGroupName="yourResourceGroupName"
   $LocationName="westus2"
   $keyVaultName="yourKeyVaultName"
   $keyName="yourKeyName"
   $keyDestination="Software"
   $diskEncryptionSetName="yourDiskEncryptionSetName"
   
   $keyVault = New-AzKeyVault -Name $keyVaultName -ResourceGroupName $ResourceGroupName -Location $LocationName -EnableSoftDelete -EnablePurgeProtection
   
   $key = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyName -Destination $keyDestination  
   

2. Hämta URL:en för nyckeln du skapade. Du behöver den för efterföljande kommandon. ID-utdata från Get-AzKeyVaultKey är nyckel-URL:en.

   Get-AzKeyVaultKey -VaultName $keyVaultName -KeyName $keyName
   

3. Hämta resurs-ID:t för Key Vault-instansen som du skapade. Du behöver det för efterföljande kommandon.

   Get-AzKeyVault -VaultName $keyVaultName
   

4. Skapa en DiskEncryptionSet med encryptionType set som EncryptionAtRestWithPlatformAndCustomerKeys. Ersätt yourKeyURL och yourKeyVaultURL med de URL:er som du hämtade tidigare.

   $config = New-AzDiskEncryptionSetConfig -Location $locationName -KeyUrl "yourKeyURL" -SourceVaultId 'yourKeyVaultURL' -IdentityType 'SystemAssigned'
   
   $config | New-AzDiskEncryptionSet -ResourceGroupName $ResourceGroupName -Name $diskEncryptionSetName -EncryptionType EncryptionAtRestWithPlatformAndCustomerKeys
   

5. Ge resursen DiskEncryptionSet åtkomst till nyckelvalvet.

   Kommentar

   Det kan ta några minuter för Azure att skapa identiteten för diskEncryptionSet i ditt Microsoft Entra-ID. Om du får ett felmeddelande som "Det går inte att hitta Active Directory-objektet" när du kör följande kommando väntar du några minuter och försöker igen.

   $des=Get-AzDiskEncryptionSet -name $diskEncryptionSetName -ResourceGroupName $ResourceGroupName
   Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ObjectId $des.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get
   

Nästa steg

Nu när du har skapat och konfigurerat dessa resurser kan du använda dem för att skydda dina hanterade diskar. Följande länkar innehåller exempelskript, var och en med ett respektive scenario, som du kan använda för att skydda dina hanterade diskar.

• Azure PowerShell – Aktivera kundhanterade nycklar med kryptering på serversidan – hanterade diskar
• Azure Resource Manager-mallexempel