Azure Disk Şifrelemesi için anahtar kasası oluşturma ve yapılandırma
Azure Disk Şifrelemesi, disk şifreleme anahtarlarını ve gizli dizilerini denetlemek ve yönetmek için Azure Key Vault kullanır. Anahtar kasaları hakkında daha fazla bilgi için bkz. Azure Key Vault kullanmaya başlama ve Anahtar kasanızın güvenliğini sağlama.
Azure Disk Şifrelemesi ile kullanılmak üzere bir anahtar kasası oluşturma ve yapılandırma üç adımdan oluşur:
- Gerekirse kaynak grubu oluşturma.
- Anahtar kasası oluşturma.
- Anahtar kasası gelişmiş erişim ilkelerini ayarlama.
Ayrıca isterseniz bir anahtar şifreleme anahtarı (KEK) oluşturabilir veya içeri aktarabilirsiniz.
Araçları yükleme ve Azure'a bağlanma
Bu makaledeki adımlar Azure CLI, Azure PowerShell Az modülü veya Azure portal ile tamamlanabilir.
Kaynak grubu oluşturma
Zaten bir kaynak grubunuz varsa Anahtar kasası oluşturma bölümüne atlayabilirsiniz.
Kaynak grubu, Azure kaynaklarının dağıtıldığı ve yönetildiği bir mantıksal kapsayıcıdır.
az group create Azure CLI komutunu, New-AzResourceGroup Azure PowerShell komutunu veya Azure portal kullanarak bir kaynak grubu oluşturun.
Azure CLI
az group create --name "myResourceGroup" --location eastus
Azure PowerShell
New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"
Anahtar kasası oluşturma
Zaten bir anahtar kasanız varsa Anahtar kasası gelişmiş erişim ilkelerini ayarlama bölümüne atlayabilirsiniz.
az keyvault create Azure CLI komutunu, New-AzKeyvault Azure PowerShell komutunu, Azure portal veya Resource Manager şablonunu kullanarak bir anahtar kasası oluşturun.
Uyarı
Şifreleme gizli dizilerinin bölgesel sınırları aşmadığından emin olmak için, şifrelenecek VM'lerle aynı bölgede ve kiracıda bulunan bir anahtar kasası oluşturmanız ve kullanmanız gerekir.
Her Key Vault benzersiz bir ada sahip olması gerekir. Aşağıdaki örneklerde unique-keyvault-name> değerini anahtar kasanızın adıyla değiştirin<.
Azure CLI
Azure CLI kullanarak anahtar kasası oluştururken "--enabled-for-disk-encryption" bayrağını ekleyin.
az keyvault create --name "<your-unique-keyvault-name>" --resource-group "myResourceGroup" --location "eastus" --enabled-for-disk-encryption
Azure PowerShell
Azure PowerShell kullanarak anahtar kasası oluştururken "-EnabledForDiskEncryption" bayrağını ekleyin.
New-AzKeyvault -name "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup" -Location "eastus" -EnabledForDiskEncryption
Resource Manager şablonu
Resource Manager şablonunu kullanarak da anahtar kasası oluşturabilirsiniz.
- Azure Hızlı Başlangıç Şablonu'nda Azure'a Dağıt'a tıklayın.
- Aboneliği, kaynak grubunu, kaynak grubu konumunu, Key Vault adını, Nesne Kimliğini, yasal koşulları ve sözleşmeyi seçin ve satın al'a tıklayın.
Anahtar kasası gelişmiş erişim ilkelerini ayarlama
Önemli
Yeni oluşturulan anahtar kasaları varsayılan olarak geçici silmeye sahiptir. Önceden var olan bir anahtar kasası kullanıyorsanız geçici silmeyi etkinleştirmeniz gerekir . Bkz. Azure Key Vault geçici silmeye genel bakış.
Azure platformunun, birimlerin önyüklenmesi ve şifresinin çözülmesi için vm'nin kullanımına sunulması için anahtar kasanızdaki şifreleme anahtarlarına veya gizli dizilere erişmesi gerekir.
Anahtar kasanızı oluşturma sırasında (önceki adımda gösterildiği gibi) disk şifrelemesi, dağıtımı veya şablon dağıtımı için etkinleştirmediyseniz, gelişmiş erişim ilkelerini güncelleştirmeniz gerekir.
Azure CLI
Az keyvault update komutunu kullanarak anahtar kasası için disk şifrelemesini etkinleştirin.
Disk şifrelemesi için Key Vault etkinleştirme: Disk şifrelemesi için etkin olması gerekir.
az keyvault update --name "<your-unique-keyvault-name>" --resource-group "MyResourceGroup" --enabled-for-disk-encryption "true"Gerekirse dağıtım için Key Vault etkinleştirin: Microsoft.Compute kaynak sağlayıcısının bu anahtar kasasına kaynak oluşturma sırasında ,örneğin bir sanal makine oluştururken başvurulduğunda bu anahtar kasasından gizli dizileri almasını sağlar.
az keyvault update --name "<your-unique-keyvault-name>" --resource-group "MyResourceGroup" --enabled-for-deployment "true"Gerekirse şablon dağıtımı için Key Vault etkinleştirin: Resource Manager kasadan gizli dizileri almasına izin verin.
az keyvault update --name "<your-unique-keyvault-name>" --resource-group "MyResourceGroup" --enabled-for-template-deployment "true"
Azure PowerShell
Anahtar kasası için disk şifrelemesini etkinleştirmek üzere Set-AzKeyVaultAccessPolicy anahtar kasası PowerShell cmdlet'ini kullanın.
Disk şifrelemesi için Key Vault etkinleştirme: Azure Disk şifrelemesi için EnabledForDiskEncryption gereklidir.
Set-AzKeyVaultAccessPolicy -VaultName "<your-unique-keyvault-name>" -ResourceGroupName "MyResourceGroup" -EnabledForDiskEncryptionGerekirse dağıtım için Key Vault etkinleştirin: Microsoft.Compute kaynak sağlayıcısının bu anahtar kasasına kaynak oluşturma sırasında ,örneğin bir sanal makine oluştururken başvurulduğunda bu anahtar kasasından gizli dizileri almasını sağlar.
Set-AzKeyVaultAccessPolicy -VaultName "<your-unique-keyvault-name>" -ResourceGroupName "MyResourceGroup" -EnabledForDeploymentGerekirse şablon dağıtımı için Key Vault etkinleştirin: Şablon dağıtımında bu anahtar kasasına başvurulduğunda Azure Resource Manager bu anahtar kasasından gizli dizileri almasını sağlar.
Set-AzKeyVaultAccessPolicy -VaultName "<your-unique-keyvault-name>" -ResourceGroupName "MyResourceGroup" -EnabledForTemplateDeployment
Azure portal
Anahtar kasanızı seçin ve Erişim İlkeleri'ne gidin.
"Erişimi Etkinleştir" altında, birim şifrelemesi için Azure Disk Şifrelemesi etiketli kutuyu seçin.
Gerekirse dağıtım için Azure Sanal Makineler ve/veya şablon dağıtımı için Azure Resource Manager'yi seçin.
Kaydet’e tıklayın.
Azure Disk Şifrelemesi ve otomatik döndürme
Azure Key Vault artık anahtar otomatik döndürme özelliğine sahip olsa da şu anda Azure Disk Şifrelemesi ile uyumlu değildir. Özellikle, Azure Disk Şifrelemesi otomatik olarak döndürüldükten sonra bile özgün şifreleme anahtarını kullanmaya devam eder.
Şifreleme anahtarını döndürmek Azure Disk Şifrelemesi'ni bozmaz, ancak "eski" şifreleme anahtarını (başka bir deyişle, Azure Disk Şifrelemesi'nin hala kullandığı anahtar) devre dışı bırakır.
Anahtar şifreleme anahtarı (KEK) ayarlama
Önemli
Anahtar kasası üzerinden disk şifrelemesini etkinleştirmek için çalışan hesabın "okuyucu" izinleri olmalıdır.
Şifreleme anahtarları için ek bir güvenlik katmanı için anahtar şifreleme anahtarı (KEK) kullanmak istiyorsanız anahtar kasanıza bir KEK ekleyin. Anahtar şifreleme anahtarı belirtildiğinde, Azure Disk Şifrelemesi bu anahtarı kullanarak Key Vault'a yazmadan önce şifreleme gizli dizilerini sarmalar.
Azure CLI az keyvault key create komutunu, Add-AzKeyVaultKey cmdlet'ini veya Azure portal Azure PowerShell kullanarak yeni bir KEK oluşturabilirsiniz. Bir RSA anahtar türü oluşturmanız gerekir; Azure Disk Şifrelemesi şu anda Üç Nokta Eğrisi anahtarlarının kullanılmasını desteklemez.
Bunun yerine, şirket içi anahtar yönetimi HSM'nizden bir KEK içeri aktarabilirsiniz. Daha fazla bilgi için bkz. Key Vault Belgeleri.
Anahtar kasası KEK URL'lerinizin sürümü oluşturulmalıdır. Azure bu sürüm oluşturma kısıtlamasını uygular. Geçerli gizli dizi ve KEK URL'leri için aşağıdaki örneklere bakın:
- Geçerli bir gizli url örneği: https://contosovault.vault.azure.net/secrets/EncryptionSecretWithKek/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
- Geçerli bir KEK URL örneği: https://contosovault.vault.azure.net/keys/diskencryptionkek/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Azure CLI
Yeni bir KEK oluşturmak ve bunu anahtar kasanızda depolamak için Azure CLI az keyvault key create komutunu kullanın.
az keyvault key create --name "myKEK" --vault-name "<your-unique-keyvault-name>" --kty RSA --size 4096
Bunun yerine Azure CLI az keyvault key import komutunu kullanarak özel anahtarı içeri aktarabilirsiniz :
Her iki durumda da KEK'nizin adını Azure CLI az vm encryption enable --key-encryption-key parametresine belirtirsiniz.
az vm encryption enable -g "MyResourceGroup" --name "myVM" --disk-encryption-keyvault "<your-unique-keyvault-name>" --key-encryption-key "myKEK"
Azure PowerShell
Yeni bir KEK oluşturmak ve bunu anahtar kasanızda depolamak için Azure PowerShell Add-AzKeyVaultKey cmdlet'ini kullanın.
Add-AzKeyVaultKey -Name "myKEK" -VaultName "<your-unique-keyvault-name>" -Destination "HSM" -Size 4096
Bunun yerine Azure PowerShell az keyvault key import komutunu kullanarak özel anahtarı içeri aktarabilirsiniz.
Her iki durumda da KEK anahtar kasanızın kimliğini ve KEK'nizin URL'sini Azure PowerShell Set-AzVMDiskEncryptionExtension -KeyEncryptionKeyVaultId ve -KeyEncryptionKeyUrl parametrelerine sağlayacaksınız. Bu örnekte, hem disk şifreleme anahtarı hem de KEK için aynı anahtar kasasını kullandığınız varsayılır.
$KeyVault = Get-AzKeyVault -VaultName "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup"
$KEK = Get-AzKeyVaultKey -VaultName "<your-unique-keyvault-name>" -Name "myKEK"
Set-AzVMDiskEncryptionExtension -ResourceGroupName MyResourceGroup -VMName "MyVM" -DiskEncryptionKeyVaultUrl $KeyVault.VaultUri -DiskEncryptionKeyVaultId $KeyVault.ResourceId -KeyEncryptionKeyVaultId $KeyVault.ResourceId -KeyEncryptionKeyUrl $KEK.Id -SkipVmBackup -VolumeType All