Windows için Azure Disk Şifrelemesi (Microsoft.Azure.Security.AzureDiskEncryption)
Genel Bakış
Azure Disk Şifrelemesi, Windows çalıştıran Azure sanal makinelerinde tam disk şifrelemesi sağlamak için BitLocker kullanır. Bu çözüm, anahtar kasası aboneliğinizdeki disk şifreleme anahtarlarını ve gizli dizileri yönetmek için Azure Key Vault ile tümleşiktir.
Ön koşullar
Önkoşulların tam listesi için windows vm'leri için Azure Disk Şifrelemesi, özellikle de aşağıdaki bölümlere bakın:
Uzantı Şeması
Azure Disk Şifrelemesi (ADE) için uzantı şemasının iki sürümü vardır:
- v2.2 - Microsoft Entra özelliklerini kullanmayan daha yeni bir önerilen şema.
- v1.1 - Microsoft Entra özellikleri gerektiren eski bir şema.
Hedef şemayı seçmek için özelliği, typeHandlerVersion
kullanmak istediğiniz şema sürümüne eşit olarak ayarlanmalıdır.
Şema v2.2: Microsoft Entra Kimliği yok (önerilir)
Tüm yeni VM'ler için v2.2 şeması önerilir ve Microsoft Entra özellikleri gerektirmez.
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "2.2",
"autoUpgradeMinorVersion": true,
"settings": {
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Şema v1.1: Microsoft Entra Id ile
1.1 şeması veya gerektirir aadClientID
aadClientSecret
AADClientCertificate
ve yeni VM'ler için önerilmez.
kullanarak aadClientSecret
:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientSecret": "[aadClientSecret]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "1.1",
"settings": {
"AADClientID": "[aadClientID]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
kullanarak AADClientCertificate
:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientCertificate": "[aadClientCertificate]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "1.1",
"settings": {
"AADClientID": "[aadClientID]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
Özellik değerleri
Not: Tüm değerler büyük/küçük harfe duyarlıdır.
Ad | Değer / Örnek | Veri Türü |
---|---|---|
apiVersion | 2019-07-01 | tarih |
Yayımcı | Microsoft.Azure.Security | Dize |
tür | AzureDiskEncryption | Dize |
typeHandlerVersion | 2.2, 1.1 | Dize |
(1.1 şeması) AADClientID | xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx | guid |
(1.1 şeması) AADClientSecret | password | Dize |
(1.1 şeması) AADClientCertificate | Parmak izi | Dize |
EncryptionOperation | EnableEncryption | Dize |
(isteğe bağlı - varsayılan RSA-OAEP ) KeyEncryptionAlgorithm | 'RSA-OAEP', 'RSA-OAEP-256', 'RSA1_5' | Dize |
KeyVaultURL | url | dize |
KeyVaultResourceId | url | dize |
(isteğe bağlı) KeyEncryptionKeyURL | url | dize |
(isteğe bağlı) KekVaultResourceId | url | dize |
(isteğe bağlı) SequenceVersion | uniqueidentifier | Dize |
VolumeType | İşletim Sistemi, Veri, Tümü | Dize |
Şablon dağıtımı
v2.2 şemasını temel alan şablon dağıtımı örneği için bkz. Azure Hızlı Başlangıç Şablonu encrypt-running-windows-vm-without-aad.
v1.1 şemasını temel alan şablon dağıtımı örneği için bkz. Azure Hızlı Başlangıç Şablonu encrypt-running-windows-vm.
Dekont
Ayrıca parametre Tümü olarak ayarlanırsa VolumeType
, veri diskleri yalnızca düzgün biçimlendirilmişse şifrelenir.
Sorun giderme ve destek
Sorun giderme
Sorunları gidermek için Azure Disk Şifrelemesi sorun giderme kılavuzuna bakın.
Destek
Bu makalenin herhangi bir noktasında daha fazla yardıma ihtiyacınız varsa MSDN Azure ve Stack Overflow forumlarında Azure uzmanlarına başvurabilirsiniz.
Alternatif olarak, bir Azure desteği olayı da oluşturabilirsiniz. Azure desteği gidin ve Destek al'ı seçin. Azure Desteği'ni kullanma hakkında bilgi için Microsoft Azure Desteği SSS bölümünü okuyun.
Sonraki adımlar
- Uzantılar hakkında daha fazla bilgi için bkz . Windows için sanal makine uzantıları ve özellikleri.
- Windows için Azure Disk Şifrelemesi hakkında daha fazla bilgi için bkz. Windows sanal makineleri.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin