Aracılığıyla paylaş

Müşteri tarafından yönetilen anahtarlarla şifrelenmiş görüntü sürümü oluşturma

  • Makale

Şunlar için geçerlidir: ✔️ Linux VM'leri ✔️ Windows VM'leri ✔️ Esnek ölçek kümeleri ✔️ Tekdüzen ölçek kümeleri

Azure İşlem Galerisi'ndeki (eski adıyla Paylaşılan Görüntü Galerisi) görüntüler anlık görüntü olarak depolanır. Bu görüntüler sunucu tarafı 256 bit şifreleme AES şifrelemesi aracılığıyla otomatik olarak şifrelenir. Sunucu tarafı şifrelemesi de FIPS 140-2 ile uyumludur. Azure yönetilen diskleri temel alan şifreleme modülleri hakkında daha fazla bilgi için bkz . Şifreleme API'si: Yeni Nesil.

Görüntülerinizi şifrelemek için platform tarafından yönetilen anahtarlara güvenebilir veya kendi anahtarlarınızı kullanabilirsiniz. Bu özelliklerin ikisini de çift şifreleme için birlikte kullanabilirsiniz. Şifrelemeyi kendi anahtarlarınızla yönetmeyi seçerseniz, görüntülerinizdeki tüm diskleri şifrelemek ve şifresini çözmek için kullanılacak müşteri tarafından yönetilen bir anahtar belirtebilirsiniz.

Müşteri tarafından yönetilen anahtarlar aracılığıyla sunucu tarafı şifrelemesi Azure Key Vault kullanır. RSA anahtarlarınızı anahtar kasanıza aktarabilir veya Azure Key Vault'de yeni RSA anahtarları oluşturabilirsiniz.

Önkoşullar

Bu makale, görüntünüzü çoğaltmak istediğiniz her bölgede zaten bir disk şifrelemesi ayarlanmış olmasını gerektirir:

  • Yalnızca müşteri tarafından yönetilen bir anahtar kullanmak için, Azure portal veya PowerShell kullanarak sunucu tarafı şifreleme ile müşteri tarafından yönetilen anahtarları etkinleştirme hakkındaki makalelere bakın.

  • Hem platform tarafından yönetilen hem de müşteri tarafından yönetilen anahtarları kullanmak için (çift şifreleme için), Azure portal veya PowerShell kullanarak bekleyen çift şifrelemeyi etkinleştirme hakkındaki makalelere bakın.

    Önemli

    Azure portal erişmek için bağlantıyı https://aka.ms/diskencryptionupdates kullanmanız gerekir. Bekleme sırasında çift şifreleme, şu anda bu bağlantıyı kullanmadığınız sürece genel Azure portal görünür değildir.

Sınırlamalar

Azure Compute Gallery'deki görüntüleri şifrelemek için müşteri tarafından yönetilen anahtarları kullanırken şu sınırlamalar geçerlidir:

  • Şifreleme anahtarı kümeleri görüntünüzle aynı abonelikte olmalıdır.

  • Şifreleme anahtarı kümeleri bölgesel kaynaklardır, bu nedenle her bölge farklı bir şifreleme anahtar kümesi gerektirir.

  • Bir görüntüyü şifrelemek için kendi anahtarlarınızı kullandıktan sonra, bu görüntüleri şifrelemek için platform tarafından yönetilen anahtarları kullanmaya geri dönemezsiniz.

  • VM görüntüsü sürüm kaynağı şu anda müşteri tarafından yönetilen anahtar şifrelemeyi desteklemiyor.

  • SSE+CMK görüntüsünü çoğaltma, SSE+CMK şifreli diskten görüntü oluşturma gibi özelliklerden bazıları. portal aracılığıyla desteklenmez.

PowerShell

Görüntü sürümü için disk şifreleme kümesi belirtmek üzere New-AzGalleryImageVersion parametresini -TargetRegion kullanın:


$sourceId = <ID of the image version source>

$osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet'}

$dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet1';Lun=1}

$dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet2';Lun=2}

$dataDiskImageEncryptions = @($dataDiskImageEncryption1,$dataDiskImageEncryption2)

$encryption1 = @{OSDiskImage=$osDiskImageEncryption;DataDiskImages=$dataDiskImageEncryptions}

$region1 = @{Name='West US';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption1}

$eastUS2osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet'}

$eastUS2dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet1';Lun=1}

$eastUS2dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet2';Lun=2}

$eastUS2DataDiskImageEncryptions = @($eastUS2dataDiskImageEncryption1,$eastUS2dataDiskImageEncryption2)

$encryption2 = @{OSDiskImage=$eastUS2osDiskImageEncryption;DataDiskImages=$eastUS2DataDiskImageEncryptions}

$region2 = @{Name='East US 2';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption2}

$targetRegion = @($region1, $region2)


# Create the image
New-AzGalleryImageVersion `
   -ResourceGroupName $rgname `
   -GalleryName $galleryName `
   -GalleryImageDefinitionName $imageDefinitionName `
   -Name $versionName -Location $location `
   -SourceImageId $sourceId `
   -ReplicaCount 2 `
   -StorageAccountType Standard_LRS `
   -PublishingProfileEndOfLifeDate '2020-12-01' `
   -TargetRegion $targetRegion

VM oluşturma

Azure İşlem Galerisi'nden bir sanal makine (VM) oluşturabilir ve diskleri şifrelemek için müşteri tarafından yönetilen anahtarları kullanabilirsiniz. Söz dizimi, bir görüntüden genelleştirilmiş veya özelleştirilmiş bir VM oluşturmakla aynıdır. Genişletilmiş parametre kümesini kullanın ve VM yapılandırmasına ekleyin Set-AzVMOSDisk -Name $($vmName +"_OSDisk") -DiskEncryptionSetId $diskEncryptionSet.Id -CreateOption FromImage .

Veri diskleri için Add-AzVMDataDisk kullanırken parametresini ekleyin-DiskEncryptionSetId $setID.

CLI

Görüntü sürümü için bir disk şifreleme kümesi belirtmek üzere az image gallery create-image-version parametresini --target-region-encryption kullanın. biçimi --target-region-encryption , işletim sistemini ve veri disklerini şifrelemek için kullanılan anahtarların virgülle ayrılmış bir listesidir. Şu şekilde görünmelidir: <encryption set for the OS disk>,<Lun number of the data disk>,<encryption set for the data disk>,<Lun number for the second data disk>,<encryption set for the second data disk>.

İşletim sistemi diskinin kaynağı yönetilen bir disk veya VM ise, görüntü sürümünün kaynağını belirtmek için kullanın --managed-image . Bu örnekte kaynak, işletim sistemi diskini ve LUN 0'da veri diskini içeren yönetilen bir görüntüdür. İşletim sistemi diski DiskEncryptionSet1 ile şifrelenir ve veri diski DiskEncryptionSet2 ile şifrelenir.

az sig image-version create \
   -g MyResourceGroup \
   --gallery-image-version 1.0.0 \
   --location westus \
   --target-regions westus=2=standard_lrs eastus2 \
   --target-region-encryption WestUSDiskEncryptionSet1,0,WestUSDiskEncryptionSet2 EastUS2DiskEncryptionSet1,0,EastUS2DiskEncryptionSet2 \
   --gallery-name MyGallery \
   --gallery-image-definition MyImage \
   --managed-image "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/images/myImage"

İşletim sistemi diskinin kaynağı bir anlık görüntüyse, işletim sistemi diskini belirtmek için kullanın --os-snapshot . Görüntü sürümünün parçası olması gereken diğer veri diski anlık görüntülerini ekleyin. --data-snapshot-luns LUN'yi belirtmek için kullanın ve anlık görüntüleri belirtmek için kullanın--data-snapshots.

Bu örnekte kaynaklar disk anlık görüntüleridir. LUN 0'da bir işletim sistemi diski ve veri diski vardır. İşletim sistemi diski DiskEncryptionSet1 ile şifrelenir ve veri diski DiskEncryptionSet2 ile şifrelenir.

az sig image-version create \
   -g MyResourceGroup \
   --gallery-image-version 1.0.0 \
   --location westus\
   --target-regions westus=2=standard_lrs eastus\
   --target-region-encryption WestUSDiskEncryptionSet1,0,WestUSDiskEncryptionSet2 EastUS2DiskEncryptionSet1,0,EastUS2DiskEncryptionSet2 \
   --os-snapshot "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/snapshots/myOSSnapshot" \
   --data-snapshot-luns 0 \
   --data-snapshots "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/snapshots/myDDSnapshot" \
   --gallery-name MyGallery \
   --gallery-image-definition MyImage

Sanal makineyi oluşturma

Azure İşlem Galerisi'nden vm oluşturabilir ve diskleri şifrelemek için müşteri tarafından yönetilen anahtarları kullanabilirsiniz. Söz dizimi, parametresinin eklenmesiyle --os-disk-encryption-setgenelleştirilmiş veya özelleştirilmiş bir VM oluşturmakla aynıdır. Veri diskleri için, veri diskleri için disk şifreleme kümelerinin boşlukla ayrılmış bir listesiyle ekleyin --data-disk-encryption-sets .

Portal

Görüntü sürümünüzü portalda oluşturduğunuzda, depolama şifreleme kümelerinizi uygulamak için Şifreleme sekmesini kullanabilirsiniz.

  1. Görüntü sürümü oluştur sayfasında Şifreleme sekmesini seçin.
  2. Şifreleme türü bölümünde Müşteri tarafından yönetilen anahtarla bekleyen şifreleme'yi veya platform tarafından yönetilen ve müşteri tarafından yönetilen anahtarlarla çift şifreleme'yi seçin.
  3. Görüntüdeki her disk için Disk şifreleme kümesi açılan listesinden bir şifreleme kümesi seçin.

Sanal makineyi oluşturma

Bir görüntü sürümünden VM oluşturabilir ve diskleri şifrelemek için müşteri tarafından yönetilen anahtarları kullanabilirsiniz. Vm'yi portalda oluşturduğunuzda, Diskler sekmesinde Müşteri tarafından yönetilen anahtarlarla bekleyen şifreleme'yi veya Şifreleme türü için platform tarafından yönetilen ve müşteri tarafından yönetilen anahtarlarla çift şifreleme'yi seçin. Ardından açılan listeden şifreleme kümesini seçebilirsiniz.

Sonraki adımlar

Sunucu tarafı disk şifrelemesi hakkında daha fazla bilgi edinin.

Satın alma planı bilgilerini sağlama hakkında bilgi için bkz. Görüntü oluştururken satın alma planı bilgilerini sağlama Azure Market.