Yönetilen diskler için bekleyen çift şifrelemeyi etkinleştirmek için Azure PowerShell modülünü kullanın
Şunlar için geçerlidir: ✔️ Windows VM'leri
Azure Disk Depolama yönetilen diskler için bekleyen çift şifrelemeyi destekler. Bekleyen çift şifreleme ve diğer yönetilen disk şifreleme türleri hakkında kavramsal bilgi için disk şifreleme makalemizin Bekleyen çift şifreleme bölümüne bakın.
Kısıtlamalar
Bekleme sırasında çift şifreleme şu anda Ultra Diskler veya Premium SSD v2 disklerinde desteklenmemektedir.
Ön koşullar
En son Azure PowerShell sürümünü yükleyin ve Bağlan-AzAccount kullanarak bir Azure hesabında oturum açın.
Başlarken
Azure Key Vault ve şifreleme anahtarının bir örneğini oluşturun.
Key Vault örneğini oluştururken geçici silme ve temizleme korumasını etkinleştirmeniz gerekir. Geçici silme, Key Vault'un belirli bir saklama süresi (varsayılan olarak 90 gün) için silinmiş bir anahtar tutmasını sağlar. Temizleme koruması, silinen bir anahtarın saklama süresi atlayana kadar kalıcı olarak silinemesini sağlar. Bu ayarlar yanlışlıkla silme nedeniyle veri kaybına karşı sizi korur. Yönetilen diskleri şifrelemek için Key Vault kullanılırken bu ayarlar zorunlu hale getirilir.
$ResourceGroupName="yourResourceGroupName" $LocationName="westus2" $keyVaultName="yourKeyVaultName" $keyName="yourKeyName" $keyDestination="Software" $diskEncryptionSetName="yourDiskEncryptionSetName" $keyVault = New-AzKeyVault -Name $keyVaultName -ResourceGroupName $ResourceGroupName -Location $LocationName -EnableSoftDelete -EnablePurgeProtection $key = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyName -Destination $keyDestination
Oluşturduğunuz anahtarın URL'sini alın; sonraki komutlar için buna ihtiyacınız olacaktır. Kimlik çıkışı
Get-AzKeyVaultKey
anahtar URL'dir.Get-AzKeyVaultKey -VaultName $keyVaultName -KeyName $keyName
Oluşturduğunuz Key Vault örneğinin kaynak kimliğini alın; sonraki komutlar için buna ihtiyacınız olacaktır.
Get-AzKeyVault -VaultName $keyVaultName
EncryptionAtRestWithPlatformAndCustomerKeys olarak ayarlanmış encryptionType ile bir DiskEncryptionSet oluşturun. ve
yourKeyVaultURL
değerini daha önce aldığınız URL'lerle değiştirinyourKeyURL
.$config = New-AzDiskEncryptionSetConfig -Location $locationName -KeyUrl "yourKeyURL" -SourceVaultId 'yourKeyVaultURL' -IdentityType 'SystemAssigned' $config | New-AzDiskEncryptionSet -ResourceGroupName $ResourceGroupName -Name $diskEncryptionSetName -EncryptionType EncryptionAtRestWithPlatformAndCustomerKeys
DiskEncryptionSet kaynak erişimini anahtar kasasına verin.
Dekont
Azure'ın Microsoft Entra kimliğinizde DiskEncryptionSet'inizin kimliğini oluşturması birkaç dakika sürebilir. Aşağıdaki komutu çalıştırırken "Active Directory nesnesi bulunamıyor" gibi bir hata alırsanız, birkaç dakika bekleyin ve yeniden deneyin.
$des=Get-AzDiskEncryptionSet -name $diskEncryptionSetName -ResourceGroupName $ResourceGroupName Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ObjectId $des.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get
Sonraki adımlar
Artık bu kaynakları oluşturup yapılandırdığınıza göre, yönetilen disklerinizin güvenliğini sağlamak için bunları kullanabilirsiniz. Aşağıdaki bağlantılar, yönetilen disklerinizin güvenliğini sağlamak için kullanabileceğiniz, her biri ilgili senaryoya sahip örnek betikler içerir.