Yönetilen diskler için bekleyen çift şifrelemeyi etkinleştirmek için Azure PowerShell modülünü kullanın

Şunlar için geçerlidir: ✔️ Windows VM'leri

Azure Disk Depolama yönetilen diskler için bekleyen çift şifrelemeyi destekler. Bekleyen çift şifreleme ve diğer yönetilen disk şifreleme türleri hakkında kavramsal bilgi için disk şifreleme makalemizin Bekleyen çift şifreleme bölümüne bakın.

Kısıtlamalar

Bekleme sırasında çift şifreleme şu anda Ultra Diskler veya Premium SSD v2 disklerinde desteklenmemektedir.

Ön koşullar

En son Azure PowerShell sürümünü yükleyin ve Bağlan-AzAccount kullanarak bir Azure hesabında oturum açın.

Başlarken

1. Azure Key Vault ve şifreleme anahtarının bir örneğini oluşturun.

   Key Vault örneğini oluştururken geçici silme ve temizleme korumasını etkinleştirmeniz gerekir. Geçici silme, Key Vault'un belirli bir saklama süresi (varsayılan olarak 90 gün) için silinmiş bir anahtar tutmasını sağlar. Temizleme koruması, silinen bir anahtarın saklama süresi atlayana kadar kalıcı olarak silinemesini sağlar. Bu ayarlar yanlışlıkla silme nedeniyle veri kaybına karşı sizi korur. Yönetilen diskleri şifrelemek için Key Vault kullanılırken bu ayarlar zorunlu hale getirilir.

   $ResourceGroupName="yourResourceGroupName"
   $LocationName="westus2"
   $keyVaultName="yourKeyVaultName"
   $keyName="yourKeyName"
   $keyDestination="Software"
   $diskEncryptionSetName="yourDiskEncryptionSetName"
   
   $keyVault = New-AzKeyVault -Name $keyVaultName -ResourceGroupName $ResourceGroupName -Location $LocationName -EnableSoftDelete -EnablePurgeProtection
   
   $key = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyName -Destination $keyDestination  
   

2. Oluşturduğunuz anahtarın URL'sini alın; sonraki komutlar için buna ihtiyacınız olacaktır. Kimlik çıkışı Get-AzKeyVaultKey anahtar URL'dir.

   Get-AzKeyVaultKey -VaultName $keyVaultName -KeyName $keyName
   

3. Oluşturduğunuz Key Vault örneğinin kaynak kimliğini alın; sonraki komutlar için buna ihtiyacınız olacaktır.

   Get-AzKeyVault -VaultName $keyVaultName
   

4. EncryptionAtRestWithPlatformAndCustomerKeys olarak ayarlanmış encryptionType ile bir DiskEncryptionSet oluşturun. ve yourKeyVaultURL değerini daha önce aldığınız URL'lerle değiştirinyourKeyURL.

   $config = New-AzDiskEncryptionSetConfig -Location $locationName -KeyUrl "yourKeyURL" -SourceVaultId 'yourKeyVaultURL' -IdentityType 'SystemAssigned'
   
   $config | New-AzDiskEncryptionSet -ResourceGroupName $ResourceGroupName -Name $diskEncryptionSetName -EncryptionType EncryptionAtRestWithPlatformAndCustomerKeys
   

5. DiskEncryptionSet kaynak erişimini anahtar kasasına verin.

   Dekont

   Azure'ın Microsoft Entra kimliğinizde DiskEncryptionSet'inizin kimliğini oluşturması birkaç dakika sürebilir. Aşağıdaki komutu çalıştırırken "Active Directory nesnesi bulunamıyor" gibi bir hata alırsanız, birkaç dakika bekleyin ve yeniden deneyin.

   $des=Get-AzDiskEncryptionSet -name $diskEncryptionSetName -ResourceGroupName $ResourceGroupName
   Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ObjectId $des.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get
   

Sonraki adımlar

Artık bu kaynakları oluşturup yapılandırdığınıza göre, yönetilen disklerinizin güvenliğini sağlamak için bunları kullanabilirsiniz. Aşağıdaki bağlantılar, yönetilen disklerinizin güvenliğini sağlamak için kullanabileceğiniz, her biri ilgili senaryoya sahip örnek betikler içerir.

• Azure PowerShell - Sunucu tarafı şifrelemesiyle müşteri tarafından yönetilen anahtarları etkinleştirme - yönetilen diskler
• Azure Resource Manager şablon örnekleri