使用 Azure PowerShell 模組,為受控磁碟啟用待用雙重加密
適用於:✔️ Windows VM
Azure 磁碟儲存體支援受控磁碟的待用雙重加密。 如需有關待用雙重加密和其他受控磁碟加密類型的概念資訊,請參閱磁碟加密文章的待用雙重加密一節。
限制
Ultra 磁碟或進階 SSD v2 磁碟目前不支援待用雙重加密。
必要條件
安裝最新的 Azure PowerShell 版本,並使用 Connect-AzAccount 登入 Azure 帳戶。
開始使用
建立 Azure Key Vault 執行個體和加密金鑰。
建立 Key Vault 執行個體時,您必須啟用虛刪除和清除保護。 虛刪除可確保 Key Vault 將已刪除的金鑰保留一段指定的保留期間 (預設為 90 天)。 清除保護可確保已刪除的金鑰在保留期限結束之前,無法永久刪除。 這些設定可防止您因為意外刪除而遺失資料。 使用 Key Vault 來加密受控磁碟時,必須使用這些設定。
$ResourceGroupName="yourResourceGroupName" $LocationName="westus2" $keyVaultName="yourKeyVaultName" $keyName="yourKeyName" $keyDestination="Software" $diskEncryptionSetName="yourDiskEncryptionSetName" $keyVault = New-AzKeyVault -Name $keyVaultName -ResourceGroupName $ResourceGroupName -Location $LocationName -EnableSoftDelete -EnablePurgeProtection $key = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyName -Destination $keyDestination擷取您所建立金鑰的 URL,後續命令會需要用到。
Get-AzKeyVaultKey的識別碼輸出是金鑰 URL。Get-AzKeyVaultKey -VaultName $keyVaultName -KeyName $keyName取得您所建立之 Key Vault 執行個體的資源識別碼,後續命令會需要用到。
Get-AzKeyVault -VaultName $keyVaultName建立 DiskEncryptionSet,並將 encryptionType 設定為 EncryptionAtRestWithPlatformAndCustomerKeys。 將
yourKeyURL和yourKeyVaultURL取代為您稍早擷取的 URL。$config = New-AzDiskEncryptionSetConfig -Location $locationName -KeyUrl "yourKeyURL" -SourceVaultId 'yourKeyVaultURL' -IdentityType 'SystemAssigned' $config | New-AzDiskEncryptionSet -ResourceGroupName $ResourceGroupName -Name $diskEncryptionSetName -EncryptionType EncryptionAtRestWithPlatformAndCustomerKeys將 DiskEncryptionSet 資源存取權授與金鑰保存庫。
注意
Azure 可能需要幾分鐘的時間,才能在您的 Microsoft Entra ID 中建立 DiskEncryptionSet 的身分識別。 如果您在執行以下命令時收到「找不到 Active Directory 物件」之類的錯誤,請稍候幾分鐘再重試。
$des=Get-AzDiskEncryptionSet -name $diskEncryptionSetName -ResourceGroupName $ResourceGroupName Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ObjectId $des.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get
下一步
現在您已建立並設定這些資源,接下來即可使用這些資源來保護受控磁碟。 下列連結包含範例指令碼,每個指令碼都有個別的案例,可用來保護受控磁碟。