使用 Azure CLI,為受控磁碟啟用待用雙重加密
適用於:✔️ Linux VM ✔️ 彈性擴展集
Azure 磁碟儲存體支援受控磁碟的待用雙重加密。 如需有關待用雙重加密和其他受控磁碟加密類型的概念資訊,請參閱磁碟加密文章的待用雙重加密一節。
限制
Ultra 磁碟或進階 SSD v2 磁碟目前不支援待用雙重加密。
必要條件
安裝最新的 Azure CLI,並使用 az login 登入 Azure 帳戶。
開始使用
建立 Azure Key Vault 執行個體和加密金鑰。
建立 Key Vault 執行個體時,您必須啟用虛刪除和清除保護。 虛刪除可確保 Key Vault 將已刪除的金鑰保留一段指定的保留期間 (預設為 90 天)。 清除保護可確保已刪除的金鑰在保留期限結束之前,無法永久刪除。 這些設定可防止您因為意外刪除而遺失資料。 使用 Key Vault 來加密受控磁碟時,必須使用這些設定。
subscriptionId=yourSubscriptionID rgName=yourResourceGroupName location=westcentralus keyVaultName=yourKeyVaultName keyName=yourKeyName diskEncryptionSetName=yourDiskEncryptionSetName diskName=yourDiskName az account set --subscription $subscriptionId az keyvault create -n $keyVaultName -g $rgName -l $location --enable-purge-protection true --enable-soft-delete true az keyvault key create --vault-name $keyVaultName -n $keyName --protection software取得您使用
az keyvault key show建立之金鑰的金鑰 URL。az keyvault key show --name $keyName --vault-name $keyVaultName建立 DiskEncryptionSet,並將 encryptionType 設定為 EncryptionAtRestWithPlatformAndCustomerKeys。 將
yourKeyURL取代為您從az keyvault key show收到的 URL。az disk-encryption-set create --resource-group $rgName --name $diskEncryptionSetName --key-url yourKeyURL --source-vault $keyVaultName --encryption-type EncryptionAtRestWithPlatformAndCustomerKeys將 DiskEncryptionSet 資源存取權授與金鑰保存庫。
注意
Azure 可能需要幾分鐘的時間,才能在您的 Microsoft Entra ID 中建立 DiskEncryptionSet 的身分識別。 如果您在執行以下命令時收到「找不到 Active Directory 物件」之類的錯誤,請稍候幾分鐘再重試。
desIdentity=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [identity.principalId] -o tsv) az keyvault set-policy -n $keyVaultName -g $rgName --object-id $desIdentity --key-permissions wrapkey unwrapkey get
下一步
現在您已建立並設定這些資源,接下來即可使用這些資源來保護受控磁碟。 下列連結包含範例指令碼,每個指令碼都有個別的案例,可用來保護受控磁碟。