استخدام المفاتيح التي يديرها العميل لتشفير الصور

مقالة
05/16/2022
قراءة خلال 4 دقائق

ينطبق على: ✔️ أجهزة ظاهرية بنظام التشغيل Linux ✔️ أجهزة ظاهرية بنظام التشغيل Windows ✔️ مجموعات مقياس مرنة ✔️ مجموعات مقياس موحدة

يتم تخزين الصور في Azure Compute Gallery (المعروف سابقاً باسم معرض الصور المشترك) كلقطات، بحيث يتم تشفيرها تلقائياً من خلال التشفير من جانب الخادم. يستخدم التشفير من جانب الخادم تشفير AES 256 بت، وهو أحد أقوى شفرات الكتل المتوفرة. يتوافق التشفير من جانب الخادم أيضاً مع FIPS 140-2. لمزيد من المعلومات حول وحدات التشفير الكامنة في أقراص Azure المُدارة، راجع واجهة برمجة تطبيقات التشفير: الجيل التالي.

يمكنك الاعتماد على المفاتيح المُدارة بواسطة النظام الأساسي لتشفير صورك، أو استخدام المفاتيح الخاصة بك. يمكنك أيضاً استخدام كليهما معاً لتشفير مزدوج. إذا اخترت إدارة التشفير باستخدام المفاتيح الخاصة بك، فيمكنك تحديد مفتاح يديره العميل لاستخدامه في تشفير وفك تشفير جميع الأقراص الموجودة في صورك.

يستخدم التشفير من جانب الخادم من خلال المفاتيح المُدارة بواسطة العميل Azure Key Vault. يمكنك إما استيراد مفاتيح RSA إلى المخزن الرئيسي أو إنشاء مفاتيح RSA جديدة في Azure Key Vault.

المتطلبات الأساسية

تتطلب هذه المقالة أن يكون لديك بالفعل مجموعة تشفير للقرص في كل منطقة تريد نسخ صورتك فيها:

لاستخدام مفتاح مُدار بواسطة العميل فقط، راجع المقالات المتعلقة بتمكين المفاتيح المُدارة بواسطة العميل باستخدام التشفير من جانب الخادم باستخدام مدخل Azure أو PowerShell.
لاستخدام كل من المفاتيح المُدارة بواسطة النظام الأساسي والمفاتيح المُدارة بواسطة العميل (للتشفير المزدوج)، راجع المقالات حول تمكين التشفير المزدوج في حال عدم التشغيل باستخدام مدخل Azure أو PowerShell.

هام

يجب عليك استخدام الارتباط https://aka.ms/diskencryptionupdates للوصول إلى مدخل Azure. التشفير المزدوج غير مرئي حالياً في مدخل Azure العام إلا إذا كنت تستخدم هذا الارتباط.

التقييدات

عندما تستخدم مفاتيح يديرها العميل لتشفير الصور في Azure Compute Gallery، تنطبق هذه القيود:

يجب أن تكون مجموعات مفاتيح التشفير في نفس الاشتراك مثل صورتك.
مجموعات مفاتيح التشفير هي موارد إقليمية، لذلك تتطلب كل منطقة مجموعة مفاتيح تشفير مختلفة.
لا يمكنك نسخ الصور التي تستخدم مفاتيح يديرها العميل أو مشاركتها.
بعد استخدام مفاتيحك الخاصة لتشفير قرص أو صورة، لا يمكنك العودة إلى استخدام المفاتيح المدارة من قبل النظام الأساسي لتشفير تلك الأقراص أو الصور.

PowerShell

لتحديد تعيين تشفير قرص لإصدار صورة، استخدم New-AzGalleryImageVersion مع المعلمة -TargetRegion:


$sourceId = <ID of the image version source>

$osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet'}

$dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet1';Lun=1}

$dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet2';Lun=2}

$dataDiskImageEncryptions = @($dataDiskImageEncryption1,$dataDiskImageEncryption2)

$encryption1 = @{OSDiskImage=$osDiskImageEncryption;DataDiskImages=$dataDiskImageEncryptions}

$region1 = @{Name='West US';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption1}

$eastUS2osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet'}

$eastUS2dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet1';Lun=1}

$eastUS2dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet2';Lun=2}

$eastUS2DataDiskImageEncryptions = @($eastUS2dataDiskImageEncryption1,$eastUS2dataDiskImageEncryption2)

$encryption2 = @{OSDiskImage=$eastUS2osDiskImageEncryption;DataDiskImages=$eastUS2DataDiskImageEncryptions}

$region2 = @{Name='East US 2';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption2}

$targetRegion = @($region1, $region2)


# Create the image
New-AzGalleryImageVersion `
   -ResourceGroupName $rgname `
   -GalleryName $galleryName `
   -GalleryImageDefinitionName $imageDefinitionName `
   -Name $versionName -Location $location `
   -SourceImageId $sourceId `
   -ReplicaCount 2 `
   -StorageAccountType Standard_LRS `
   -PublishingProfileEndOfLifeDate '2020-12-01' `
   -TargetRegion $targetRegion

إنشاء الجهاز الظاهري

يمكنك إنشاء جهاز ظاهري (VM) من Azure Compute Gallery واستخدام المفاتيح التي يديرها العميل لتشفير الأقراص. بناء الجملة هو نفسه إنشاء جهاز ظاهري معمم أو متخصص من صورة. استخدم مجموعة المعلمات الموسعة وأضف Set-AzVMOSDisk -Name $($vmName +"_OSDisk") -DiskEncryptionSetId $diskEncryptionSet.Id -CreateOption FromImage إلى تكوين الجهاز الظاهري.

بالنسبة لأقراص البيانات، أضف المعلمة -DiskEncryptionSetId $setID عند استخدام Add-AzVMDataDisk.

CLI

لتحديد مجموعة تشفير قرص لإصدار صورة، استخدم إنشاء صورة إصدار معرض الصور من az مع المعلمة --target-region-encryption. تنسيق --target-region-encryption هو قائمة مفاتيح مفصولة بفواصل لتشفير نظام التشغيل وأقراص البيانات. يجب أن يبدو مثل هذا: ⁧<encryption set for the OS disk>,<Lun number of the data disk>,<encryption set for the data disk>,<Lun number for the second data disk>,<encryption set for the second data disk>⁩.

إذا كان مصدر قرص نظام التشغيل عبارة عن قرص مُدار أو جهاز ظاهري، فاستخدم --managed-image لتحديد المصدر لإصدار الصورة. في هذا المثال، المصدر عبارة عن صورة مُدارة لها قرص نظام تشغيل وقرص بيانات في LUN 0. سيتم تشفير قرص نظام التشغيل باستخدام DiskEncryptionSet1، وسيتم تشفير قرص البيانات باستخدام DiskEncryptionSet2.

az sig image-version create \
   -g MyResourceGroup \
   --gallery-image-version 1.0.0 \
   --location westus \
   --target-regions westus=2=standard_lrs eastus2 \
   --target-region-encryption WestUSDiskEncryptionSet1,0,WestUSDiskEncryptionSet2 EastUS2DiskEncryptionSet1,0,EastUS2DiskEncryptionSet2 \
   --gallery-name MyGallery \
   --gallery-image-definition MyImage \
   --managed-image "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/images/myImage"

إذا كان مصدر قرص نظام التشغيل عبارة عن لقطة، فاستخدمه --os-snapshot لتحديد قرص نظام التشغيل. إذا كانت هناك لقطات قرص بيانات يجب أن تكون أيضاً جزءاً من إصدار الصورة، فقم بإضافتها. استخدم --data-snapshot-luns لتحديد LUN، واستخدم --data-snapshots لتحديد اللقطات.

في هذا المثال، المصادر هي لقطات القرص. هناك قرص نظام تشغيل وقرص بيانات في LUN 0. سيتم تشفير قرص نظام التشغيل باستخدام DiskEncryptionSet1، وسيتم تشفير قرص البيانات باستخدام DiskEncryptionSet2.

az sig image-version create \
   -g MyResourceGroup \
   --gallery-image-version 1.0.0 \
   --location westus\
   --target-regions westus=2=standard_lrs eastus\
   --target-region-encryption WestUSDiskEncryptionSet1,0,WestUSDiskEncryptionSet2 EastUS2DiskEncryptionSet1,0,EastUS2DiskEncryptionSet2 \
   --os-snapshot "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/snapshots/myOSSnapshot" \
   --data-snapshot-luns 0 \
   --data-snapshots "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/snapshots/myDDSnapshot" \
   --gallery-name MyGallery \
   --gallery-image-definition MyImage

إنشاء جهاز ظاهري

يمكنك إنشاء جهاز ظاهري من Azure Compute Gallery واستخدام المفاتيح التي يديرها العميل لتشفير الأقراص. بناء الجملة هو نفسه إنشاء جهاز ظاهري معمم أو متخصص من صورة. ما عليك سوى إضافة المعلمة --os-disk-encryption-set باستخدام معرف مجموعة التشفير. بالنسبة لأقراص البيانات، أضف --data-disk-encryption-sets قائمة محددة بمساحة لمجموعات تشفير القرص لأقراص البيانات.

المدخل

عند إنشاء إصدار صورتك في المدخل، يمكنك استخدام علامة التبويب تشفير لتطبيق مجموعات تشفير التخزين.

في الصفحة إنشاء إصدار صورة، حدد علامة التبويب تشفير.
في نوع التشفير، حدد التشفير في وضع السكون باستخدام مفتاح يديره العميل أو التشفير المزدوج باستخدام المفاتيح التي يديرها النظام الأساسي والمفاتيح التي يديرها العميل.
بالنسبة لكل قرص في الصورة، حدد مجموعة تشفير من القائمة المنسدلة مجموعة تشفير القرص.

إنشاء جهاز ظاهري

يمكنك إنشاء جهاز ظاهري من إصدار صورة واستخدام المفاتيح التي يديرها العميل لتشفير الأقراص. عند إنشاء الجهاز الظاهري في المدخل، ضمن علامة التبويب الأقراص، حدد التشفير في وضع السكون باستخدام المفاتيح التي يديرها العميل أو التشفير المزدوج باستخدام المفاتيح المدارة من قبل النظام الأساسي والمفاتيح المدارة من قبل العميللنوع التشفير. يمكنك بعد ذلك تحديد مجموعة التشفير من القائمة المنسدلة.

الخطوات التالية

تعرف على المزيد حول تشفير القرص من جانب الخادم.

للحصول على معلومات حول كيفية توفير معلومات خطة الشراء، راجع توفير معلومات خطة شراء Azure Marketplace عند إنشاء الصور.

استخدام المفاتيح التي يديرها العميل لتشفير الصور

هل هذه الصفحة مفيدة؟

المتطلبات الأساسية

التقييدات

PowerShell

إنشاء الجهاز الظاهري

CLI

إنشاء جهاز ظاهري

المدخل

إنشاء جهاز ظاهري

الخطوات التالية