استخدام مدخل Azure CLI لتمكين التشفير المزدوج في وضع السكون للأقراص المُدارة

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

ينطبق على: ✔️ أجهزة Linux الظاهرية ✔️ مجموعات المقياس المرنة

يدعم Azure Disk Storage التشفير المزدوج في وضع السكون للأقراص المُدارة. للحصول على معلومات مفاهيمية حول التشفير المزدوج في وضع السكون، بالإضافة إلى أنواع تشفير الأقراص المُدارة الأخرى، راجع قسم التشفير المزدوج في وضع السكون من مقالة تشفير القرص.

المتطلبات الأساسية

تثبيت أحدث Azure CLI وتسجيل الدخول إلى حساب Azure باستخدام az login.

الشروع في العمل

1. قم بإنشاء مثيل من Azure Key Vault ومفتاح التشفير.

   عند إنشاء مثيل Key Vault، يجب تمكين الحذف المبدئي والحماية من المسح. يضمن الحذف المبدئي أن Key Vault يحتوي على مفتاح محذوف لفترة استبقاء معينة (بشكل افتراضي لمدة 90 يوماً). تضمن الحماية من المسح عدم إمكانية حذف مفتاح محذوف نهائياً حتى انقضاء فترة الاستبقاء. تحميك هذه الإعدادات من فقدان البيانات بسبب الحذف غير المقصود. هذه الإعدادات إلزامية عند استخدام Key Vault لتشفير الأقراص المُدارة.

   subscriptionId=yourSubscriptionID
   rgName=yourResourceGroupName
   location=westcentralus
   keyVaultName=yourKeyVaultName
   keyName=yourKeyName
   diskEncryptionSetName=yourDiskEncryptionSetName
   diskName=yourDiskName
   
   az account set --subscription $subscriptionId
   
   az keyvault create -n $keyVaultName -g $rgName -l $location --enable-purge-protection true --enable-soft-delete true
   
   az keyvault key create --vault-name $keyVaultName -n $keyName --protection software
   

2. قم بإنشاء DiskEncryptionSet مع تعيين encryptionType إلى EncryptionAtRestWithPlatformAndCustomerKeys. استخدم إصدار واجهة برمجة التطبيقات 2020-05-01 في قالب Azure Resource Manager (ARM).

   az deployment group create -g $rgName \
   --template-uri "https://raw.githubusercontent.com/Azure-Samples/managed-disks-powershell-getting-started/master/DoubleEncryption/CreateDiskEncryptionSetForDoubleEncryption.json" \
   --parameters "diskEncryptionSetName=$diskEncryptionSetName" "encryptionType=EncryptionAtRestWithPlatformAndCustomerKeys" "keyVaultId=$keyVaultId" "keyVaultKeyUrl=$keyVaultKeyUrl" "region=$location"
   

3. امنح المورد DiskEncryptionSet حق الوصول إلى مخزن المفاتيح.

   ملاحظة

   قد يستغرق Azure بضع دقائق لإنشاء هوية DiskEncryptionSet في Microsoft Azure Active Directory. إذا تلقيت خطأ مثل "لا يمكن العثور على عنصر Active Directory" عند تشغيل الأمر التالي، فانتظر بضع دقائق وحاول مرة أخرى.

   desIdentity=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [identity.principalId] -o tsv)
   
   az keyvault set-policy -n $keyVaultName -g $rgName --object-id $desIdentity --key-permissions wrapkey unwrapkey get
   

الخطوات التالية

الآن بعد إنشاء هذه الموارد وتكوينها، يمكنك استخدامها لتأمين الأقراص المُدارة. تحتوي الروابط التالية على أمثلة البرامج النصية، لكل منها سيناريو خاص به، يمكنك استخدامه لتأمين الأقراص المُدارة.

• نماذج قالب Azure Resource Manager
• تمكين المفاتيح التي يديرها العميل باستخدام التشفير من جانب الخادم - أمثلة