استخدام وحدة Azure PowerShell النمطية لتمكين التشفير المزدوج في وضع السكون للأقراص المُدارة

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

ينطبق على: ✔️ أجهزة Windows الظاهرية

يدعم Azure Disk Storage التشفير المزدوج في وضع السكون للأقراص المُدارة. للحصول على معلومات مفاهيمية حول التشفير المزدوج في وضع السكون، بالإضافة إلى أنواع تشفير الأقراص المُدارة الأخرى، راجع قسم التشفير المزدوج في وضع السكون من مقالة تشفير القرص.

المتطلبات الأساسية

قم بتثبيت أحدث إصدار من Azure PowerShell، وقم بتسجيل الدخول إلى حساب Azure باستخدام Connect-AzAccount.

الشروع في العمل

1. قم بإنشاء مثيل من Azure Key Vault ومفتاح التشفير.

   عند إنشاء مثيل Key Vault، يجب تمكين الحماية من الحذف المبدئي والمسح. يضمن الحذف المبدئي أن Key Vault يحتوي على مفتاح محذوف لفترة استبقاء معينة (بشكل افتراضي لمدة 90 يوماً). تضمن الحماية من المسح عدم إمكانية حذف مفتاح محذوف نهائياً حتى انقضاء فترة الاستبقاء. تحميك هذه الإعدادات من فقدان البيانات بسبب الحذف غير المقصود. هذه الإعدادات إلزامية عند استخدام Key Vault لتشفير الأقراص المُدارة.

   $ResourceGroupName="yourResourceGroupName"
   $LocationName="westus2"
   $keyVaultName="yourKeyVaultName"
   $keyName="yourKeyName"
   $keyDestination="Software"
   $diskEncryptionSetName="yourDiskEncryptionSetName"
   
   $keyVault = New-AzKeyVault -Name $keyVaultName -ResourceGroupName $ResourceGroupName -Location $LocationName -EnableSoftDelete -EnablePurgeProtection
   
   $key = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyName -Destination $keyDestination  
   

2. قم بإنشاء DiskEncryptionSet مع تعيين encryptionType إلى EncryptionAtRestWithPlatformAndCustomerKeys. استخدم إصدار واجهة برمجة التطبيقات 2020-05-01 في قالب Azure Resource Manager (ARM).

   New-AzResourceGroupDeployment -ResourceGroupName $ResourceGroupName `
   -TemplateUri "https://raw.githubusercontent.com/Azure-Samples/managed-disks-powershell-getting-started/master/DoubleEncryption/CreateDiskEncryptionSetForDoubleEncryption.json" `
   -diskEncryptionSetName $diskEncryptionSetName `
   -keyVaultId $keyVault.ResourceId `
   -keyVaultKeyUrl $key.Key.Kid `
   -encryptionType "EncryptionAtRestWithPlatformAndCustomerKeys" `
   -region $LocationName
   

3. امنح المورد DiskEncryptionSet حق الوصول إلى مخزن المفاتيح.

   ملاحظة

   قد يستغرق Azure بضع دقائق لإنشاء هوية DiskEncryptionSet في Microsoft Azure Active Directory. إذا تلقيت خطأ مثل "لا يمكن العثور على عنصر Active Directory" عند تشغيل الأمر التالي، فانتظر بضع دقائق وحاول مرة أخرى.

   $des=Get-AzDiskEncryptionSet -name $diskEncryptionSetName -ResourceGroupName $ResourceGroupName
   Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ObjectId $des.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get
   

الخطوات التالية

الآن بعد إنشاء هذه الموارد وتكوينها، يمكنك استخدامها لتأمين الأقراص المُدارة. تحتوي الروابط التالية على أمثلة على البرامج النصية، لكل منها سيناريو خاص به، يمكنك استخدامه لتأمين الأقراص المُدارة.

• Azure PowerShell - تمكين المفاتيح المُدارة من قِبل العميل باستخدام التشفير من جانب الخادم - الأقراص المُدارة
• نماذج قالب Azure Resource Manager