Vytvoření verze šifrované image s klíči spravovanými zákazníkem

  • Článek

Platí pro: ✔️ Virtuální počítače s Linuxem ✔️ – Flexibilní škálovací sady virtuálních počítačů ✔️ s ✔️ Windows – Jednotné škálovací sady

Image ve službě Azure Compute Gallery (dříve označované jako Shared Image Gallery) se ukládají jako snímky. Tyto image se automaticky šifrují prostřednictvím 256bitového šifrování AES na straně serveru. Šifrování na straně serveru také vyhovuje standardu FIPS 140-2. Další informace o kryptografických modulech, které jsou základem spravovaných disků Azure, najdete v tématu Kryptografické rozhraní API: Nová generace.

Při šifrování imagí se můžete spolehnout na klíče spravované platformou nebo můžete použít vlastní klíče. Obě tyto funkce můžete také použít společně pro zdvojené šifrování. Pokud se rozhodnete spravovat šifrování pomocí vlastních klíčů, můžete zadat klíč spravovaný zákazníkem , který se použije k šifrování a dešifrování všech disků v imagích.

Šifrování na straně serveru prostřednictvím klíčů spravovaných zákazníkem využívá Azure Key Vault. Klíče RSA můžete buď importovat do trezoru klíčů, nebo vygenerovat nové klíče RSA v Azure Key Vault.

Požadavky

Tento článek vyžaduje, abyste už měli v každé oblasti, do které chcete replikovat image, nastavené šifrování disku:

  • Pokud chcete používat jenom klíč spravovaný zákazníkem, přečtěte si články o povolení klíčů spravovaných zákazníkem s šifrováním na straně serveru pomocí Azure Portal nebo PowerShellu.

  • Pokud chcete použít klíče spravované platformou i klíče spravované zákazníkem (pro dvojité šifrování), přečtěte si články o povolení dvojitého šifrování v klidovém stavu pomocí Azure Portal nebo PowerShellu.

    Důležité

    Pro přístup k Azure Portal musíte použít odkazhttps://aka.ms/diskencryptionupdates. Dvojité šifrování neaktivních uložených uložených dat není aktuálně viditelné ve veřejném Azure Portal, pokud tento odkaz nepoužijete.

Omezení

Pokud k šifrování imagí ve službě Azure Compute Gallery používáte klíče spravované zákazníkem, platí následující omezení:

  • Sady šifrovacích klíčů musí být ve stejném předplatném jako vaše image.

  • Sady šifrovacích klíčů jsou místní prostředky, takže každá oblast vyžaduje jinou sadu šifrovacích klíčů.

  • Po použití vlastních klíčů k šifrování image se nemůžete vrátit k použití klíčů spravovaných platformou pro šifrování těchto imagí.

  • Zdroj verze image virtuálního počítače v současné době nepodporuje šifrování klíčů spravovaných zákazníkem.

  • Některé z funkcí, jako je replikace image SSE+CMK, vytvoření image ze šifrovaného disku SSE+CMK atd. nejsou podporovány prostřednictvím portálu.

PowerShell

Pokud chcete zadat sadu šifrování disku pro verzi image, použijte New-AzGalleryImageVersion s parametrem -TargetRegion :


$sourceId = <ID of the image version source>

$osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet'}

$dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet1';Lun=1}

$dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet2';Lun=2}

$dataDiskImageEncryptions = @($dataDiskImageEncryption1,$dataDiskImageEncryption2)

$encryption1 = @{OSDiskImage=$osDiskImageEncryption;DataDiskImages=$dataDiskImageEncryptions}

$region1 = @{Name='West US';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption1}

$eastUS2osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet'}

$eastUS2dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet1';Lun=1}

$eastUS2dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet2';Lun=2}

$eastUS2DataDiskImageEncryptions = @($eastUS2dataDiskImageEncryption1,$eastUS2dataDiskImageEncryption2)

$encryption2 = @{OSDiskImage=$eastUS2osDiskImageEncryption;DataDiskImages=$eastUS2DataDiskImageEncryptions}

$region2 = @{Name='East US 2';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption2}

$targetRegion = @($region1, $region2)


# Create the image
New-AzGalleryImageVersion `
   -ResourceGroupName $rgname `
   -GalleryName $galleryName `
   -GalleryImageDefinitionName $imageDefinitionName `
   -Name $versionName -Location $location `
   -SourceImageId $sourceId `
   -ReplicaCount 2 `
   -StorageAccountType Standard_LRS `
   -PublishingProfileEndOfLifeDate '2020-12-01' `
   -TargetRegion $targetRegion

Vytvoření virtuálního počítače

Virtuální počítač můžete vytvořit z Galerie výpočetních prostředků Azure a pomocí klíčů spravovaných zákazníkem šifrovat disky. Syntaxe je stejná jako vytvoření generalizovaného nebo specializovaného virtuálního počítače z image. Použijte rozšířenou sadu parametrů a přidejte Set-AzVMOSDisk -Name $($vmName +"_OSDisk") -DiskEncryptionSetId $diskEncryptionSet.Id -CreateOption FromImage ji do konfigurace virtuálního počítače.

U datových disků přidejte -DiskEncryptionSetId $setID parametr při použití rutiny Add-AzVMDataDisk.

Rozhraní příkazového řádku

Pokud chcete zadat sadu šifrování disku pro verzi image, použijte příkaz az image gallery create-image-version s parametrem --target-region-encryption . Formát pro --target-region-encryption je seznam klíčů oddělených čárkami pro šifrování disků s operačním systémem a datových disků. Měl by vypadat takto: <encryption set for the OS disk>,<Lun number of the data disk>,<encryption set for the data disk>,<Lun number for the second data disk>,<encryption set for the second data disk>.

Pokud je zdrojem disku s operačním systémem spravovaný disk nebo virtuální počítač, použijte --managed-image k určení zdroje pro verzi image. V tomto příkladu je zdrojem spravovaná image, která má disk s operačním systémem a datový disk v logické jednotce 0. Disk s operačním systémem se zašifruje pomocí sady DiskEncryptionSet1 a datový disk se zašifruje pomocí sady DiskEncryptionSet2.

az sig image-version create \
   -g MyResourceGroup \
   --gallery-image-version 1.0.0 \
   --location westus \
   --target-regions westus=2=standard_lrs eastus2 \
   --target-region-encryption WestUSDiskEncryptionSet1,0,WestUSDiskEncryptionSet2 EastUS2DiskEncryptionSet1,0,EastUS2DiskEncryptionSet2 \
   --gallery-name MyGallery \
   --gallery-image-definition MyImage \
   --managed-image "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/images/myImage"

Pokud je zdrojem disku s operačním systémem snímek, použijte --os-snapshot k určení disku s operačním systémem. Přidejte všechny další snímky datových disků, které by měly být také součástí verze image. Použijte --data-snapshot-luns k určení logické jednotky a použijte --data-snapshots k určení snímků.

V tomto příkladu jsou zdrojem snímky disků. V logické jednotce 0 je disk s operačním systémem a datový disk. Disk s operačním systémem se zašifruje pomocí sady DiskEncryptionSet1 a datový disk se zašifruje pomocí sady DiskEncryptionSet2.

az sig image-version create \
   -g MyResourceGroup \
   --gallery-image-version 1.0.0 \
   --location westus\
   --target-regions westus=2=standard_lrs eastus\
   --target-region-encryption WestUSDiskEncryptionSet1,0,WestUSDiskEncryptionSet2 EastUS2DiskEncryptionSet1,0,EastUS2DiskEncryptionSet2 \
   --os-snapshot "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/snapshots/myOSSnapshot" \
   --data-snapshot-luns 0 \
   --data-snapshots "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/snapshots/myDDSnapshot" \
   --gallery-name MyGallery \
   --gallery-image-definition MyImage

Vytvoření virtuálního počítače

Virtuální počítač můžete vytvořit z Galerie výpočetních prostředků Azure a k šifrování disků použít klíče spravované zákazníkem. Syntaxe je stejná jako vytvoření generalizovaného nebo specializovaného virtuálního počítače s přidáním parametru --os-disk-encryption-set . Pro datové disky přidejte --data-disk-encryption-sets se seznamem sad šifrování disků pro datové disky s oddělovači mezerami.

Portál

Při vytváření verze image na portálu můžete použít šifrovací sady úložiště pomocí karty Šifrování .

  1. Na stránce Vytvořit verzi image vyberte kartu Šifrování .
  2. V části Typ šifrování vyberte Šifrování neaktivních uložených klíčů pomocí klíče spravovaného zákazníkem nebo Dvojité šifrování pomocí klíčů spravovaných platformou a klíčů spravovaných zákazníkem.
  3. Pro každý disk v imagi vyberte z rozevíracího seznamu Sada šifrování disků šifrovací sadu.

Vytvoření virtuálního počítače

Virtuální počítač můžete vytvořit z verze image a k šifrování disků použít klíče spravované zákazníkem. Když vytváříte virtuální počítač na portálu, vyberte na kartě Disky možnost Šifrování neaktivních uložených klíčů pomocí klíčů spravovaných zákazníkem nebo Možnost Typ šifrování dvojitým šifrováním pomocí klíčů spravovaných platformou a klíčů spravovaných zákazníkem. Pak můžete v rozevíracím seznamu vybrat sadu šifrování.

Další kroky

Přečtěte si další informace o šifrování disků na straně serveru.

Informace o tom, jak poskytnout informace o nákupním plánu, najdete v tématu Informace o plánu nákupu Azure Marketplace při vytváření imagí.