Vytvoření a konfigurace trezoru klíčů pro službu Azure Disk Encryption
Platí pro: ✔️ Virtuální počítače s Linuxem ✔️ Flexibilní škálovací sady
Azure Disk Encryption používá Azure Key Vault k řízení a správě klíčů a tajných kódů pro šifrování disků. Další informace o trezorech klíčů najdete v tématu Začínáme s Azure Key Vault a Zabezpečení trezoru klíčů.
Upozornění
- Pokud jste k šifrování virtuálního Azure Disk Encryption používali službu Azure AD, musíte k šifrování virtuálního počítače dál používat tuto možnost. Podrobnosti najdete v tématu Vytvoření a konfigurace trezoru klíčů Azure Disk Encryption službou Azure AD (předchozí verze).
Vytvoření a konfigurace trezoru klíčů pro použití s Azure Disk Encryption zahrnuje tři kroky:
- V případě potřeby vytvoříte skupinu prostředků.
- Vytvoření trezoru klíčů
- Nastavení rozšířených zásad přístupu trezoru klíčů
Tyto kroky jsou znázorněné v následujících rychlých startech:
- Vytvoření a šifrování virtuálního počítače s Linuxem s využitím Azure CLI
- Vytvoření a šifrování virtuálního počítače s Linuxem s využitím Azure PowerShellu
Pokud chcete, můžete také vygenerovat nebo importovat šifrovací klíč klíče (KEK).
Poznámka
Kroky v tomto článku jsou automatizovány ve skriptu rozhraní příkazového řádku Azure Disk Encryption předpoklady a Azure Disk Encryption požadavky skriptu PowerShellu.
Instalace nástrojů a připojení k Azure
Kroky v tomto článku můžete dokončit pomocí Azure CLI, modulu Azure PowerShell Aznebo Azure Portal.
I když je portál přístupný přes prohlížeč, Azure CLI a Azure PowerShell vyžadují místní instalaci. Podrobnosti Azure Disk Encryption v článku o instalaci nástrojů pro Linux.
Připojení k účtu Azure
Před použitím Azure CLI nebo Azure PowerShell se musíte nejprve připojit ke svému předplatnému Azure. Můžete to udělat tak, že se přihlásíte pomocí Azure CLI,přihlásíte se pomocí Azure PowerShellunebo po zobrazení výzvy Azure Portal přihlašovací údaje.
az login
Connect-AzAccount
Vytvoření skupiny prostředků
Pokud už máte skupinu prostředků, můžete přeskočit na vytvoření trezoru klíčů.
Skupina prostředků je logický kontejner, ve kterém se nasazují a spravují prostředky Azure.
Vytvořte skupinu prostředků pomocí příkazu az group create Azure CLI, příkazu New-AzResourceGroup Azure PowerShell nebo z Azure Portal .
Azure CLI
az group create --name "myResourceGroup" --location eastus
Azure PowerShell
New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"
Vytvořte trezor klíčů.
Pokud už máte trezor klíčů, můžete přeskočit na nastavení rozšířených zásad přístupu trezoru klíčů.
Vytvořte trezor klíčů pomocí příkazu az keyvault create Azure CLI, příkazu New-AzKeyvault Azure PowerShell, Azure Portalnebo šablony Resource Manager.
Upozornění
Váš trezor klíčů a virtuální počítače musí být ve stejném předplatném. Aby se také zajistilo, že šifrovací tajné kódy překročí regionální hranice, Azure Disk Encryption vyžaduje, aby Key Vault a virtuální počítače byly umístěné ve stejné oblasti. Vytvořte a použijte Key Vault, která je ve stejném předplatném a oblasti jako virtuální počítače, které se mají šifrovat.
Každý Key Vault musí mít jedinečný název. V <your-unique-keyvault-name> následujících příkladech nahraďte názvem vašeho trezoru klíčů.
Azure CLI
Při vytváření trezoru klíčů pomocí Azure CLI přidejte příznak --enabled-for-disk-encryption.
az keyvault create --name "<your-unique-keyvault-name>" --resource-group "myResourceGroup" --location "eastus" --enabled-for-disk-encryption
Azure PowerShell
Při vytváření trezoru klíčů pomocí Azure PowerShell přidejte příznak -EnabledForDiskEncryption.
New-AzKeyvault -name "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup" -Location "eastus" -EnabledForDiskEncryption
Šablona Resource Manageru
Trezor klíčů můžete vytvořit také pomocí šablony Resource Manager klíčů.
- V šabloně Azure pro rychlý start klikněte na Deploy to Azure (Nasadit do Azure).
- Vyberte předplatné, skupinu prostředků, umístění skupiny prostředků, Key Vault název objektu, ID objektu, právní podmínky a smlouvu a pak klikněte na Koupit.
Nastavte pokročilé zásady přístupu trezoru klíčů.
Platforma Azure potřebuje přístup k šifrovacím klíčům nebo tajným klíčům ve vašem trezoru klíčů, aby je virtuálnímu počítači byla dostupná pro spouštění a dešifrování svazků.
Pokud jste v době vytváření nepomáhoui trezor klíčů pro šifrování disků, nasazení nebo nasazení šablony (jak je znázorněno v předchozím kroku), musíte aktualizovat jeho pokročilé zásady přístupu.
Azure CLI
K povolení šifrování disku pro trezor klíčů použijte az keyvault update.
Povolte Key Vault šifrování disku: Vyžaduje se povolení šifrování disku.
az keyvault update --name "<your-unique-keyvault-name>" --resource-group "MyResourceGroup" --enabled-for-disk-encryption "true"Povolení Key Vault nasazení v případě potřeby: Umožňuje poskytovateli prostředků Microsoft.Compute načítat tajné kódy z tohoto trezoru klíčů, když se na tento trezor odkazuje při vytváření prostředků, například při vytváření virtuálního počítače.
az keyvault update --name "<your-unique-keyvault-name>" --resource-group "MyResourceGroup" --enabled-for-deployment "true"V Key Vault potřeby povolte nasazení šablony: Povolte Resource Manager načítání tajných kódů z trezoru.
az keyvault update --name "<your-unique-keyvault-name>" --resource-group "MyResourceGroup" --enabled-for-template-deployment "true"
Azure PowerShell
K povolení šifrování disku pro trezor klíčů použijte rutinu PowerShellu Set-AzKeyVaultAccessPolicy trezoru klíčů.
Povolte Key Vault šifrování disku: Pro šifrování disků Azure se vyžaduje EnabledForDiskEncryption.
Set-AzKeyVaultAccessPolicy -VaultName "<your-unique-keyvault-name>" -ResourceGroupName "MyResourceGroup" -EnabledForDiskEncryptionPovolení Key Vault nasazení v případě potřeby: Umožňuje poskytovateli prostředků Microsoft.Compute načítat tajné kódy z tohoto trezoru klíčů, když se na tento trezor odkazuje při vytváření prostředků, například při vytváření virtuálního počítače.
Set-AzKeyVaultAccessPolicy -VaultName "<your-unique-keyvault-name>" -ResourceGroupName "MyResourceGroup" -EnabledForDeploymentV Key Vault potřeby povolte nasazení šablony: Umožňuje Azure Resource Manager z tohoto trezoru klíčů získat tajné kódy, když se na tento trezor klíčů odkazuje v nasazení šablony.
Set-AzKeyVaultAccessPolicy -VaultName "<your-unique-keyvault-name>" -ResourceGroupName "MyResourceGroup" -EnabledForTemplateDeployment
portál Azure
Vyberte svůj trezor klíčů, přejděte na Zásady přístupu a kliknutím zobrazte pokročilé zásady přístupu.
Zaškrtněte políčko s popiskem Povolit přístup k Azure Disk Encryption pro šifrování svazků.
Vyberte Povolit přístup k Azure Virtual Machines pro nasazení nebo Povolit přístup k Azure Resource Manager pro nasazení šablony v případě potřeby.
Klikněte na Uložit.
Nastavení šifrovacího klíče klíče (KEK)
Důležité
Účet spuštěný k povolení šifrování disků přes trezor klíčů musí mít oprávnění čtenáře.
Pokud chcete použít šifrovací klíč klíče (KEK) pro další vrstvu zabezpečení šifrovacích klíčů, přidejte do trezoru klíčů klíč KEK. Pokud je zadaný šifrovací klíč klíče, Azure Disk Encryption klíč k zabalení šifrovacích tajných kódů před zápisem do Key Vault.
Nový klíč KEK můžete vygenerovat pomocí příkazu az keyvault key create v Azure CLI, rutiny Azure PowerShell Add-AzKeyVaultKey nebo Azure Portal. Musíte vygenerovat typ klíče RSA. Azure Disk Encryption ještě nepodporuje použití kláves Elliptic Curve.
Místo toho můžete naimportovat klíč KEK z místního modulu hsm pro správu klíčů. Další informace najdete v Key Vault dokumentaci.
Adresy URL klíče KEK trezoru klíčů musí mít verzi. Azure toto omezení pro správu verzí vynucuje. Informace o platném tajném klíči a adresách URL klíče KEK najdete v následujících příkladech:
- Příklad platné adresy URL tajného kódu: https://contosovault.vault.azure.net/secrets/EncryptionSecretWithKek/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
- Příklad platné adresy URL KEK: https://contosovault.vault.azure.net/keys/diskencryptionkek/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Azure Disk Encryption nepodporuje zadávání čísel portů jako součást tajných kódů trezoru klíčů a adres URL klíče KEK. Příklady nepodporující a podporované adresy URL trezoru klíčů najdete v následujících příkladech:
- Přijatelná adresa URL trezoru klíčů: https://contosovault.vault.azure.net/secrets/contososecret/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
- Nepřijatelná adresa URL trezoru klíčů: https://contosovault.vault.azure.net:443/secrets/contososecret/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Azure CLI
Pomocí příkazu az keyvault key create v Azure CLI vygenerujte nový klíč KEK a uložte ho do trezoru klíčů.
az keyvault key create --name "myKEK" --vault-name "<your-unique-keyvault-name>" --kty RSA --size 4096
Privátní klíč můžete místo toho importovat pomocí příkazu az keyvault key import v Azure CLI:
V obou případech zadáte název klíče KEK do azure CLI az vm encryption enable --key-encryption-key parameter.
az vm encryption enable -g "MyResourceGroup" --name "myVM" --disk-encryption-keyvault "<your-unique-keyvault-name>" --key-encryption-key "myKEK"
Azure PowerShell
Pomocí rutiny Azure PowerShell Add-AzKeyVaultKey vygenerujte nový klíč KEK a uložte ho do trezoru klíčů.
Add-AzKeyVaultKey -Name "myKEK" -VaultName "<your-unique-keyvault-name>" -Destination "HSM" -Size 4096
Privátní klíč můžete místo toho importovat pomocí příkazu Azure PowerShell az keyvault key import.
V obou případech zadáte ID trezoru klíčů KEK a adresu URL klíče KEK do parametrů Azure PowerShell Set-AzVMDiskEncryptionExtension -KeyEncryptionKeyVaultId a -KeyEncryptionKeyUrl. Všimněte si, že tento příklad předpokládá, že používáte stejný trezor klíčů pro šifrovací klíč disku i klíč KEK.
$KeyVault = Get-AzKeyVault -VaultName "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup"
$KEK = Get-AzKeyVaultKey -VaultName "<your-unique-keyvault-name>" -Name "myKEK"
Set-AzVMDiskEncryptionExtension -ResourceGroupName MyResourceGroup -VMName "MyVM" -DiskEncryptionKeyVaultUrl $KeyVault.VaultUri -DiskEncryptionKeyVaultId $KeyVault.ResourceId -KeyEncryptionKeyVaultId $KeyVault.ResourceId -KeyEncryptionKeyUrl $KEK.Id -SkipVmBackup -VolumeType All