Použití Azure CLI k povolení dvojitého šifrování neaktivních uložených uložených dat pro spravované disky

  • Článek

Platí pro: ✔️ Flexibilní škálovací sady virtuálních počítačů s Linuxem ✔️

Azure Disk Storage podporuje dvojité šifrování neaktivních uložených uložených dat pro spravované disky. Koncepční informace o šifrování neaktivních uložených dat a dalších typech šifrování spravovaných disků najdete v části Dvojité šifrování neaktivních uložených dat v článku o šifrování disku.

Omezení

U disků Úrovně Ultra nebo disků SSD úrovně Premium v2 se v současné době nepodporuje dvojité šifrování neaktivních uložených dat.

Předpoklady

Nainstalujte nejnovější Azure CLI a přihlaste se k účtu Azure pomocí příkazu az login.

Začínáme

  1. Vytvořte instanci služby Azure Key Vault a šifrovací klíč.

    Při vytváření instance služby Key Vault musíte povolit ochranu obnovitelného odstranění a vymazání. Obnovitelné odstranění zajišťuje, že služba Key Vault uchovává odstraněný klíč pro danou dobu uchovávání (výchozí nastavení 90 dnů). Ochrana před vymazáním zajistí, že odstraněný klíč nebude možné trvale odstranit, dokud nevydržuje doba uchovávání informací. Tato nastavení chrání před ztrátou dat z důvodu náhodného odstranění. Tato nastavení jsou povinná při použití služby Key Vault pro šifrování spravovaných disků.

    subscriptionId=yourSubscriptionID
rgName=yourResourceGroupName
location=westcentralus
keyVaultName=yourKeyVaultName
keyName=yourKeyName
diskEncryptionSetName=yourDiskEncryptionSetName
diskName=yourDiskName

az account set --subscription $subscriptionId

az keyvault create -n $keyVaultName -g $rgName -l $location --enable-purge-protection true --enable-soft-delete true

az keyvault key create --vault-name $keyVaultName -n $keyName --protection software

  2. Získejte adresu URL klíče klíče, který jste vytvořili pomocí az keyvault key show.

    az keyvault key show --name $keyName --vault-name $keyVaultName

  3. Vytvořte DiskEncryptionSet s typem encryptionType nastaveným jako EncryptionAtRestWithPlatformAndCustomerKeys. Nahraďte yourKeyURL adresou URL, kterou jste dostali od az keyvault key show.

    az disk-encryption-set create --resource-group $rgName --name $diskEncryptionSetName --key-url yourKeyURL --source-vault $keyVaultName --encryption-type EncryptionAtRestWithPlatformAndCustomerKeys

  4. Udělte prostředku DiskEncryptionSet přístup k trezoru klíčů.

    Poznámka:

    Vytvoření identity diskEncryptionSet ve vašem ID Microsoft Entra může trvat několik minut. Pokud se při spuštění následujícího příkazu zobrazí chyba Typu Nejde najít objekt služby Active Directory, počkejte několik minut a zkuste to znovu.

    desIdentity=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [identity.principalId] -o tsv)

az keyvault set-policy -n $keyVaultName -g $rgName --object-id $desIdentity --key-permissions wrapkey unwrapkey get

Další kroky

Teď, když jste tyto prostředky vytvořili a nakonfigurovali, můžete je použít k zabezpečení spravovaných disků. Následující odkazy obsahují ukázkové skripty, z nichž každý má odpovídající scénář, který můžete použít k zabezpečení spravovaných disků.