Použití Azure CLI k povolení dvojitého šifrování neaktivních uložených uložených dat pro spravované disky
Platí pro: ✔️ Flexibilní škálovací sady virtuálních počítačů s Linuxem ✔️
Azure Disk Storage podporuje dvojité šifrování neaktivních uložených uložených dat pro spravované disky. Koncepční informace o šifrování neaktivních uložených dat a dalších typech šifrování spravovaných disků najdete v části Dvojité šifrování neaktivních uložených dat v článku o šifrování disku.
Omezení
U disků Úrovně Ultra nebo disků SSD úrovně Premium v2 se v současné době nepodporuje dvojité šifrování neaktivních uložených dat.
Předpoklady
Nainstalujte nejnovější Azure CLI a přihlaste se k účtu Azure pomocí příkazu az login.
Začínáme
Vytvořte instanci služby Azure Key Vault a šifrovací klíč.
Při vytváření instance služby Key Vault musíte povolit ochranu obnovitelného odstranění a vymazání. Obnovitelné odstranění zajišťuje, že služba Key Vault uchovává odstraněný klíč pro danou dobu uchovávání (výchozí nastavení 90 dnů). Ochrana před vymazáním zajistí, že odstraněný klíč nebude možné trvale odstranit, dokud nevydržuje doba uchovávání informací. Tato nastavení chrání před ztrátou dat z důvodu náhodného odstranění. Tato nastavení jsou povinná při použití služby Key Vault pro šifrování spravovaných disků.
subscriptionId=yourSubscriptionID rgName=yourResourceGroupName location=westcentralus keyVaultName=yourKeyVaultName keyName=yourKeyName diskEncryptionSetName=yourDiskEncryptionSetName diskName=yourDiskName az account set --subscription $subscriptionId az keyvault create -n $keyVaultName -g $rgName -l $location --enable-purge-protection true --enable-soft-delete true az keyvault key create --vault-name $keyVaultName -n $keyName --protection software
Získejte adresu URL klíče klíče, který jste vytvořili pomocí
az keyvault key show
.az keyvault key show --name $keyName --vault-name $keyVaultName
Vytvořte DiskEncryptionSet s typem encryptionType nastaveným jako EncryptionAtRestWithPlatformAndCustomerKeys. Nahraďte
yourKeyURL
adresou URL, kterou jste dostali odaz keyvault key show
.az disk-encryption-set create --resource-group $rgName --name $diskEncryptionSetName --key-url yourKeyURL --source-vault $keyVaultName --encryption-type EncryptionAtRestWithPlatformAndCustomerKeys
Udělte prostředku DiskEncryptionSet přístup k trezoru klíčů.
Poznámka:
Vytvoření identity diskEncryptionSet ve vašem ID Microsoft Entra může trvat několik minut. Pokud se při spuštění následujícího příkazu zobrazí chyba Typu Nejde najít objekt služby Active Directory, počkejte několik minut a zkuste to znovu.
desIdentity=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [identity.principalId] -o tsv) az keyvault set-policy -n $keyVaultName -g $rgName --object-id $desIdentity --key-permissions wrapkey unwrapkey get
Další kroky
Teď, když jste tyto prostředky vytvořili a nakonfigurovali, můžete je použít k zabezpečení spravovaných disků. Následující odkazy obsahují ukázkové skripty, z nichž každý má odpovídající scénář, který můžete použít k zabezpečení spravovaných disků.