Kulcstartó létrehozása és konfigurálása az Azure Disk Encryptionhez
Az Azure Disk Encryption az Azure Key Vault használatával vezérli és kezeli a lemeztitkosítási kulcsokat és titkos kulcsokat. További információ a kulcstartókról: Ismerkedés az Azure Key Vault és a Kulcstartó biztonságossá tételével.
Az Azure Disk Encryption használatával történő kulcstartó létrehozása és konfigurálása három lépésből áll:
- Szükség esetén hozzon létre egy erőforráscsoportot.
- Kulcstartó létrehozása.
- A Key Vault speciális hozzáférési szabályzatának beállítása.
Szükség esetén kulcstitkosítási kulcsot (KEK) is létrehozhat vagy importálhat.
Eszközök telepítése és csatlakozás az Azure-hoz
A cikkben ismertetett lépések az Azure CLI-vel, az Azure PowerShell Az modullal vagy a Azure Portal végezhetők el.
Erőforráscsoport létrehozása
Ha már van erőforráscsoportja, ugorjon a Kulcstartó létrehozása elemre.
Az erőforráscsoport olyan logikai tároló, amelybe a rendszer üzembe helyezi és kezeli az Azure-erőforrásokat.
Hozzon létre egy erőforráscsoportot az az group create Azure CLI paranccsal, a New-AzResourceGroup Azure PowerShell paranccsal vagy a Azure Portal.
Azure CLI
az group create --name "myResourceGroup" --location eastus
Azure PowerShell
New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"
Kulcstartó létrehozása
Ha már rendelkezik kulcstartóval, ugorjon a Kulcstartó speciális hozzáférési szabályzatok beállítása elemre.
Hozzon létre egy kulcstartót az az keyvault create Azure CLI-paranccsal, a New-AzKeyvault Azure PowerShell paranccsal, a Azure Portal vagy egy Resource Manager sablonnal.
Figyelmeztetés
Annak érdekében, hogy a titkosítási titkos kulcsok ne lépik át a regionális határokat, létre kell hoznia és használnia kell egy kulcstartót, amely ugyanabban a régióban és bérlőben található, mint a titkosítandó virtuális gépek.
Minden Key Vault egyedi névvel kell rendelkeznie. Cserélje le <a saját-unique-keyvault-name> értékét a kulcstartó nevére az alábbi példákban.
Azure CLI
Amikor kulcstartót hoz létre az Azure CLI használatával, adja hozzá az "--enabled-for-disk-encryption" jelzőt.
az keyvault create --name "<your-unique-keyvault-name>" --resource-group "myResourceGroup" --location "eastus" --enabled-for-disk-encryption
Azure PowerShell
Amikor kulcstartót hoz létre Azure PowerShell használatával, adja hozzá az "-EnabledForDiskEncryption" jelzőt.
New-AzKeyvault -name "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup" -Location "eastus" -EnabledForDiskEncryption
Resource Manager-sablon
Kulcstartót a Resource Manager sablonnal is létrehozhat.
- Az Azure rövid útmutató sablonjában kattintson az Üzembe helyezés az Azure-ban elemre.
- Válassza ki az előfizetést, az erőforráscsoportot, az erőforráscsoport helyét, Key Vault nevét, az objektumazonosítót, a jogi feltételeket és a szerződést, majd kattintson a Vásárlás gombra.
A kulcstartó speciális hozzáférési szabályzatainak beállítása
Fontos
Az újonnan létrehozott kulcstartók alapértelmezés szerint helyreállítható törléssel rendelkeznek. Ha már meglévő kulcstartót használ, engedélyeznie kell a helyreállítható törlést. Lásd: Az Azure Key Vault helyreállítható törlés áttekintése.
Az Azure-platformnak hozzá kell férnie a kulcstartóban található titkosítási kulcsokhoz vagy titkos kulcsokhoz, hogy elérhetővé tegye őket a virtuális gép számára a kötetek indításához és visszafejtéséhez.
Ha nem engedélyezte a kulcstartót a lemeztitkosításhoz, az üzembe helyezéshez vagy a sablon üzembe helyezéséhez a létrehozáskor (az előző lépésben bemutatott módon), frissítenie kell a speciális hozzáférési szabályzatait.
Azure CLI
Az az keyvault update használatával engedélyezze a lemeztitkosítást a kulcstartóhoz.
Key Vault engedélyezése lemeztitkosításhoz: Engedélyezve van a lemezre történő titkosítás.
az keyvault update --name "<your-unique-keyvault-name>" --resource-group "MyResourceGroup" --enabled-for-disk-encryption "true"Engedélyezze a Key Vault üzembe helyezéshez, ha szükséges: Engedélyezi a Microsoft.Compute erőforrás-szolgáltató számára, hogy titkos kulcsokat kérjen le ebből a kulcstartóból, amikor erre a kulcstartóra hivatkozik az erőforrás-létrehozás során, például virtuális gép létrehozásakor.
az keyvault update --name "<your-unique-keyvault-name>" --resource-group "MyResourceGroup" --enabled-for-deployment "true"Ha szükséges, engedélyezze Key Vault sablon üzembe helyezéséhez: Engedélyezze Resource Manager titkos kulcsok lekérését a tárolóból.
az keyvault update --name "<your-unique-keyvault-name>" --resource-group "MyResourceGroup" --enabled-for-template-deployment "true"
Azure PowerShell
Használja a Key Vault Set-AzKeyVaultAccessPolicy PowerShell-parancsmagját a kulcstartó lemeztitkosításának engedélyezéséhez.
Key Vault engedélyezése lemeztitkosításhoz: Az Azure Disk titkosításához enabledForDiskEncryption szükséges.
Set-AzKeyVaultAccessPolicy -VaultName "<your-unique-keyvault-name>" -ResourceGroupName "MyResourceGroup" -EnabledForDiskEncryptionEngedélyezze a Key Vault üzembe helyezéshez, ha szükséges: Engedélyezi a Microsoft.Compute erőforrás-szolgáltató számára, hogy titkos kulcsokat kérjen le ebből a kulcstartóból, amikor erre a kulcstartóra hivatkozik az erőforrás-létrehozás során, például virtuális gép létrehozásakor.
Set-AzKeyVaultAccessPolicy -VaultName "<your-unique-keyvault-name>" -ResourceGroupName "MyResourceGroup" -EnabledForDeploymentHa szükséges, engedélyezze a Key Vault sablon üzembe helyezéséhez: Lehetővé teszi, hogy az Azure Resource Manager titkos kulcsokat kérjen le erről a kulcstartóról, ha erre a kulcstartóra egy sablontelepítés hivatkozik.
Set-AzKeyVaultAccessPolicy -VaultName "<your-unique-keyvault-name>" -ResourceGroupName "MyResourceGroup" -EnabledForTemplateDeployment
Azure Portal
Válassza ki a kulcstartót, és lépjen a Hozzáférési szabályzatok elemre.
A "Hozzáférés engedélyezése" területen jelölje be az Azure Disk Encryption kötettitkosításhoz feliratú jelölőnégyzetet.
Ha szükséges, válassza az Azure Virtual Machines lehetőséget az üzembe helyezéshez és/vagy az Azure Resource Manager sablon üzembe helyezéséhez.
Kattintson a Mentés gombra.
Azure Disk Encryption és automatikus rotáció
Bár az Azure Key Vault már rendelkezik kulcsok automatikus rotálásával, jelenleg nem kompatibilis az Azure Disk Encryption szolgáltatással. Pontosabban az Azure Disk Encryption továbbra is az eredeti titkosítási kulcsot fogja használni, még az automatikus elforgatás után is.
A titkosítási kulcs rotálása nem szakítja meg az Azure Disk Encryptiont, de a "régi" titkosítási kulcs letiltása (vagyis az Azure Disk Encryption még mindig használja a kulcsot) le lesz tiltva.
Kulcstitkosítási kulcs (KEK) beállítása
Fontos
A kulcstartón keresztüli lemeztitkosítás engedélyezéséhez futó fióknak "olvasó" engedélyekkel kell rendelkeznie.
Ha kulcstitkosítási kulcsot (KEK) szeretne használni a titkosítási kulcsok további biztonsági rétegéhez, adjon hozzá egy KEK-t a kulcstartóhoz. Kulcstitkosítási kulcs megadásakor az Azure Disk Encryption ezzel a kulccsal burkolja be a titkosítási titkos kódokat, mielőtt Key Vault ír.
Új KEK-t az Azure CLI-paranccsalaz keyvault key create, a Azure PowerShell Add-AzKeyVaultKey parancsmaggal vagy a Azure Portal hozhat létre. RsA-kulcstípust kell létrehoznia; Az Azure Disk Encryption jelenleg nem támogatja az elliptikus görbe kulcsok használatát.
Ehelyett importálhat egy KEK-et a helyszíni kulcskezelő HSM-ből. További információ: Key Vault Dokumentáció.
A kulcstartó KEK URL-címeinek verziószámozottnak kell lenniük. Az Azure kikényszeríti ezt a verziószámozási korlátozást. Érvényes titkos kódok és KEK URL-címekért tekintse meg az alábbi példákat:
- Példa egy érvényes titkos URL-címre: https://contosovault.vault.azure.net/secrets/EncryptionSecretWithKek/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
- Példa érvényes KEK URL-címre: https://contosovault.vault.azure.net/keys/diskencryptionkek/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Azure CLI
Az Azure CLI-paranccsal az keyvault key create hozzon létre egy új KEK-t, és tárolja azt a kulcstartóban.
az keyvault key create --name "myKEK" --vault-name "<your-unique-keyvault-name>" --kty RSA --size 4096
Ehelyett importálhat egy titkos kulcsot az Azure CLI az keyvault key import paranccsal:
Mindkét esetben meg kell adnia a KEK nevét az Azure CLI az vm encryption enable --key-encryption-key paraméternek.
az vm encryption enable -g "MyResourceGroup" --name "myVM" --disk-encryption-keyvault "<your-unique-keyvault-name>" --key-encryption-key "myKEK"
Azure PowerShell
Az Azure PowerShell Add-AzKeyVaultKey parancsmaggal hozzon létre egy új KEK-t, és tárolja azt a kulcstartóban.
Add-AzKeyVaultKey -Name "myKEK" -VaultName "<your-unique-keyvault-name>" -Destination "HSM" -Size 4096
Ehelyett importálhat egy titkos kulcsot a Azure PowerShell az keyvault key import paranccsal.
Mindkét esetben meg kell adnia a KEK-kulcstartó azonosítóját és a KEK URL-címét a Azure PowerShell Set-AzVMDiskEncryptionExtension -KeyEncryptionKeyVaultId és -KeyEncryptionKeyUrl paramétereknek. Ez a példa feltételezi, hogy ugyanazt a kulcstartót használja a lemeztitkosítási kulcshoz és a KEK-hez is.
$KeyVault = Get-AzKeyVault -VaultName "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup"
$KEK = Get-AzKeyVaultKey -VaultName "<your-unique-keyvault-name>" -Name "myKEK"
Set-AzVMDiskEncryptionExtension -ResourceGroupName MyResourceGroup -VMName "MyVM" -DiskEncryptionKeyVaultUrl $KeyVault.VaultUri -DiskEncryptionKeyVaultId $KeyVault.ResourceId -KeyEncryptionKeyVaultId $KeyVault.ResourceId -KeyEncryptionKeyUrl $KEK.Id -SkipVmBackup -VolumeType All