Gunakan modul Azure PowerShell untuk mengaktifkan enkripsi ganda saat tidak aktif untuk disk terkelola

Berlaku untuk:✔️ ️ VM Windows

Azure Disk Storage mendukung enkripsi ganda saat istirahat untuk disk terkelola. Untuk informasi konseptual tentang enkripsi ganda saat tidak aktif, dan jenis enkripsi disk terkelola lainnya, lihat bagian Enkripsi ganda saat tidak aktif di artikel enkripsi disk kami.

Batasan

Enkripsi ganda saat tidak aktif saat ini tidak didukung dengan disk Ultra Disk atau Premium SSD v2.

Prasyarat

Pasang Azure PowerShell versi terbaru, dan masuk ke akun Azure menggunakan Connect-AzAccount.

Memulai

1. Buat instans Azure Key Vault dan kunci enkripsi.

   Saat membuat instans Azure Key Vault, Anda harus mengaktifkan penghapusan sementara dan perlindungan pembersihan. Penghapusan sementara memastikan bahwa Azure Key Vault memegang kunci yang dihapus untuk periode retensi tertentu (default 90 hari). Perlindungan penghapusan menyeluruh memastikan bahwa kunci yang dihapus tidak dapat dihapus secara permanen hingga periode retensi berakhir. Pengaturan ini melindungi Anda dari kehilangan data karena tidak sengaja terhapus. Pengaturan ini wajib dilakukan ketika menggunakan Azure Key Vault untuk mengenkripsi disk terkelola.

   $ResourceGroupName="yourResourceGroupName"
   $LocationName="westus2"
   $keyVaultName="yourKeyVaultName"
   $keyName="yourKeyName"
   $keyDestination="Software"
   $diskEncryptionSetName="yourDiskEncryptionSetName"
   
   $keyVault = New-AzKeyVault -Name $keyVaultName -ResourceGroupName $ResourceGroupName -Location $LocationName -EnableSoftDelete -EnablePurgeProtection
   
   $key = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyName -Destination $keyDestination  
   

2. Ambil URL untuk kunci yang Anda buat, Anda akan memerlukannya untuk perintah berikutnya. Output ID dari Get-AzKeyVaultKey adalah URL kunci.

   Get-AzKeyVaultKey -VaultName $keyVaultName -KeyName $keyName
   

3. Dapatkan ID sumber daya untuk instans Key Vault yang Anda buat, Anda akan memerlukannya untuk perintah berikutnya.

   Get-AzKeyVault -VaultName $keyVaultName
   

4. Buat DiskEncryptionSet dengan set encryptionType sebagai EncryptionAtRestWithPlatformAndCustomerKeys. Ganti yourKeyURL dan yourKeyVaultURL dengan URL yang Anda ambil sebelumnya.

   $config = New-AzDiskEncryptionSetConfig -Location $locationName -KeyUrl "yourKeyURL" -SourceVaultId 'yourKeyVaultURL' -IdentityType 'SystemAssigned'
   
   $config | New-AzDiskEncryptionSet -ResourceGroupName $ResourceGroupName -Name $diskEncryptionSetName -EncryptionType EncryptionAtRestWithPlatformAndCustomerKeys
   

5. Berikan akses DiskEncryptionSet akses sumber daya ke brankas kunci.

   Catatan

   Mungkin perlu waktu beberapa menit bagi Azure untuk membuat identitas DiskEncryptionSet Anda di ID Microsoft Entra Anda. Jika Anda mendapatkan kesalahan seperti "Tidak dapat menemukan objek Direktori Aktif" saat menjalankan perintah berikut, tunggu beberapa menit dan coba lagi.

   $des=Get-AzDiskEncryptionSet -name $diskEncryptionSetName -ResourceGroupName $ResourceGroupName
   Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ObjectId $des.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get
   

Langkah berikutnya

Setelah membuat dan mengonfigurasi sumber daya ini, Anda dapat menggunakannya untuk mengamankan disk yang terkelola. Tautan berikut berisi contoh skrip, masing-masing dengan setiap skenario, yang dapat Anda gunakan untuk mengamankan disk terkelola Anda.

• Azure PowerShell - Mengaktifkan kunci yang dikelola pelanggan dengan enkripsi sisi server - disk terkelola
• Sampel templat Azure Resource Manager