Een sleutelkluis maken en configureren voor Azure Disk Encryption op een Windows-VM
Van toepassing op: ✔️ Windows virtuele heavy_check_mark: flexibele schaalsets
Azure Disk Encryption gebruikt Azure Key Vault om sleutels en geheimen voor schijfversleuteling te beheren. Zie Aan de slag met Azure Key Vault en Uw sleutelkluis beveiligen voor meer informatie over sleutelkluizen.
Waarschuwing
- Als u eerder een Azure Disk Encryption Azure AD hebt gebruikt om een VM te versleutelen, moet u deze optie blijven gebruiken om uw VM te versleutelen. Zie Een sleutelkluis maken en configureren voor Azure Disk Encryption met Azure AD (vorige versie) voor meer informatie.
Een sleutelkluis maken en configureren voor gebruik met Azure Disk Encryption bestaat uit drie stappen:
Notitie
U moet de optie selecteren in de instellingen Azure Key Vault toegangsbeleid om toegang tot Azure Disk Encryption voor volumeversleuteling in te stellen. Als u de firewall in de sleutelkluis hebt ingeschakeld, moet u naar het tabblad Netwerken in de sleutelkluis gaan en toegang tot vertrouwde Microsoft-services inschakelen.
- Een resourcegroep maken, indien nodig.
- Een sleutelkluis maken.
- Geavanceerd toegangsbeleid voor sleutelkluis instellen.
Deze stappen worden geïllustreerd in de volgende quickstarts:
- Een virtuele Windows-machine maken en versleutelen met behulp van Azure CLI
- Een virtuele Windows-machine maken en versleutelen met behulp van Azure PowerShell
U kunt eventueel ook een sleutelversleutelingssleutel genereren of importeren (KEK).
Notitie
De stappen in dit artikel worden geautomatiseerd in het CLI Azure Disk Encryption script met vereisten en Azure Disk Encryption PowerShell-script.
Hulpprogramma's installeren en verbinding maken met Azure
U kunt de stappen in dit artikel voltooien met de Azure CLI, de Azure PowerShell AZ-module of de Azure-portal.
Hoewel de portal toegankelijk is via uw browser, is voor Azure CLI en Azure PowerShell lokale installatie vereist; zie Azure Disk Encryption voor Windows: Hulpprogramma's installeren voor meer informatie.
Verbinding maken met uw Azure-account
Voordat u de Azure CLI of Azure PowerShell gebruikt, moet u eerst verbinding maken met uw Azure-abonnement. U doet dit door u aan te melden met Azure CLI,u aan te melden met Azure Powershellof door uw referenties op te geven aan de Azure Portal wanneer u hierom wordt gevraagd.
az login
Connect-AzAccount
Een resourcegroep maken
Als u al een resourcegroep hebt, kunt u verdergaan naar Een sleutelkluis maken.
Een resourcegroep is een logische container waarin Azure-resources worden geïmplementeerd en beheerd.
Maak een resourcegroep met behulp van de Azure CLI-opdracht az group create, de Azure PowerShell-opdracht New-AzResourceGroup of vanuit de Azure-portal.
Azure CLI
az group create --name "myResourceGroup" --location eastus
Azure PowerShell
New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"
Een sleutelkluis maken
Als u al een sleutelkluis hebt, kunt u verdergaan naar Set key vault advanced access policies (Geavanceerde toegangsbeleidsregels voor sleutelkluizen instellen).
Maak een sleutelkluis met behulp van de Azure CLI-opdracht az keyvault create, de opdracht New-AzKeyvault Azure PowerShell, de Azure Portal ofeen Resource Manager sjabloon.
Waarschuwing
Uw sleutelkluis en VM's moeten deel uitmaken van hetzelfde abonnement. Om ervoor te zorgen dat versleutelingsgeheimen geen regionale grenzen overschrijden, vereist Azure Disk Encryption dat de sleutelkluis en de virtuele machines in dezelfde regio staan. Maak en gebruik een sleutelkluis die zich in hetzelfde abonnement en dezelfde regio bevindt als de virtuele machines die moeten worden versleuteld.
Elke sleutelkluis moet een unieke naam hebben. Vervang in de volgende voorbeelden door de naam van <your-unique-keyvault-name> uw sleutelkluis.
Azure CLI
Wanneer u een sleutelkluis maakt met behulp van Azure CLI, voegt u de vlag --enabled-for-disk-encryption toe.
az keyvault create --name "<your-unique-keyvault-name>" --resource-group "myResourceGroup" --location "eastus" --enabled-for-disk-encryption
Azure PowerShell
Wanneer u een sleutelkluis maakt met behulp van Azure PowerShell, voegt u de vlag -EnabledForDiskEncryption toe.
New-AzKeyvault -name "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup" -Location "eastus" -EnabledForDiskEncryption
Resource Manager-sjabloon
U kunt ook een sleutelkluis maken met behulp van een Resource Manager-sjabloon.
- Klik in de quickstart-sjabloon van Azure op Implementeren naar Azure.
- Selecteer het abonnement, de resourcegroep, de locatie van de resourcegroep, de naam van de sleutelkluis, de object-id, de juridische voorwaarden en de overeenkomst en klik vervolgens op Aankoop.
Geavanceerd toegangsbeleid voor de sleutelkluis instellen
Het Azure-platform heeft toegang nodig tot de versleutelingssleutels of geheimen in uw sleutelkluis om ze beschikbaar te maken voor de VM voor het opstarten en ontsleutelen van de volumes.
Als u de sleutelkluis voor schijfversleuteling, implementatie of sjabloonimplementatie niet hebt ingeschakeld tijdens het maken (zoals in de vorige stap is uitgelegd), moet u het bijbehorende geavanceerde toegangsbeleid bijwerken.
Azure CLI
Gebruik az keyvault update om schijfversleuteling in te schakelen voor de sleutelkluis.
Key Vault inschakelen voor schijfversleuteling: Enabled-for-disk-encryption is vereist.
az keyvault update --name "<your-unique-keyvault-name>" --resource-group "MyResourceGroup" --enabled-for-disk-encryption "true"Key Vault inschakelen voor implementatie, indien nodig: Hiermee kan de resourceprovider Microsoft.Compute geheimen ophalen van deze sleutelkluis wanneer er naar deze sleutelkluis wordt verwezen bij het maken van een resource, bijvoorbeeld een virtuele machine.
az keyvault update --name "<your-unique-keyvault-name>" --resource-group "MyResourceGroup" --enabled-for-deployment "true"Key Vault inschakelen voor sjabloonimplementatie, indien nodig: Hiermee kan Resource Manager geheimen uit de kluis ophalen.
az keyvault update --name "<your-unique-keyvault-name>" --resource-group "MyResourceGroup" --enabled-for-template-deployment "true"
Azure PowerShell
Gebruik de PowerShell-cmdlet Set-AzKeyVaultAccessPolicy voor sleutelkluizen om schijfversleuteling in te schakelen voor de sleutelkluis.
Key Vault inschakelen voor schijfversleuteling: EnabledForDiskEncryption is vereist voor Azure Disk Encryption.
Set-AzKeyVaultAccessPolicy -VaultName "<your-unique-keyvault-name>" -ResourceGroupName "MyResourceGroup" -EnabledForDiskEncryptionKey Vault inschakelen voor implementatie, indien nodig: Hiermee kan de resourceprovider Microsoft.Compute geheimen ophalen van deze sleutelkluis wanneer er naar deze sleutelkluis wordt verwezen bij het maken van een resource, bijvoorbeeld een virtuele machine.
Set-AzKeyVaultAccessPolicy -VaultName "<your-unique-keyvault-name>" -ResourceGroupName "MyResourceGroup" -EnabledForDeploymentKey Vault inschakelen voor sjabloonimplementatie, indien nodig: Hiermee kan Azure Resource Manager geheimen van deze sleutelkluis ophalen wanneer er naar deze sleutelkluis wordt verwezen bij een sjabloonimplementatie.
Set-AzKeyVaultAccessPolicy -VaultName "<your-unique-keyvault-name>" -ResourceGroupName "MyResourceGroup" -EnabledForTemplateDeployment
Azure Portal
Selecteer uw sleutelkluis, ga naar Toegangsbeleid en Klik hierop om geavanceerde beleidsregels weer te geven.
Schakel het selectievakje Toegang tot Azure Disk Encryption voor volumeversleuteling inschakelen in.
Selecteer indien nodig Toegang tot Azure Virtual Machines inschakelen voor implementatie en/of Toegang tot Azure Resource Manager inschakelen voor sjabloonimplementatie.
Klik op Opslaan.
Een Key Encryption Key (KEK) instellen
Belangrijk
Het account waarmee schijfversleuteling via de sleutelkluis wordt uitgevoerd, moet leesmachtigingen hebben.
Als u een Key Encryption Key (KEK) wilt gebruiken als een extra beveiligingslaag voor versleutelingssleutels, voegt u een KEK toe aan uw sleutelkluis. Wanneer er een KEK is opgegeven, gebruikt Azure Disk Encryption die sleutel om de versleutelingsgeheimen te verpakken voordat er naar Key Vault wordt geschreven.
U kunt een nieuwe KEK genereren met behulp van de Azure CLI-opdracht az keyvault key create, de Azure PowerShell-cmdlet Add-AzKeyVaultKey of de Azure-portal. U moet een RSA-sleuteltype genereren. Azure Disk Encryption biedt nog geen ondersteuning voor het gebruik van Elliptic Curve-sleutels.
U kunt in plaats daarvan een KEK importeren uit uw HSM voor on-premises sleutelbeheer. Zie onze Key Vault-documentatie voor meer informatie.
De URL's voor uw sleutelkluis-KEK moeten versiebeheer hebben. Azure dwingt deze beperking van versiebeheer af. Zie de volgende voorbeelden voor geldige geheim- en KEK-URL's:
- Voorbeeld van een geldige geheim-URL: https://contosovault.vault.azure.net/secrets/EncryptionSecretWithKek/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
- Voorbeeld van een geldige KEK-URL: https://contosovault.vault.azure.net/keys/diskencryptionkek/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Azure Disk Encryption biedt geen ondersteuning voor het opgeven van poortnummers als onderdeel van sleutelkluisgeheimen en KEK-URL's. Voorbeelden van niet-ondersteunde en ondersteunde sleutelkluis-URL's:
- Acceptabele sleutelkluis-URL: https://contosovault.vault.azure.net/secrets/contososecret/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
- Onacceptabele sleutelkluis-URL: https://contosovault.vault.azure.net:443/secrets/contososecret/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Azure CLI
Gebruik de Azure CLI-opdracht eyvault key create om een nieuwe KEK te genereren en op te slaan in uw sleutelkluis.
az keyvault key create --name "myKEK" --vault-name "<your-unique-keyvault-name>" --kty RSA --size 4096
U kunt in plaats daarvan een persoonlijke sleutel importeren met behulp van de Azure CLI-opdracht az keyvault key import:
In beide gevallen geeft u de naam van uw KEK op aan de Azure CLI az vm encryption enable-parameter --key-encryption-key.
az vm encryption enable -g "MyResourceGroup" --name "myVM" --disk-encryption-keyvault "<your-unique-keyvault-name>" --key-encryption-key "myKEK"
Azure PowerShell
Gebruik de Azure PowerShell-cmdlet Add-AzKeyVaultKey om een nieuwe KEK te genereren en op te slaan in uw sleutelkluis.
Add-AzKeyVaultKey -Name "myKEK" -VaultName "<your-unique-keyvault-name>" -Destination "HSM" -Size 4096
U kunt in plaats daarvan een persoonlijke sleutel importeren met behulp van de Azure PowerShell-opdracht az keyvault key import.
In beide gevallen geeft u de id van uw KEK-sleutelkluis en de URL van uw KEK op aan de Azure PowerShell Set-AzVMDiskEncryptionExtension-parameters -KeyEncryptionKeyVaultId en -KeyEncryptionKeyUrl. Houd er rekening mee dat in dit voorbeeld wordt aangenomen dat u dezelfde sleutelkluis gebruikt voor zowel de schijfversleutelingssleutel als de KEK.
$KeyVault = Get-AzKeyVault -VaultName "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup"
$KEK = Get-AzKeyVaultKey -VaultName "<your-unique-keyvault-name>" -Name "myKEK"
Set-AzVMDiskEncryptionExtension -ResourceGroupName MyResourceGroup -VMName "MyVM" -DiskEncryptionKeyVaultUrl $KeyVault.VaultUri -DiskEncryptionKeyVaultId $KeyVault.ResourceId -KeyEncryptionKeyVaultId $KeyVault.ResourceId -KeyEncryptionKeyUrl $KEK.Id -SkipVmBackup -VolumeType All