Wymagania wstępne usługi Azure Disk EncryptionAzure Disk Encryption prerequisites

W tym artykule, wymagań wstępnych szyfrowania dysków Azure, opisano elementy, które muszą być spełnione, zanim użyjesz usługi Azure Disk Encryption.This article, Azure Disk Encryption Prerequisites, explains items that need to be in place before you can use Azure Disk Encryption. Usługa Azure Disk Encryption jest zintegrowana z usługą usługi Azure Key Vault pomagające w zarządzaniu kluczami szyfrowania.Azure Disk Encryption is integrated with Azure Key Vault to help manage encryption keys. Możesz użyć programu Azure PowerShell, wiersza polecenia platformy Azure, lub witryny Azure portal do konfigurowania usługi Azure Disk Encryption.You can use Azure PowerShell, Azure CLI, or the Azure portal to configure Azure Disk Encryption.

Przed włączeniem usługi Azure Disk Encryption na maszynach wirtualnych IaaS platformy Azure w przypadku obsługiwanych scenariuszy, które zostały omówione w Omówienie szyfrowania dysków Azure artykuł, pamiętaj zostały spełnione wymagania wstępne w miejscu.Before you enable Azure Disk Encryption on Azure IaaS VMs for the supported scenarios that were discussed in the Azure Disk Encryption Overview article, be sure to have the prerequisites in place.

Ostrzeżenie

  • Jeśli wcześniej używano usługi Azure Disk Encryption przy użyciu aplikacji Azure AD do zaszyfrowania tej maszyny Wirtualnej, konieczne będzie kontynuować ta opcja służy do szyfrowania maszyny Wirtualnej.If you have previously used Azure Disk Encryption with Azure AD app to encrypt this VM, you will have to continue use this option to encrypt your VM. Nie można użyć usługi Azure Disk Encryption na tej zaszyfrowanej maszyny Wirtualnej, ponieważ nie jest to obsługiwany scenariusz znaczenie przełączania się aplikacja usługi AAD dla to zaszyfrowanych maszyn wirtualnych nie jest jeszcze obsługiwane.You can’t use Azure Disk Encryption on this encrypted VM as this isn’t a supported scenario, meaning switching away from AAD application for this encrypted VM isn’t supported yet.
  • Zastosowanie niektórych zaleceń zamieszczonych może zwiększyć danych, sieci lub użycia zasobów obliczeniowych, wynikiem dodatkowych kosztów licencji lub subskrypcji.Certain recommendations might increase data, network, or compute resource usage, resulting in additional license or subscription costs. Musi mieć prawidłową aktywną subskrypcją platformy Azure do tworzenia zasobów na platformie Azure w obsługiwanych regionach.You must have a valid active Azure subscription to create resources in Azure in the supported regions.

Uwaga

Ten artykuł został zaktualizowany o korzystanie z nowego modułu Azure PowerShell Az.This article has been updated to use the new Azure PowerShell Az module. Można nadal używać moduł AzureRM, który będzie w dalszym ciągu otrzymywać poprawek przynajmniej aż do grudnia 2020 r.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Aby dowiedzieć się więcej na temat nowego modułu Az i zgodności z modułem AzureRM, zobacz Wprowadzenie do nowego modułu Az programu Azure PowerShell.To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Aby uzyskać instrukcje instalacji modułu Az, zobacz Instalowanie programu Azure PowerShell.For Az module installation instructions, see Install Azure PowerShell.

Obsługiwane rozmiary maszyn wirtualnychSupported VM sizes

Usługa Azure Disk Encryption jest dostępna na maszynach wirtualnych, które spełniają te wymagania minimalnej ilości pamięci:Azure Disk Encryption is available on virtual machines that meet these minimum memory requirements:

Maszyna wirtualnaVirtual Machine Minimalna wymagana ilość pamięciMinimum memory requirement
Maszyny wirtualne z systemem WindowsWindows VMs 2 GB2 GB
Maszyny wirtualne systemu Linux, gdy tylko szyfrowanie woluminów danychLinux VMs when only encrypting data volumes 2 GB2 GB
Maszyny wirtualne systemu Linux podczas szyfrowania danych i woluminów systemu operacyjnego, a w przypadku, gdy użycie systemu plików root (/) jest 4GB lub mniejLinux VMs when encrypting both data and OS volumes, and where the root (/) file system usage is 4GB or less 8 GB8 GB
Maszyny wirtualne systemu Linux podczas szyfrowania danych i woluminów systemu operacyjnego i których użycie systemu plików root (/) jest większa niż 4GBLinux VMs when encrypting both data and OS volumes, and where the root (/) file system usage is greater than 4GB Użycie systemu plików w katalogu głównego * 2.The root file system usage * 2. Na przykład 16 GB użycie systemu plików w katalogu głównego wymaga co najmniej 32GB pamięci RAMFor instance, a 16 GB of root file system usage requires at least 32GB of RAM

Po zakończeniu procesu szyfrowania dysku systemu operacyjnego maszyn wirtualnych systemu Linux maszyny Wirtualnej można skonfigurować do uruchamiania przy użyciu mniejszej ilości pamięci.Once the OS disk encryption process is complete on Linux virtual machines, the VM can be configured to run with less memory.

Uwaga

Szyfrowanie dysków systemu operacyjnego Linux nie jest dostępna dla Virtual Machine Scale Sets.Linux OS disk encryption is not available for Virtual Machine Scale Sets.

Usługa Azure Disk Encryption jest również dostępna dla maszyn wirtualnych dzięki usłudze premium storage.Azure Disk Encryption is also available for VMs with premium storage.

Obsługiwane systemy operacyjneSupported operating systems

WindowsWindows

  • Klient Windows: Windows 8 lub nowszy.Windows client: Windows 8 and later.
  • Windows Server: Windows Server 2008 R2 i nowszych.Windows Server: Windows Server 2008 R2 and later.

Uwaga

Windows Server 2008 R2 wymaga programu .NET Framework 4.5, które zostaną zainstalowane dla szyfrowania; Zainstaluj go Windows Update z opcjonalną aktualizację programu Microsoft .NET Framework 4.5.2 systemów Windows Server 2008 R2 x64 64 (KB2901983).Windows Server 2008 R2 requires the .NET Framework 4.5 to be installed for encryption; install it from Windows Update with the optional update Microsoft .NET Framework 4.5.2 for Windows Server 2008 R2 x64-based systems (KB2901983).

Windows Server 2012 R2 Core i Windows Server 2016 Core wymaga składnika bdehdcfg do zainstalowania na maszynie Wirtualnej do szyfrowania.Windows Server 2012 R2 Core and Windows Server 2016 Core requires the bdehdcfg component to be installed on the VM for encryption.

LinuxLinux

Usługa Azure Disk Encryption jest obsługiwana dla podzestawu dystrybucje zatwierdzone na platformie Azure z systemem Linux, który sam jest podzestawem wszystkich server możliwe są dystrybucje systemu Linux.Azure Disk Encryption is supported on a subset of the Azure-endorsed Linux distributions, which is itself a subset of all Linux server possible distributions.

Diagram Venna Linux server obsługujących usługi Azure Disk Encryption

Dystrybucje systemu Linux server, które nie zalecane dla platformy Azure nie obsługują usługi Azure Disk Encryption i tych, które są zalecane, tylko poniższe dystrybucje i wersje obsługują usługi Azure Disk Encryption:Linux server distributions that are not endorsed by Azure do not support Azure Disk Encryption and, of those that are endorsed, only the following distributions and versions support Azure Disk Encryption:

Dystrybucja systemu LinuxLinux distribution WersjaVersion Typ woluminu obsługiwany w przypadku szyfrowaniaVolume type supported for encryption
UbuntuUbuntu 18.0418.04 Dysk systemu operacyjnego i danychOS and data disk
UbuntuUbuntu 16.0416.04 Dysk systemu operacyjnego i danychOS and data disk
UbuntuUbuntu 14.04.514.04.5
za pomocą platformy Azure dostosowanych jądra zaktualizowana w celu 4.15 lub nowszejwith Azure tuned kernel updated to 4.15 or later
Dysk systemu operacyjnego i danychOS and data disk
RHELRHEL 7.67.6 Dysk systemu operacyjnego i danych (zobacz uwaga poniżej)OS and data disk (see note below)
RHELRHEL 7.57.5 Dysk systemu operacyjnego i danych (zobacz uwaga poniżej)OS and data disk (see note below)
RHELRHEL 7.47.4 Dysk systemu operacyjnego i danych (zobacz uwaga poniżej)OS and data disk (see note below)
RHELRHEL 7.37.3 Dysk systemu operacyjnego i danych (zobacz uwaga poniżej)OS and data disk (see note below)
RHELRHEL 7.27.2 Dysk systemu operacyjnego i danych (zobacz uwaga poniżej)OS and data disk (see note below)
RHELRHEL 6.86.8 Dysk z danymi (zobacz uwaga poniżej)Data disk (see note below)
RHELRHEL 6.76.7 Dysk z danymi (zobacz uwaga poniżej)Data disk (see note below)
CentOSCentOS 7.67.6 Dysk systemu operacyjnego i danychOS and data disk
CentOSCentOS 7.57.5 Dysk systemu operacyjnego i danychOS and data disk
CentOSCentOS 7.47.4 Dysk systemu operacyjnego i danychOS and data disk
CentOSCentOS 7.37.3 Dysk systemu operacyjnego i danychOS and data disk
CentOSCentOS 7.2n7.2n Dysk systemu operacyjnego i danychOS and data disk
CentOSCentOS 6.86.8 Dysk z danymiData disk
openSUSEopenSUSE 42.342.3 Dysk z danymiData disk
SLESSLES 12-SP412-SP4 Dysk z danymiData disk
SLESSLES 12-SP312-SP3 Dysk z danymiData disk

Uwaga

Nowa implementacja ADE jest obsługiwana dla systemu operacyjnego systemu RHEL i dyskiem danych o płatności RHEL7 obrazów.The new ADE implementation is supported for RHEL OS and data disk for RHEL7 Pay-As-You-Go images. ADE nie jest obecnie obsługiwane dla obrazów systemu RHEL Bring-Your-właścicielem-subskrypcji (BYOS).ADE is currently not supported for RHEL Bring-Your-Own-Subscription (BYOS) images. Zobacz usługi Azure Disk Encryption dla systemu Linux Aby uzyskać więcej informacji.See Azure Disk Encryption for Linux for more information.

  • Usługa Azure Disk Encryption wymaga, że maszyny wirtualne i usługi key vault, na których znajdują się w tym samym regionie platformy Azure i subskrypcji.Azure Disk Encryption requires that your key vault and VMs reside in the same Azure region and subscription. Konfigurowanie zasobów w oddzielnych regionach powoduje awarię w włączenie funkcji usługi Azure Disk Encryption.Configuring the resources in separate regions causes a failure in enabling the Azure Disk Encryption feature.

Dodatkowe wymagania wstępne dotyczące maszyn wirtualnych IaaS z systemem LinuxAdditional prerequisites for Linux IaaS VMs

  • Usługa Azure Disk Encryption wymaga dm-crypt i modułów vfat obecne w systemie.Azure Disk Encryption requires the dm-crypt and vfat modules to be present on the system. Usunięcie lub wyłączenie vfat z domyślnego obrazu uniemożliwi systemu w zakresie odczytywania klucza woluminu i uzyskiwanie klucza chcesz odblokować dysków na kolejnym rozruchu.Removing or disabling vfat from the default image will prevent the system from reading the key volume and obtaining the key needed to unlock the disks on subsequent reboots. Kroki zaostrzanie poziomu zabezpieczeń systemu, które usunąć moduł vfat z systemu nie są zgodne z usługi Azure Disk Encryption.System hardening steps that remove the vfat module from the system are not compatible with Azure Disk Encryption.
  • Przed włączeniem szyfrowania, dysków danych do zaszyfrowania muszą właściwie się na liście/etc/fstab.Before enabling encryption, the data disks to be encrypted need to be properly listed in /etc/fstab. Użyj nazwy urządzenia trwałego blok dla tego wpisu jako nazwy w formacie "/ dev/sdX" nie można polegać ma zostać skojarzony z tym samym dysku między ponownymi uruchomieniami, szczególnie w przypadku, po zastosowaniu szyfrowania urządzenia.Use a persistent block device name for this entry, as device names in the "/dev/sdX" format can't be relied upon to be associated with the same disk across reboots, particularly after encryption is applied. Aby uzyskać więcej szczegółowych informacji dotyczących tego zachowania zobacz: Rozwiązywanie problemów z zmiany nazwy urządzenia maszyny Wirtualnej systemu LinuxFor more detail on this behavior, see: Troubleshoot Linux VM device name changes
  • Upewnij się, że poprawnie skonfigurowano ustawienia/etc/fstab potrzeby instalowania.Make sure the /etc/fstab settings are configured properly for mounting. Aby skonfigurować te ustawienia, polecenie instalacji lub ponowne uruchomienie maszyny Wirtualnej i wyzwolić ponowne zainstalowanie w ten sposób.To configure these settings, run the mount -a command or reboot the VM and trigger the remount that way. Sprawdź dane wyjściowe polecenia lsblk, aby zweryfikować, że dysk jest nadal zainstalowany, po zakończeniu tej operacji.Once that is complete, check the output of the lsblk command to verify that the drive is still mounted.
    • Jeśli plik/etc/fstab nie poprawnie zainstalować dysku przed włączeniem szyfrowania, usługa Azure Disk Encryption nie będzie mogła poprawnie go zainstalować.If the /etc/fstab file doesn't mount the drive properly before enabling encryption, Azure Disk Encryption won't be able to mount it properly.
    • Proces szyfrowania dysków Azure zostanie przesunięty informacji dotyczących instalacji poza/etc/fstab i w jej własnym pliku konfiguracji w ramach procesu szyfrowania.The Azure Disk Encryption process will move the mount information out of /etc/fstab and into its own configuration file as part of the encryption process. Zostać zignorowany, aby zobaczyć, że kończy zapis brakuje/etc/fstab po szyfrowaniem dysków danych.Don't be alarmed to see the entry missing from /etc/fstab after data drive encryption completes.
    • Przed rozpoczęciem szyfrowania, upewnij się zatrzymać wszystkie usługi i procesy, które można zapisywać do zainstalowanego dysku z danymi i wyłączyć je, tak aby ich nie uruchamiaj ponownie automatycznie po ponownym uruchomieniu.Before starting encryption, be sure to stop all services and processes that could be writing to mounted data disks and disable them, so that they do not restart automatically after a reboot. Te można otwierają pliki na te partycje, zapobiegając procedurę szyfrowania, aby ponownie ich zainstalować, powodując niepowodzenie szyfrowania.These could keep files open on these partitions, preventing the encryption procedure to remount them, causing failure of the encryption.
    • Po ponownym uruchomieniu potrwa czas procesu szyfrowania dysków Azure na instalowanie nowo zaszyfrowanych dysków.After reboot, it will take time for the Azure Disk Encryption process to mount the newly encrypted disks. Nie będzie natychmiast dostępny po ponownym uruchomieniu.They won't be immediately available after a reboot. Proces wymaga czasu do uruchomienia, odblokowywania i następnie zainstalować zaszyfrowanych dysków przed jest dostępna na potrzeby dostępu do innych procesów.The process needs time to start, unlock, and then mount the encrypted drives before being available for other processes to access. Ten proces może potrwać ponad minutę po ponownym uruchomieniu, w zależności od charakterystyki systemu.This process may take more than a minute after reboot depending on the system characteristics.

Przykład polecenia, które mogą służyć do zamontowania dysków z danymi oraz tworzenie niezbędne/etc/fstab wpisów można znaleźć w linii 244-248 tego pliku skryptu.An example of commands that can be used to mount the data disks and create the necessary /etc/fstab entries can be found in lines 244-248 of this script file.

Sieci i zasad grupyNetworking and Group Policy

Aby włączyć usługi Azure Disk Encryption funkcji maszyn wirtualnych IaaS musi spełniać następujące wymagania dotyczące konfiguracji punktu końcowego sieci:To enable the Azure Disk Encryption feature, the IaaS VMs must meet the following network endpoint configuration requirements:

  • Aby uzyskać tokenu, połączyć się z magazynem kluczy, maszyn wirtualnych IaaS musi być w stanie połączyć się z punktem końcowym usługi Azure Active Directory, [login.microsoftonline.com].To get a token to connect to your key vault, the IaaS VM must be able to connect to an Azure Active Directory endpoint, [login.microsoftonline.com].
  • Można zapisać klucze szyfrowania do magazynu kluczy, maszyn wirtualnych IaaS musi być możliwe nawiązanie połączenia z punktu końcowego magazynu kluczy.To write the encryption keys to your key vault, the IaaS VM must be able to connect to the key vault endpoint.
  • Maszyn wirtualnych IaaS musi być możliwe nawiązanie połączenia z punktu końcowego usługi Azure storage, który hostuje repozytorium rozszerzenie platformy Azure i konto magazynu platformy Azure, w którym przechowywane są pliki wirtualnego dysku twardego.The IaaS VM must be able to connect to an Azure storage endpoint that hosts the Azure extension repository and an Azure storage account that hosts the VHD files.
  • Zasady zabezpieczeń ogranicza dostęp do Internetu z maszyn wirtualnych platformy Azure, przypadku rozwiązać poprzedni identyfikator URI i skonfigurowania określonych Reguła zezwalająca na łączności wychodzącej do adresów IP.If your security policy limits access from Azure VMs to the Internet, you can resolve the preceding URI and configure a specific rule to allow outbound connectivity to the IPs. Aby uzyskać więcej informacji, zobacz usługi Azure Key Vault za zaporą.For more information, see Azure Key Vault behind a firewall.

Zasady grupy:Group Policy:

  • Rozwiązanie Azure Disk Encryption dla maszyn wirtualnych IaaS Windows korzysta z zewnętrznego ochrony klucza funkcji BitLocker.The Azure Disk Encryption solution uses the BitLocker external key protector for Windows IaaS VMs. Dla maszyn wirtualnych przyłączonych do domeny, nie Wypchnij żadnych zasad grupy, które wymuszają modułu TPM funkcje ochrony kluczy.For domain joined VMs, don't push any group policies that enforce TPM protectors. Aby uzyskać informacje o zasadach grupy "Zezwalaj na funkcję BitLocker bez zgodnego modułu TPM", zobacz dokumentacja zasad grupy funkcji BitLocker.For information about the group policy for “Allow BitLocker without a compatible TPM,” see BitLocker Group Policy Reference.

  • Zasad funkcji BitLocker na maszynach wirtualnych przyłączonych do domeny za pomocą zasad grupy niestandardowe, należy uwzględnić następujące ustawienia: Konfigurowanie magazynu użytkownika informacji o odzyskiwaniu -> Zezwalaj na 256-bitowego klucza odzyskiwania funkcji BitLocker.BitLocker policy on domain joined virtual machines with custom group policy must include the following setting: Configure user storage of BitLocker recovery information -> Allow 256-bit recovery key. Usługa Azure Disk Encryption zakończy się niepowodzeniem, jeśli ustawienia zasad grupy niestandardowe do używania funkcji BitLocker są niezgodne.Azure Disk Encryption will fail when custom group policy settings for BitLocker are incompatible. Na komputerach, które nie mają poprawne ustawienie, należy zastosować nowe zasady, wymusić nowe zasady w celu aktualizacji (/ Force gpupdate.exe) i ponowne uruchomienie, może być wymagane.On machines that didn't have the correct policy setting, apply the new policy, force the new policy to update (gpupdate.exe /force), and then restarting may be required.

  • Usługa Azure Disk Encryption zakończy się niepowodzeniem, jeśli zasady grupy na poziomie domeny blokuje algorytmu AES-CBC, który jest używany przez funkcję BitLocker.Azure Disk Encryption will fail if domain level group policy blocks the AES-CBC algorithm, which is used by BitLocker.

Program Azure PowerShellAzure PowerShell

Program Azure PowerShell udostępnia zestaw poleceń cmdlet, który używa usługi Azure Resource Manager modelu do zarządzania zasobami platformy Azure.Azure PowerShell provides a set of cmdlets that uses the Azure Resource Manager model for managing your Azure resources. Używasz go w przeglądarce za pośrednictwem usługi Azure Cloud Shell, lub można go zainstalować na komputerze lokalnym wykonując poniższe instrukcje z niej korzystać w dowolnej sesji programu PowerShell.You can use it in your browser with Azure Cloud Shell, or you can install it on your local machine using the instructions below to use it in any PowerShell session. Jeśli masz już zainstalowany lokalnie, upewnij się, że używasz najnowszej wersji programu Azure PowerShell SDK w wersji do konfigurowania usługi Azure Disk Encryption.If you already have it installed locally, make sure you use the latest version of Azure PowerShell SDK version to configure Azure Disk Encryption. Pobierz najnowszą wersję wersji programu Azure PowerShell.Download the latest version of Azure PowerShell release.

Instalowanie programu Azure PowerShell do użytku na komputerze lokalnym (opcjonalnie):Install Azure PowerShell for use on your local machine (optional):

  1. Postępuj zgodnie z instrukcjami w linkach w systemie operacyjnym, następnie Kontynuuj mimo że pozostałe kroki.Follow the instructions in the links for your operating system, then continue though the rest of the steps below.

  2. Sprawdź zainstalowane wersje modułu Az.Verify the installed versions of the Az module. Jeśli to konieczne, zaktualizuj moduł programu Azure PowerShell.If needed, update the Azure PowerShell module. Zaleca się korzystanie z najnowszej wersji modułu Az.Using the latest Az module version is recommended.

    Get-Module Az -ListAvailable | Select-Object -Property Name,Version,Path
    
  3. Zaloguj się do platformy Azure za pomocą Connect AzAccount polecenia cmdlet.Sign in to Azure using the Connect-AzAccount cmdlet.

    Connect-AzAccount
    # For specific instances of Azure, use the -Environment parameter.
    Connect-AzAccount –Environment (Get-AzEnvironment –Name AzureUSGovernment)
    
    <# If you have multiple subscriptions and want to specify a specific one, 
    get your subscription list with Get-AzSubscription and 
    specify it with Set-AzContext.  #>
    Get-AzSubscription
    Set-AzContext -SubscriptionId "xxxx-xxxx-xxxx-xxxx"
    
  4. Jeśli to konieczne, przejrzyj wprowadzenie do programu Azure PowerShell.If needed, review Getting started with Azure PowerShell.

Instalowanie interfejsu wiersza polecenia platformy Azure do użytku na komputerze lokalnym (opcjonalnie)Install the Azure CLI for use on your local machine (optional)

Interfejsu wiersza polecenia platformy Azure w wersji 2.0 jest narzędziem wiersza polecenia do zarządzania zasobami platformy Azure.The Azure CLI 2.0 is a command-line tool for managing Azure resources. Interfejs wiersza polecenia służy do elastyczne wykonywanie zapytań o dane, obsługi długotrwałych operacji jak nieblokujące procesy i ułatwienia tworzenia skryptów.The CLI is designed to flexibly query data, support long-running operations as non-blocking processes, and make scripting easy. Można go również używać w przeglądarce z usługą Azure Cloud Shell albo można go zainstalować na maszynie lokalnej i używać w dowolnej sesji programu PowerShell.You can use it in your browser with Azure Cloud Shell, or you can install it on your local machine and use it in any PowerShell session.

  1. Zainstaluj interfejs wiersza polecenia platformy Azure do użytku na komputerze lokalnym (opcjonalnie):Install Azure CLI for use on your local machine (optional):

  2. Sprawdź zainstalowaną wersję.Verify the installed version.

    az --version
    
  3. Zaloguj się do platformy Azure za pomocą az login.Sign in to Azure using az login.

    az login
    
    # If you would like to select a tenant, use: 
    az login --tenant "<tenant>"
    
    # If you have multiple subscriptions, get your subscription list with az account list and specify with az account set.
    az account list
    az account set --subscription "<subscription name or ID>"
    
  4. Przegląd Rozpoczynanie pracy z usługą Azure CLI 2.0 w razie potrzeby.Review Get started with Azure CLI 2.0 if needed.

Wymagań wstępnych przepływu pracy dla usługi Key VaultPrerequisite workflow for Key Vault

Jeśli już znasz z usługi Key Vault i Azure AD wymagania wstępne dotyczące usługi Azure Disk Encryption, możesz użyć skrypt programu PowerShell wymagania wstępne dotyczące usługi Azure Disk Encryption.If you're already familiar with the Key Vault and Azure AD prerequisites for Azure Disk Encryption, you can use the Azure Disk Encryption prerequisites PowerShell script. Aby uzyskać więcej informacji na temat używania skryptu wymagań wstępnych, zobacz szyfrowania VM Quickstart i dodatku szyfrowania dysków Azure.For more information on using the prerequisites script, see the Encrypt a VM Quickstart and the Azure Disk Encryption Appendix.

  1. Jeśli to konieczne, Utwórz grupę zasobów.If needed, create a resource group.
  2. Tworzenie magazynu kluczy.Create a key vault.
  3. Zaawansowane zasady dostępu magazynu kluczy zestawu.Set key vault advanced access policies.

Ostrzeżenie

Przed usunięciem magazynu kluczy, upewnij się, szyfruje wszystkie istniejące maszyny wirtualne z nim.Before deleting a key vault, ensure that you did not encrypt any existing VMs with it. Aby chronić w magazynie przed przypadkowym usunięciem Włącz usuwanie nietrwałe i blokady zasobu w magazynie.To protect a vault from accidental deletion, enable soft delete and a resource lock on the vault.

Tworzenie magazynu kluczyCreate a key vault

Usługa Azure Disk Encryption jest zintegrowana z usługą usługi Azure Key Vault ułatwiają kontrolowanie i zarządzanie kluczami szyfrowania dysku i wpisami tajnymi w ramach subskrypcji usługi key vault.Azure Disk Encryption is integrated with Azure Key Vault to help you control and manage the disk-encryption keys and secrets in your key vault subscription. Można utworzyć magazyn kluczy lub użyć istniejącego dla usługi Azure Disk Encryption.You can create a key vault or use an existing one for Azure Disk Encryption. Aby uzyskać więcej informacji dotyczących magazynów kluczy, zobacz Rozpoczynanie pracy z usługą Azure Key Vault i zabezpieczanie własnego magazynu kluczy.For more information about key vaults, see Get started with Azure Key Vault and Secure your key vault. Szablon usługi Resource Manager, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure umożliwia tworzenie magazynu kluczy.You can use a Resource Manager template, Azure PowerShell, or the Azure CLI to create a key vault.

Ostrzeżenie

Upewnij się, że klucze tajne szyfrowania nie przekracza granic regionalnych, usługa Azure Disk Encryption musi znajdować się w tym samym regionie usługi Key Vault i maszyn wirtualnych.In order to make sure the encryption secrets don’t cross regional boundaries, Azure Disk Encryption needs the Key Vault and the VMs to be co-located in the same region. Tworzenie i używanie usługi Key Vault, który znajduje się w tym samym regionie co maszyna wirtualna do zaszyfrowania.Create and use a Key Vault that is in the same region as the VM to be encrypted.

Tworzenie magazynu kluczy przy użyciu programu PowerShellCreate a key vault with PowerShell

Można utworzyć magazynu kluczy przy użyciu programu Azure PowerShell New AzKeyVault polecenia cmdlet.You can create a key vault with Azure PowerShell using the New-AzKeyVault cmdlet. Aby uzyskać dodatkowe polecenia cmdlet usługi Key Vault, zobacz Az.KeyVault.For additional cmdlets for Key Vault, see Az.KeyVault.

  1. Jeśli to konieczne, nawiązać połączenie z subskrypcją platformy Azure.If needed, connect to your Azure subscription.

  2. Utwórz nową grupę zasobów, jeśli to konieczne, za pomocą New AzResourceGroup.Create a new resource group, if needed, with New-AzResourceGroup. Aby wyświetlić lokalizacje centrów danych, użyj Get AzLocation.To list data center locations, use Get-AzLocation.

    # Get-AzLocation 
    New-AzResourceGroup –Name 'MyKeyVaultResourceGroup' –Location 'East US'
    
  3. Tworzenie nowego magazynu kluczy przy użyciu New AzKeyVaultCreate a new key vault using New-AzKeyVault

    New-AzKeyVault -VaultName 'MySecureVault' -ResourceGroupName 'MyKeyVaultResourceGroup' -Location 'East US'
    
  4. Uwaga nazwa magazynu, Nazwa grupy zasobów, identyfikator zasobu, identyfikator URI magazynui obiekt o identyfikatorze które są zwracane do późniejszego użycia podczas szyfrowania dysków.Note the Vault Name, Resource Group Name, Resource ID, Vault URI, and the Object ID that are returned for later use when you encrypt the disks.

Tworzenie magazynu kluczy przy użyciu wiersza polecenia platformy AzureCreate a key vault with Azure CLI

Można zarządzać magazynem kluczy przy użyciu wiersza polecenia platformy Azure az keyvault poleceń.You can manage your key vault with Azure CLI using the az keyvault commands. Aby utworzyć magazyn kluczy, użyj tworzenie az keyvault.To create a key vault, use az keyvault create.

  1. Jeśli to konieczne, nawiązać połączenie z subskrypcją platformy Azure.If needed, connect to your Azure subscription.

  2. Utwórz nową grupę zasobów, jeśli to konieczne, za pomocą Tworzenie grupy az.Create a new resource group, if needed, with az group create. Aby wyświetlić lokalizacje, użyj konta az list-locationsTo list locations, use az account list-locations

    # To list locations: az account list-locations --output table
    az group create -n "MyKeyVaultResourceGroup" -l "East US"
    
  3. Tworzenie nowego magazynu kluczy przy użyciu tworzenie az keyvault.Create a new key vault using az keyvault create.

    az keyvault create --name "MySecureVault" --resource-group "MyKeyVaultResourceGroup" --location "East US"
    
  4. Uwaga nazwa magazynu (nazwa), nazwy grupy zasobów, identyfikator zasobu (ID), identyfikator URI magazynui obiektu o identyfikatorze później, które są zwracane do użycia.Note the Vault Name (name), Resource Group Name, Resource ID (ID), Vault URI, and the Object ID that are returned for use later.

Tworzenie magazynu kluczy przy użyciu szablonu usługi Resource ManagerCreate a key vault with a Resource Manager template

Można utworzyć magazynu kluczy przy użyciu szablonu usługi Resource Manager.You can create a key vault by using the Resource Manager template.

  1. Szablon szybkiego startu platformy Azure, wybierz polecenie Wdróż na platformie Azure.On the Azure quickstart template, click Deploy to Azure.
  2. Wybierz subskrypcję, grupy zasobów, lokalizację grupy zasobów, usługi Key Vault nazwa, identyfikator obiektu, postanowienia prawne i umowy, a następnie kliknij przycisk zakupu.Select the subscription, resource group, resource group location, Key Vault name, Object ID, legal terms, and agreement, and then click Purchase.

Zestaw magazynu kluczy, zaawansowane zasady dostępuSet key vault advanced access policies

Platforma Azure wymaga dostępu do kluczy szyfrowania i wpisy tajne w magazynie kluczy, aby udostępnić je do maszyny Wirtualnej do rozruchu i odszyfrowywania woluminów.The Azure platform needs access to the encryption keys or secrets in your key vault to make them available to the VM for booting and decrypting the volumes. Włącz szyfrowanie dysków w magazynie kluczy lub wdrożenia zakończy się niepowodzeniem.Enable disk encryption on the key vault or deployments will fail.

Zestaw magazynu kluczy, zaawansowane zasady dostępu przy użyciu programu Azure PowerShellSet key vault advanced access policies with Azure PowerShell

Użyj polecenia cmdlet programu PowerShell usługi key vault AzKeyVaultAccessPolicy zestaw umożliwia szyfrowanie dysków dla magazynu kluczy.Use the key vault PowerShell cmdlet Set-AzKeyVaultAccessPolicy to enable disk encryption for the key vault.

  • Włącz magazyn kluczy do szyfrowania dysku: EnabledForDiskEncryption jest wymagany dla usługi Azure Disk encryption.Enable Key Vault for disk encryption: EnabledForDiskEncryption is required for Azure Disk encryption.

    Set-AzKeyVaultAccessPolicy -VaultName 'MySecureVault' -ResourceGroupName 'MyKeyVaultResourceGroup' -EnabledForDiskEncryption
    
  • Włączenie usługi Key Vault w przypadku wdrożenia w razie potrzeby: Umożliwia dostawcy zasobów Microsoft.Compute można pobrać Wpisy tajne z tego magazynu kluczy, podczas tworzenia zasobu, na przykład podczas tworzenia maszyny wirtualnej odwołuje się do tego magazynu kluczy.Enable Key Vault for deployment, if needed: Enables the Microsoft.Compute resource provider to retrieve secrets from this key vault when this key vault is referenced in resource creation, for example when creating a virtual machine.

     Set-AzKeyVaultAccessPolicy -VaultName 'MySecureVault' -ResourceGroupName 'MyKeyVaultResourceGroup' -EnabledForDeployment
    
  • Włącz usługi Key Vault dla wdrożenia szablonu, w razie potrzeby: Włącza usługi Azure Resource Manager można pobrać Wpisy tajne z tego magazynu kluczy, podczas wdrażania szablonu odwołuje się ten magazyn kluczy.Enable Key Vault for template deployment, if needed: Enables Azure Resource Manager to get secrets from this key vault when this key vault is referenced in a template deployment.

    Set-AzKeyVaultAccessPolicy -VaultName 'MySecureVault' -ResourceGroupName 'MyKeyVaultResourceGroup' -EnabledForTemplateDeployment
    

Zestaw magazynu kluczy, zaawansowane zasady dostępu przy użyciu wiersza polecenia platformy AzureSet key vault advanced access policies using the Azure CLI

Użyj az keyvault update umożliwia szyfrowanie dysków dla magazynu kluczy.Use az keyvault update to enable disk encryption for the key vault.

  • Włącz magazyn kluczy do szyfrowania dysku: Włączone for szyfrowania dysków jest wymagana.Enable Key Vault for disk encryption: Enabled-for-disk-encryption is required.

    az keyvault update --name "MySecureVault" --resource-group "MyKeyVaultResourceGroup" --enabled-for-disk-encryption "true"
    
  • Włączenie usługi Key Vault w przypadku wdrożenia w razie potrzeby: Umożliwia dostawcy zasobów Microsoft.Compute można pobrać Wpisy tajne z tego magazynu kluczy, podczas tworzenia zasobu, na przykład podczas tworzenia maszyny wirtualnej odwołuje się do tego magazynu kluczy.Enable Key Vault for deployment, if needed: Enables the Microsoft.Compute resource provider to retrieve secrets from this key vault when this key vault is referenced in resource creation, for example when creating a virtual machine.

    az keyvault update --name "MySecureVault" --resource-group "MyKeyVaultResourceGroup" --enabled-for-deployment "true"
    
  • Włącz usługi Key Vault dla wdrożenia szablonu, w razie potrzeby: Zezwalaj na Menedżera zasobów można pobrać Wpisy tajne z magazynu.Enable Key Vault for template deployment, if needed: Allow Resource Manager to retrieve secrets from the vault.

    az keyvault update --name "MySecureVault" --resource-group "MyKeyVaultResourceGroup" --enabled-for-template-deployment "true"
    

Zestaw magazynu kluczy, zaawansowane zasady dostępu w witrynie Azure portalSet key vault advanced access policies through the Azure portal

  1. Wybierz z magazynu kluczy, przejdź do zasady dostępu, i kliknij, aby wyświetlić zaawansowane zasady dostępu.Select your keyvault, go to Access Policies, and Click to show advanced access policies.

  2. Zaznacz pole opcji zapewnianie dostępu do usługi Azure Disk Encryption dla szyfrowania woluminu.Select the box labeled Enable access to Azure Disk Encryption for volume encryption.

  3. Wybierz włączyć dostęp do usługi Azure Virtual Machines na potrzeby wdrożenia i/lub Włącz dostęp do usługi Azure Resource Manager dla wdrożenia szablonu, jeśli to konieczne.Select Enable access to Azure Virtual Machines for deployment and/or Enable Access to Azure Resource Manager for template deployment, if needed.

  4. Kliknij pozycję Zapisz.Click Save.

    Zaawansowane zasady dostępu magazynu kluczy Azure

Konfigurowanie klucza szyfrowania (opcjonalnie)Set up a key encryption key (optional)

Jeśli chcesz użyć klucz szyfrowania klucza (KEK) Aby uzyskać dodatkową warstwę zabezpieczeń dla kluczy szyfrowania, należy dodać KEK do magazynu kluczy.If you want to use a key encryption key (KEK) for an additional layer of security for encryption keys, add a KEK to your key vault. Użyj AzKeyVaultKey Dodaj polecenia cmdlet, aby utworzyć klucz szyfrowania klucza w magazynie kluczy.Use the Add-AzKeyVaultKey cmdlet to create a key encryption key in the key vault. Można także zaimportować KEK, z usługi zarządzania kluczami w środowisku lokalnym przez moduł HSM.You can also import a KEK from your on-premises key management HSM. Aby uzyskać więcej informacji, zobacz Key Vault dokumentacji.For more information, see Key Vault Documentation. Jeśli klucz szyfrowania jest określony, usługi Azure Disk Encryption używa tego klucza do opakowania wpisów tajnych szyfrowania przed zapisaniem w usłudze Key Vault.When a key encryption key is specified, Azure Disk Encryption uses that key to wrap the encryption secrets before writing to Key Vault.

Skonfiguruj klucz szyfrowania klucza przy użyciu programu Azure PowerShellSet up a key encryption key with Azure PowerShell

Przed użyciem skryptu programu PowerShell, należy zapoznać się z wstępnie wymagane składniki usługi Azure Disk Encryption, aby zrozumieć kroki w skrypcie.Before using the PowerShell script, you should be familiar with the Azure Disk Encryption prerequisites to understand the steps in the script. Przykładowy skrypt może wymagać zmiany w danym środowisku.The sample script might need changes for your environment. Ten skrypt tworzy wszystkie wymagania wstępne usługi Azure Disk Encryption i szyfruje istniejącej maszyny Wirtualnej IaaS, zawijanie klucz szyfrowania dysku przy użyciu klucza szyfrowania.This script creates all Azure Disk Encryption prerequisites and encrypts an existing IaaS VM, wrapping the disk encryption key by using a key encryption key.

# Step 1: Create a new resource group and key vault in the same location.
    # Fill in 'MyLocation', 'MyKeyVaultResourceGroup', and 'MySecureVault' with your values.
    # Use Get-AzLocation to get available locations and use the DisplayName.
    # To use an existing resource group, comment out the line for New-AzResourceGroup
    
    $Loc = 'MyLocation';
    $KVRGname = 'MyKeyVaultResourceGroup';
    $KeyVaultName = 'MySecureVault'; 
    New-AzResourceGroup –Name $KVRGname –Location $Loc;
    New-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname -Location $Loc;
    $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
    $KeyVaultResourceId = (Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname).ResourceId;
    $diskEncryptionKeyVaultUrl = (Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname).VaultUri;
    
#Step 2: Enable the vault for disk encryption.
    Set-AzKeyVaultAccessPolicy -VaultName $KeyVaultName -ResourceGroupName $KVRGname -EnabledForDiskEncryption;
     
#Step 3: Create a new key in the key vault with the Add-AzKeyVaultKey cmdlet.
    # Fill in 'MyKeyEncryptionKey' with your value.
    
    $keyEncryptionKeyName = 'MyKeyEncryptionKey';
    Add-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName -Destination 'HSM';
    $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
    
#Step 4: Encrypt the disks of an existing IaaS VM
    # Fill in 'MySecureVM' and 'MyVirtualMachineResourceGroup' with your values. 
    
    $VMName = 'MySecureVM';
    $VMRGName = 'MyVirtualMachineResourceGroup';
    Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId;

Kolejne krokiNext steps