Usar a CLI do Azure para habilitar a criptografia dupla em repouso para discos gerenciados

Aplica-se a: ✔️ VMs do Linux ✔️ Conjuntos de dimensionamento flexíveis

O Armazenamento em Disco do Azure dá suporte a criptografia dupla em repouso para discos gerenciados. Para obter informações conceituais sobre a criptografia dupla inativa e outros tipos de criptografia de disco gerenciado, confira a seção Criptografia dupla inativa do nosso artigo sobre criptografia de disco.

Restrições

Atualmente, não há suporte para criptografia dupla em repouso com discos do tipo Discos Ultra ou SSD Premium v2.

Pré-requisitos

Instale a CLI do Azure mais recente e entre em uma conta do Azure usando az login.

Introdução

1. Crie uma instância do Azure Key Vault e a chave de criptografia.

   Ao criar a instância do Key Vault, habilite a exclusão temporária e a proteção de limpeza. A exclusão temporária garante que a Key Vault mantenha uma chave excluída para determinado período de retenção (padrão de 90 dias). A proteção de limpeza garante que uma chave excluída não seja excluída permanentemente até que o período de retenção termine. Essas configurações protegem você contra a perda de dados devido à exclusão acidental. Essas configurações são obrigatórias ao usar um Key Vault para criptografar discos gerenciados.

   subscriptionId=yourSubscriptionID
   rgName=yourResourceGroupName
   location=westcentralus
   keyVaultName=yourKeyVaultName
   keyName=yourKeyName
   diskEncryptionSetName=yourDiskEncryptionSetName
   diskName=yourDiskName
   
   az account set --subscription $subscriptionId
   
   az keyvault create -n $keyVaultName -g $rgName -l $location --enable-purge-protection true --enable-soft-delete true
   
   az keyvault key create --vault-name $keyVaultName -n $keyName --protection software
   

2. Obtenha a URL da chave que você criou com az keyvault key show.

   az keyvault key show --name $keyName --vault-name $keyVaultName
   

3. Crie um DiskEncryptionSet com encryptionType definido como EncryptionAtRestWithPlatformAndCustomerKeys. Substitua yourKeyURL pela URL recebida de az keyvault key show.

   az disk-encryption-set create --resource-group $rgName --name $diskEncryptionSetName --key-url yourKeyURL --source-vault $keyVaultName --encryption-type EncryptionAtRestWithPlatformAndCustomerKeys
   

4. Conceda o acesso ao recurso DiskEncryptionSet para o Key Vault.

   Observação

   Pode levar alguns minutos para o Azure criar a identidade do DiskEncryptionSet no seu Microsoft Entra ID. Se você receber um erro como "não é possível encontrar o objeto Active Directory" ao executar o comando a seguir, aguarde alguns minutos e tente novamente.

   desIdentity=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [identity.principalId] -o tsv)
   
   az keyvault set-policy -n $keyVaultName -g $rgName --object-id $desIdentity --key-permissions wrapkey unwrapkey get
   

Próximas etapas

Agora que você criou e configurou esses recursos, pode usá-los para proteger seus discos gerenciados. Os seguintes links contém scripts de exemplo, cada um com um cenário respectivo, que você pode usar para proteger seus discos gerenciados.

• Exemplos de modelo do Azure Resource Manager
• Habilitar chaves gerenciadas pelo cliente com criptografia do lado do servidor - Exemplos