Usar o módulo do Azure PowerShell para habilitar a criptografia dupla em repouso para discos gerenciados
Aplica-se a: ✔️ Windows VMs
O Armazenamento em Disco do Azure dá suporte a criptografia dupla em repouso para discos gerenciados. Para obter informações conceituais sobre a criptografia dupla inativa e outros tipos de criptografia de disco gerenciado, confira a seção Criptografia dupla inativa do nosso artigo sobre criptografia de disco.
Restrições
Atualmente, não há suporte para criptografia dupla em repouso com discos do tipo Discos Ultra ou SSD Premium v2.
Pré-requisitos
Instale a versão mais recente do Azure PowerShell e entre em uma conta do Azure usando Connect-AzAccount.
Introdução
Crie uma instância do Azure Key Vault e a chave de criptografia.
Ao criar a instância do Key Vault, habilite a exclusão temporária e a proteção de limpeza. A exclusão temporária garante que a Key Vault mantenha uma chave excluída para determinado período de retenção (padrão de 90 dias). A proteção de limpeza garante que uma chave excluída não seja excluída permanentemente até que o período de retenção termine. Essas configurações protegem você contra a perda de dados devido à exclusão acidental. Essas configurações são obrigatórias ao usar um Key Vault para criptografar discos gerenciados.
$ResourceGroupName="yourResourceGroupName" $LocationName="westus2" $keyVaultName="yourKeyVaultName" $keyName="yourKeyName" $keyDestination="Software" $diskEncryptionSetName="yourDiskEncryptionSetName" $keyVault = New-AzKeyVault -Name $keyVaultName -ResourceGroupName $ResourceGroupName -Location $LocationName -EnableSoftDelete -EnablePurgeProtection $key = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyName -Destination $keyDestination
Recupere a URL da chave criada, você precisará dela para os comandos subsequentes. A saída da ID de
Get-AzKeyVaultKey
é a URL da chave.Get-AzKeyVaultKey -VaultName $keyVaultName -KeyName $keyName
Obtenha a ID do recurso para a instância de Key Vault criada, você precisará dela para comandos subsequentes.
Get-AzKeyVault -VaultName $keyVaultName
Crie um DiskEncryptionSet com encryptionType definido como EncryptionAtRestWithPlatformAndCustomerKeys. Substitua
yourKeyURL
eyourKeyVaultURL
pelas URLs recuperadas anteriormente.$config = New-AzDiskEncryptionSetConfig -Location $locationName -KeyUrl "yourKeyURL" -SourceVaultId 'yourKeyVaultURL' -IdentityType 'SystemAssigned' $config | New-AzDiskEncryptionSet -ResourceGroupName $ResourceGroupName -Name $diskEncryptionSetName -EncryptionType EncryptionAtRestWithPlatformAndCustomerKeys
Conceda o acesso ao recurso DiskEncryptionSet para o Key Vault.
Observação
Pode levar alguns minutos para o Azure criar a identidade do DiskEncryptionSet no Microsoft Entra ID. Se você receber um erro como "não é possível encontrar o objeto Active Directory" ao executar o comando a seguir, aguarde alguns minutos e tente novamente.
$des=Get-AzDiskEncryptionSet -name $diskEncryptionSetName -ResourceGroupName $ResourceGroupName Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ObjectId $des.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get
Próximas etapas
Agora que você criou e configurou esses recursos, pode usá-los para proteger seus discos gerenciados. Os seguintes links contém scripts de exemplo, cada um com um cenário respectivo, que você pode usar para proteger seus discos gerenciados.