Usar a CLI do Azure para habilitar a criptografia dupla em repouso para discos gerenciados

  • Artigo

Aplica-se a: ✔️ Linux VMs ✔️ Conjuntos de escala flexível

O Armazenamento em Disco do Azure dá suporte à criptografia dupla em repouso para discos gerenciados. Para obter informações conceituais sobre criptografia dupla em repouso e outros tipos de criptografia de disco gerenciado, consulte a seção Criptografia dupla em repouso de nosso artigo sobre criptografia de disco.

Restrições

A criptografia dupla em repouso não é suportada atualmente com discos Ultra ou SSD Premium v2.

Pré-requisitos

Instale a CLI do Azure mais recente e entre em uma conta do Azure com az login.

Introdução

  1. Crie uma instância do Cofre da Chave do Azure e uma chave de criptografia.

    Ao criar a instância do Cofre da Chave, você deve habilitar a proteção contra exclusão suave e limpeza. A exclusão suave garante que o Cofre da Chave mantenha uma chave excluída por um determinado período de retenção (padrão de 90 dias). A proteção contra limpeza garante que uma chave excluída não possa ser excluída permanentemente até que o período de retenção expire. Estas definições protegem-no contra a perda de dados devido à eliminação acidental. Essas configurações são obrigatórias ao usar um Cofre de Chaves para criptografar discos gerenciados.

    subscriptionId=yourSubscriptionID
rgName=yourResourceGroupName
location=westcentralus
keyVaultName=yourKeyVaultName
keyName=yourKeyName
diskEncryptionSetName=yourDiskEncryptionSetName
diskName=yourDiskName

az account set --subscription $subscriptionId

az keyvault create -n $keyVaultName -g $rgName -l $location --enable-purge-protection true --enable-soft-delete true

az keyvault key create --vault-name $keyVaultName -n $keyName --protection software

  2. Obtenha o URL da chave que você criou com az keyvault key showo .

    az keyvault key show --name $keyName --vault-name $keyVaultName

  3. Crie um DiskEncryptionSet com encryptionType definido como EncryptionAtRestWithPlatformAndCustomerKeys. Substitua yourKeyURL pelo URL recebido de az keyvault key show.

    az disk-encryption-set create --resource-group $rgName --name $diskEncryptionSetName --key-url yourKeyURL --source-vault $keyVaultName --encryption-type EncryptionAtRestWithPlatformAndCustomerKeys

  4. Conceda ao recurso DiskEncryptionSet acesso ao cofre de chaves.

    Nota

    Pode levar alguns minutos para o Azure criar a identidade do seu DiskEncryptionSet em sua ID do Microsoft Entra. Se você receber um erro como "Não é possível localizar o objeto do Ative Directory" ao executar o seguinte comando, aguarde alguns minutos e tente novamente.

    desIdentity=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [identity.principalId] -o tsv)

az keyvault set-policy -n $keyVaultName -g $rgName --object-id $desIdentity --key-permissions wrapkey unwrapkey get

Próximos passos

Agora que você criou e configurou esses recursos, pode usá-los para proteger seus discos gerenciados. Os links a seguir contêm scripts de exemplo, cada um com um respetivo cenário, que você pode usar para proteger seus discos gerenciados.