Skapa en krypterad avbildningsversion med kundhanterade nycklar

  • Artikel

Gäller för: ✔️ Virtuella Linux-datorer ✔️ Med virtuella Windows-datorer ✔️ – flexibla skalningsuppsättningar ✔️ Enhetliga skalningsuppsättningar

Avbildningar i ett Azure Compute-galleri (kallades tidigare Shared Image Gallery) lagras som ögonblicksbilder. Dessa avbildningar krypteras automatiskt via 256-bitars kryptering på serversidan AES-kryptering. Kryptering på serversidan är också FIPS 140-2-kompatibel. Mer information om de kryptografiska moduler som ligger till grund för Azure-hanterade diskar finns i Kryptografi-API: Nästa generation.

Du kan förlita dig på plattformshanterade nycklar för kryptering av dina bilder eller använda dina egna nycklar. Du kan också använda båda dessa funktioner tillsammans för fördubblad kryptering. Om du väljer att hantera kryptering med egna nycklar kan du ange en kundhanterad nyckel som ska användas för kryptering och dekryptering av alla diskar i dina bilder.

Kryptering på serversidan via kundhanterade nycklar använder Azure Key Vault. Du kan antingen importera dina RSA-nycklar till ditt nyckelvalv eller generera nya RSA-nycklar i Azure Key Vault.

Förutsättningar

Den här artikeln kräver att du redan har en diskkryptering i varje region där du vill replikera avbildningen:

  • Om du bara vill använda en kundhanterad nyckel kan du läsa artiklarna om att aktivera kundhanterade nycklar med kryptering på serversidan med hjälp av Azure Portal eller PowerShell.

  • Om du vill använda både plattformshanterade och kundhanterade nycklar (för dubbel kryptering) kan du läsa artiklarna om att aktivera dubbel kryptering i vila med hjälp av Azure Portal eller PowerShell.

    Viktigt

    Du måste använda länken https://aka.ms/diskencryptionupdates för att komma åt Azure Portal. Dubbel kryptering i vila visas för närvarande inte i den offentliga Azure Portal om du inte använder den länken.

Begränsningar

När du använder kundhanterade nycklar för kryptering av avbildningar i ett Azure Compute Gallery gäller följande begränsningar:

  • Krypteringsnyckeluppsättningar måste finnas i samma prenumeration som din avbildning.

  • Krypteringsnyckeluppsättningar är regionala resurser, så varje region kräver en annan krypteringsnyckeluppsättning.

  • När du har använt dina egna nycklar för att kryptera en avbildning kan du inte gå tillbaka till att använda plattformshanterade nycklar för att kryptera avbildningarna.

  • Vm-avbildningsversionskällan stöder för närvarande inte kundhanterad nyckelkryptering.

  • Några av funktionerna som att replikera en SSE+CMK-avbildning, skapa en avbildning från SSE+CMK-krypterad disk osv. stöds inte via portalen.

PowerShell

Om du vill ange en diskkrypteringsuppsättning för en avbildningsversion använder du New-AzGalleryImageVersion med parametern -TargetRegion :


$sourceId = <ID of the image version source>

$osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet'}

$dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet1';Lun=1}

$dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet2';Lun=2}

$dataDiskImageEncryptions = @($dataDiskImageEncryption1,$dataDiskImageEncryption2)

$encryption1 = @{OSDiskImage=$osDiskImageEncryption;DataDiskImages=$dataDiskImageEncryptions}

$region1 = @{Name='West US';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption1}

$eastUS2osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet'}

$eastUS2dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet1';Lun=1}

$eastUS2dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet2';Lun=2}

$eastUS2DataDiskImageEncryptions = @($eastUS2dataDiskImageEncryption1,$eastUS2dataDiskImageEncryption2)

$encryption2 = @{OSDiskImage=$eastUS2osDiskImageEncryption;DataDiskImages=$eastUS2DataDiskImageEncryptions}

$region2 = @{Name='East US 2';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption2}

$targetRegion = @($region1, $region2)


# Create the image
New-AzGalleryImageVersion `
   -ResourceGroupName $rgname `
   -GalleryName $galleryName `
   -GalleryImageDefinitionName $imageDefinitionName `
   -Name $versionName -Location $location `
   -SourceImageId $sourceId `
   -ReplicaCount 2 `
   -StorageAccountType Standard_LRS `
   -PublishingProfileEndOfLifeDate '2020-12-01' `
   -TargetRegion $targetRegion

Skapa en virtuell dator

Du kan skapa en virtuell dator (VM) från ett Azure Compute-galleri och använda kundhanterade nycklar för att kryptera diskarna. Syntaxen är densamma som att skapa en generaliserad eller specialiserad virtuell dator från en avbildning. Använd den utökade parameteruppsättningen och lägg till Set-AzVMOSDisk -Name $($vmName +"_OSDisk") -DiskEncryptionSetId $diskEncryptionSet.Id -CreateOption FromImage i VM-konfigurationen.

För datadiskar lägger du till parametern -DiskEncryptionSetId $setID när du använder Add-AzVMDataDisk.

CLI

Om du vill ange en diskkrypteringsuppsättning för en avbildningsversion använder du az image gallery create-image-version med parametern --target-region-encryption . Formatet för --target-region-encryption är en kommaavgränsad lista över nycklar för kryptering av operativsystem och datadiskar. Det bör se ut så här: <encryption set for the OS disk>,<Lun number of the data disk>,<encryption set for the data disk>,<Lun number for the second data disk>,<encryption set for the second data disk>.

Om källan för OS-disken är en hanterad disk eller en virtuell dator använder --managed-image du för att ange källan för avbildningsversionen. I det här exemplet är källan en hanterad avbildning som har en OS-disk och en datadisk på LUN 0. OS-disken krypteras med DiskEncryptionSet1 och datadisken krypteras med DiskEncryptionSet2.

az sig image-version create \
   -g MyResourceGroup \
   --gallery-image-version 1.0.0 \
   --location westus \
   --target-regions westus=2=standard_lrs eastus2 \
   --target-region-encryption WestUSDiskEncryptionSet1,0,WestUSDiskEncryptionSet2 EastUS2DiskEncryptionSet1,0,EastUS2DiskEncryptionSet2 \
   --gallery-name MyGallery \
   --gallery-image-definition MyImage \
   --managed-image "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/images/myImage"

Om os-diskens källa är en ögonblicksbild använder du --os-snapshot för att ange OS-disken. Lägg till andra ögonblicksbilder av datadiskar som också ska ingå i avbildningsversionen. Använd --data-snapshot-luns för att ange LUN och använd --data-snapshots för att ange ögonblicksbilderna.

I det här exemplet är källorna diskögonblicksbilder. Det finns en OS-disk och en datadisk på LUN 0. OS-disken krypteras med DiskEncryptionSet1 och datadisken krypteras med DiskEncryptionSet2.

az sig image-version create \
   -g MyResourceGroup \
   --gallery-image-version 1.0.0 \
   --location westus\
   --target-regions westus=2=standard_lrs eastus\
   --target-region-encryption WestUSDiskEncryptionSet1,0,WestUSDiskEncryptionSet2 EastUS2DiskEncryptionSet1,0,EastUS2DiskEncryptionSet2 \
   --os-snapshot "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/snapshots/myOSSnapshot" \
   --data-snapshot-luns 0 \
   --data-snapshots "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/snapshots/myDDSnapshot" \
   --gallery-name MyGallery \
   --gallery-image-definition MyImage

Skapa den virtuella datorn

Du kan skapa en virtuell dator från ett Azure Compute-galleri och använda kundhanterade nycklar för att kryptera diskarna. Syntaxen är densamma som att skapa en generaliserad eller specialiserad virtuell dator med tillägget av parametern --os-disk-encryption-set . För datadiskar lägger du till --data-disk-encryption-sets med en utrymmesavgränsad lista över diskkrypteringsuppsättningarna för datadiskarna.

Portalen

När du skapar avbildningsversionen i portalen kan du använda fliken Kryptering för att tillämpa dina lagringskrypteringsuppsättningar.

  1. På sidan Skapa en avbildningsversion väljer du fliken Kryptering .
  2. I Krypteringstyp väljer du Kryptering i vila med en kundhanterad nyckel eller Dubbelkryptering med plattformshanterade och kundhanterade nycklar.
  3. För varje disk i avbildningen väljer du en krypteringsuppsättning i listrutan Diskkrypteringsuppsättning .

Skapa den virtuella datorn

Du kan skapa en virtuell dator från en avbildningsversion och använda kundhanterade nycklar för att kryptera diskarna. När du skapar den virtuella datorn i portalen går du till fliken Diskar och väljer Kryptering i vila med kundhanterade nycklar eller Dubbelkryptering med plattformshanterade och kundhanterade nycklar för krypteringstyp. Du kan sedan välja krypteringsuppsättningen i listrutan.

Nästa steg

Läs mer om diskkryptering på serversidan.

Information om hur du anger inköpsplansinformation finns i Ange information om Azure Marketplace inköpsplan när du skapar avbildningar.