Använd Azure CLI för att aktivera dubbel kryptering i vila för hanterade diskar

  • Artikel

Gäller för: ✔️ Flexibla skalningsuppsättningar för virtuella Linux-datorer ✔️

Azure Disk Storage stöder dubbel kryptering i vila för hanterade diskar. Konceptuell information om dubbel kryptering i vila och andra krypteringstyper för hanterade diskar finns i avsnittet Dubbel kryptering i vila i vår artikel om diskkryptering.

Begränsningar

Dubbel kryptering i vila stöds för närvarande inte med ultradiskar eller Premium SSD v2-diskar.

Förutsättningar

Installera den senaste Azure CLI och logga in på ett Azure-konto med az login.

Komma igång

  1. Skapa en instans av Azure Key Vault och krypteringsnyckeln.

    När du skapar Key Vault-instansen måste du aktivera skydd mot mjuk borttagning och rensning. Mjuk borttagning säkerställer att Key Vault innehåller en borttagen nyckel för en viss kvarhållningsperiod (standardvärdet 90 dagar). Rensningsskydd säkerställer att en borttagen nyckel inte kan tas bort permanent förrän kvarhållningsperioden upphör att gälla. De här inställningarna skyddar dig från att förlora data på grund av oavsiktlig borttagning. De här inställningarna är obligatoriska när du använder ett Key Vault för att kryptera hanterade diskar.

    subscriptionId=yourSubscriptionID
rgName=yourResourceGroupName
location=westcentralus
keyVaultName=yourKeyVaultName
keyName=yourKeyName
diskEncryptionSetName=yourDiskEncryptionSetName
diskName=yourDiskName

az account set --subscription $subscriptionId

az keyvault create -n $keyVaultName -g $rgName -l $location --enable-purge-protection true --enable-soft-delete true

az keyvault key create --vault-name $keyVaultName -n $keyName --protection software

  2. Hämta nyckel-URL:en för nyckeln som du skapade med az keyvault key show.

    az keyvault key show --name $keyName --vault-name $keyVaultName

  3. Skapa en DiskEncryptionSet med encryptionType set som EncryptionAtRestWithPlatformAndCustomerKeys. Ersätt yourKeyURL med den URL som du fick från az keyvault key show.

    az disk-encryption-set create --resource-group $rgName --name $diskEncryptionSetName --key-url yourKeyURL --source-vault $keyVaultName --encryption-type EncryptionAtRestWithPlatformAndCustomerKeys

  4. Ge resursen DiskEncryptionSet åtkomst till nyckelvalvet.

    Kommentar

    Det kan ta några minuter för Azure att skapa identiteten för diskEncryptionSet i ditt Microsoft Entra-ID. Om du får ett felmeddelande som "Det går inte att hitta Active Directory-objektet" när du kör följande kommando väntar du några minuter och försöker igen.

    desIdentity=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [identity.principalId] -o tsv)

az keyvault set-policy -n $keyVaultName -g $rgName --object-id $desIdentity --key-permissions wrapkey unwrapkey get

Nästa steg

Nu när du har skapat och konfigurerat dessa resurser kan du använda dem för att skydda dina hanterade diskar. Följande länkar innehåller exempelskript, var och en med ett respektive scenario, som du kan använda för att skydda dina hanterade diskar.