Använd Azure CLI för att aktivera dubbel kryptering i vila för hanterade diskar
Gäller för: ✔️ Flexibla skalningsuppsättningar för virtuella Linux-datorer ✔️
Azure Disk Storage stöder dubbel kryptering i vila för hanterade diskar. Konceptuell information om dubbel kryptering i vila och andra krypteringstyper för hanterade diskar finns i avsnittet Dubbel kryptering i vila i vår artikel om diskkryptering.
Begränsningar
Dubbel kryptering i vila stöds för närvarande inte med ultradiskar eller Premium SSD v2-diskar.
Förutsättningar
Installera den senaste Azure CLI och logga in på ett Azure-konto med az login.
Komma igång
Skapa en instans av Azure Key Vault och krypteringsnyckeln.
När du skapar Key Vault-instansen måste du aktivera skydd mot mjuk borttagning och rensning. Mjuk borttagning säkerställer att Key Vault innehåller en borttagen nyckel för en viss kvarhållningsperiod (standardvärdet 90 dagar). Rensningsskydd säkerställer att en borttagen nyckel inte kan tas bort permanent förrän kvarhållningsperioden upphör att gälla. De här inställningarna skyddar dig från att förlora data på grund av oavsiktlig borttagning. De här inställningarna är obligatoriska när du använder ett Key Vault för att kryptera hanterade diskar.
subscriptionId=yourSubscriptionID rgName=yourResourceGroupName location=westcentralus keyVaultName=yourKeyVaultName keyName=yourKeyName diskEncryptionSetName=yourDiskEncryptionSetName diskName=yourDiskName az account set --subscription $subscriptionId az keyvault create -n $keyVaultName -g $rgName -l $location --enable-purge-protection true --enable-soft-delete true az keyvault key create --vault-name $keyVaultName -n $keyName --protection software
Hämta nyckel-URL:en för nyckeln som du skapade med
az keyvault key show
.az keyvault key show --name $keyName --vault-name $keyVaultName
Skapa en DiskEncryptionSet med encryptionType set som EncryptionAtRestWithPlatformAndCustomerKeys. Ersätt
yourKeyURL
med den URL som du fick frånaz keyvault key show
.az disk-encryption-set create --resource-group $rgName --name $diskEncryptionSetName --key-url yourKeyURL --source-vault $keyVaultName --encryption-type EncryptionAtRestWithPlatformAndCustomerKeys
Ge resursen DiskEncryptionSet åtkomst till nyckelvalvet.
Kommentar
Det kan ta några minuter för Azure att skapa identiteten för diskEncryptionSet i ditt Microsoft Entra-ID. Om du får ett felmeddelande som "Det går inte att hitta Active Directory-objektet" när du kör följande kommando väntar du några minuter och försöker igen.
desIdentity=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [identity.principalId] -o tsv) az keyvault set-policy -n $keyVaultName -g $rgName --object-id $desIdentity --key-permissions wrapkey unwrapkey get
Nästa steg
Nu när du har skapat och konfigurerat dessa resurser kan du använda dem för att skydda dina hanterade diskar. Följande länkar innehåller exempelskript, var och en med ett respektive scenario, som du kan använda för att skydda dina hanterade diskar.