Sanal makinede anahtar kasası oluşturma ve Azure Disk Şifrelemesi için Windows yapılandırma
Uygulama: ✔️ Windows VM'ler ✔️ Esnek ölçek kümeleri
Azure Disk Şifrelemesi, disk Azure Key Vault ve gizli dizilerini kontrol etmek ve yönetmek için Azure Key Vault kullanır. Anahtar kasaları hakkında daha fazla bilgi için bkz. Kullanmaya başlayın ile Azure Key Vault ve Anahtar kasanızı güvenli hale Azure Key Vault.
Uyarı
- Daha önce bir VM'Azure Disk Şifrelemesi şifrelemek için Azure AD ile sanal makine kullandıysanız, VM'nizi şifrelemek için bu seçeneği kullanmaya devam edin. Ayrıntılar için bkz. Azure AD ile Azure Disk Şifrelemesi için anahtar kasası oluşturma ve yapılandırma (önceki sürüm).
Bir anahtar kasasını Azure Disk Şifrelemesi oluşturmak ve yapılandırmak üç adımdan oluşur:
Not
Birim şifrelemesi için Azure Key Vault için erişim ilkesi ayarlarında seçeneğini Azure Disk Şifrelemesi gerekir. Anahtar kasasında güvenlik duvarını etkinleştirdiyseniz, anahtar kasasının Ağ sekmesine gidip Microsoft Güvenilen Hizmetler'e erişimi etkinleştirmeniz gerekir.
- Gerekirse bir kaynak grubu oluşturma.
- Anahtar kasası oluşturma.
- Anahtar kasası gelişmiş erişim ilkelerini ayarlama.
Bu adımlar aşağıdaki hızlı başlangıçlarda göstermektedir:
- Azure CLI ile Windows VM oluşturma ve şifreleme
- Azure PowerShell ile Windows VM oluşturma ve şifreleme
Anahtar şifreleme anahtarı (KEK) oluşturmak veya içeri aktarmak isterseniz de kullanabilirsiniz.
Not
Bu makaledeki adımlar, Azure Disk Şifrelemesi önkoşulları CLI betiğinde ve Azure Disk Şifrelemesi PowerShell betiğinde otomatik olarak lanmıştır.
Araçları yükleme ve Azure'a bağlanma
Bu makaledeki adımlar Azure CLI,Azure PowerShell Azmodülü veya Azure portal.
Portala tarayıcınız üzerinden erişilebilir durumdayken, Azure CLI ve Azure PowerShell yerel yükleme gerekir; Ayrıntılar Azure Disk Şifrelemesi için bkz. Windows: Araçları yükleme.
Azure hesabınıza bağlanma
Azure CLI veya Azure PowerShell önce Azure aboneliğinize bağlanmanız gerekir. Bunu yapmak için Azure CLIile oturum açın, Azure PowerShellile oturum açın veya istendiğinde kimlik bilgilerinizi Azure portal girin.
az login
Connect-AzAccount
Kaynak grubu oluşturma
Zaten bir kaynak grubunuz varsa, bir Anahtar Kasası oluşturmakiçin atlayabilirsiniz.
Kaynak grubu, Azure kaynaklarının dağıtıldığı ve yönetildiği bir mantıksal kapsayıcıdır.
az group create Azure CLI komutunu, New-azresourcegroup Azure PowerShell komutunu veya Azure portalkullanarak bir kaynak grubu oluşturun.
Azure CLI
az group create --name "myResourceGroup" --location eastus
Azure PowerShell
New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"
Anahtar kasası oluşturma
Zaten bir anahtar kasanız varsa, Anahtar Kasası Gelişmiş erişim Ilkeleri ayarlamakiçin atlayabilirsiniz.
az keykasa create Azure clı komutunu, New-azkeykasa Azure PowerShell komutunu, Azure portalveya Kaynak Yöneticisi şablonunukullanarak bir anahtar kasası oluşturun.
Uyarı
Anahtar kasanızın ve sanal makinelerinizin aynı abonelikte olması gerekir. Ayrıca, şifreleme gizli dizilerini bölge sınırları arasında olmamasını sağlamak için, Azure disk şifrelemesi Key Vault ve VM 'Lerin aynı bölgede birlikte bulunmasını gerektirir. Şifrelenecek VM 'Lerle aynı abonelikte ve bölgede bulunan bir Key Vault oluşturun ve kullanın.
Her Key Vault benzersiz bir adı olmalıdır. <your-unique-keyvault-name>Aşağıdaki örneklerde anahtar kasanızın adıyla değiştirin.
Azure CLI
Azure CLı kullanarak bir Anahtar Kasası oluştururken, "--Enabled-for-disk-Encryption" bayrağını ekleyin.
az keyvault create --name "<your-unique-keyvault-name>" --resource-group "myResourceGroup" --location "eastus" --enabled-for-disk-encryption
Azure PowerShell
Azure PowerShell kullanarak bir anahtar kasası oluştururken "-enabledfordiskencryption" bayrağını ekleyin.
New-AzKeyvault -name "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup" -Location "eastus" -EnabledForDiskEncryption
Resource Manager şablonu
Ayrıca, Kaynak Yöneticisi şablonunukullanarak bir anahtar kasası da oluşturabilirsiniz.
- Azure hızlı başlangıç şablonunda Azure 'A dağıt' a tıklayın.
- Abonelik, kaynak grubu, kaynak grubu konumu, Key Vault adı, nesne KIMLIĞI, yasal koşullar ve anlaşma ' ı seçin ve ardından satın al' a tıklayın.
Anahtar kasası gelişmiş erişim ilkelerini ayarlama
Azure platformunun, birimleri önyüklemek ve şifrelerini çözmek için sanal makine için kullanılabilir hale getirmek üzere anahtar kasasındaki şifreleme anahtarlarına veya gizli anahtarlara erişmesi gerekir.
Anahtar kasanızı, oluşturma sırasında (önceki adımda gösterildiği gibi) disk şifrelemesi, dağıtım veya şablon dağıtımı için etkinleştirmezseniz, Gelişmiş erişim ilkelerini güncelleştirmeniz gerekir.
Azure CLI
Anahtar Kasası için disk şifrelemeyi etkinleştirmek üzere az keykasatıon Update kullanın.
Key Vault disk şifrelemesi Için etkinleştir: Etkin-disk şifrelemesi gereklidir.
az keyvault update --name "<your-unique-keyvault-name>" --resource-group "MyResourceGroup" --enabled-for-disk-encryption "true"Gerekirse dağıtım için Key Vault etkinleştirin: Bu Anahtar Kasası kaynak oluşturma bölümünde başvuruluyorsa, örneğin bir sanal makine oluştururken, Microsoft. COMPUTE kaynak sağlayıcısı 'nın bu anahtar kasasından gizli dizileri almasını sağlar.
az keyvault update --name "<your-unique-keyvault-name>" --resource-group "MyResourceGroup" --enabled-for-deployment "true"Gerekirse, şablon dağıtımı için Key Vault etkinleştirin: Kaynak Yöneticisi kasalardan gizli dizileri almasına izin verin.
az keyvault update --name "<your-unique-keyvault-name>" --resource-group "MyResourceGroup" --enabled-for-template-deployment "true"
Azure PowerShell
Anahtar Kasası için disk şifrelemeyi etkinleştirmek üzere set-AzKeyVaultAccessPolicy Anahtar Kasası PowerShell cmdlet 'ini kullanın.
Key Vault disk şifrelemesi Için etkinleştir: Azure disk şifrelemesi için EnabledForDiskEncryption gereklidir.
Set-AzKeyVaultAccessPolicy -VaultName "<your-unique-keyvault-name>" -ResourceGroupName "MyResourceGroup" -EnabledForDiskEncryptionGerekirse dağıtım için Key Vault etkinleştirin: Bu Anahtar Kasası kaynak oluşturma bölümünde başvuruluyorsa, örneğin bir sanal makine oluştururken, Microsoft. COMPUTE kaynak sağlayıcısı 'nın bu anahtar kasasından gizli dizileri almasını sağlar.
Set-AzKeyVaultAccessPolicy -VaultName "<your-unique-keyvault-name>" -ResourceGroupName "MyResourceGroup" -EnabledForDeploymentGerekirse, şablon dağıtımı için Key Vault etkinleştirin: Bu anahtar kasası bir şablon dağıtımında başvuruluyorsa, Azure Resource Manager Bu anahtar kasasından gizli dizileri almasını sağlar.
Set-AzKeyVaultAccessPolicy -VaultName "<your-unique-keyvault-name>" -ResourceGroupName "MyResourceGroup" -EnabledForTemplateDeployment
Azure portal
Anahtar kasanızı seçin, erişim ilkeleri' ne gidin ve Gelişmiş erişim Ilkelerini göstermek için tıklayın.
Birim şifrelemesi Için Azure disk şifrelemesi 'ne erişimi etkinleştir etiketli kutuyu seçin.
Dağıtım Için Azure sanal makinelerine erişimi etkinleştir ' i seçin ve/veya gerekirse şablon dağıtımı Için Azure Resource Manager erişimi etkinleştirin.
Kaydet’e tıklayın.
Anahtar şifreleme anahtarı ayarlama (KEK)
Önemli
Anahtar Kasası üzerinde disk şifrelemeyi etkinleştirmek için çalışan hesap "okuyucu" izinlerine sahip olmalıdır.
Şifreleme anahtarları için ek bir güvenlik katmanı için anahtar şifreleme anahtarı (KEK) kullanmak istiyorsanız, anahtar kasanıza bir KEK ekleyin. Anahtar şifreleme anahtarı belirtildiğinde Azure disk şifrelemesi, Key Vault yazmadan önce şifreleme gizli dizilerini kaydırmak için bu anahtarı kullanır.
Azure clı az keykasa key create komutunu, Azure PowerShell Add-azkeyvaultkey cmdlet 'ini veya Azure portalkullanarak yeni bir KEK oluşturabilirsiniz. Bir RSA anahtar türü oluşturmanız gerekir; Azure disk şifrelemesi henüz eliptik eğri anahtarlarını kullanmayı desteklemiyor.
Bunun yerine, şirket içi anahtar yönetimi HSM 'nizden bir KEK içeri aktarabilirsiniz. Daha fazla bilgi için bkz. Key Vault belgeleri.
Anahtar Kasası KEK URL 'Lerinin sürümü oluşturulmalıdır. Azure, sürüm oluşturma kısıtlaması uygular. Geçerli gizli ve KEK URL 'Leri için aşağıdaki örneklere bakın:
- Geçerli bir gizli dizi URL 'SI örneği: https://contosovault.vault.azure.net/secrets/EncryptionSecretWithKek/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
- Geçerli bir KEK URL örneği: https://contosovault.vault.azure.net/keys/diskencryptionkek/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Azure disk şifrelemesi, Anahtar Kasası gizli dizileri ve KEK URL 'Lerinin bir parçası olarak bağlantı noktası numaraları belirtilmesini desteklemez. Desteklenmeyen ve desteklenen Anahtar Kasası URL 'Leri örnekleri için aşağıdaki örneklere bakın:
- Kabul edilebilir Anahtar Kasası URL 'SI: https://contosovault.vault.azure.net/secrets/contososecret/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
- Kabul edilmeyen Anahtar Kasası URL 'SI: https://contosovault.vault.azure.net:443/secrets/contososecret/xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Azure CLI
Yeni bir KEK oluşturmak ve bunu Anahtar Kasanızda depolamak için Azure CLı az keykasa Key Create komutunu kullanın.
az keyvault key create --name "myKEK" --vault-name "<your-unique-keyvault-name>" --kty RSA --size 4096
Bunun yerine, Azure CLı az keykasa Key Import komutunu kullanarak bir özel anahtarı içeri aktarabilirsiniz:
Her iki durumda da, KEK adını Azure CLı az VM Encryption Enable --Key-encryption-key parametresi olarak sağlarsınız.
az vm encryption enable -g "MyResourceGroup" --name "myVM" --disk-encryption-keyvault "<your-unique-keyvault-name>" --key-encryption-key "myKEK"
Azure PowerShell
yeni bir KEK oluşturmak ve bunu anahtar kasanızda depolamak için Azure PowerShell Add-azkeyvaultkey cmdlet 'ini kullanın.
Add-AzKeyVaultKey -Name "myKEK" -VaultName "<your-unique-keyvault-name>" -Destination "HSM" -Size 4096
bunun yerine, Azure PowerShell az keykasa key ımport komutunu kullanarak bir özel anahtarı içeri aktarabilirsiniz.
her iki durumda da, KEK anahtar kasanızın kimliğini ve KEK Set-azvmdiskencryptionextension -keyencryptionkeytultıd ve-keyencryptionkeyurl parametrelerine Azure PowerShell URL 'sini sağlamanız gerekir. Bu örnekte, hem disk şifreleme anahtarı hem de KEK için aynı anahtar kasasını kullandığınızı varsaydığını unutmayın.
$KeyVault = Get-AzKeyVault -VaultName "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup"
$KEK = Get-AzKeyVaultKey -VaultName "<your-unique-keyvault-name>" -Name "myKEK"
Set-AzVMDiskEncryptionExtension -ResourceGroupName MyResourceGroup -VMName "MyVM" -DiskEncryptionKeyVaultUrl $KeyVault.VaultUri -DiskEncryptionKeyVaultId $KeyVault.ResourceId -KeyEncryptionKeyVaultId $KeyVault.ResourceId -KeyEncryptionKeyUrl $KEK.Id -SkipVmBackup -VolumeType All