Шифрование управляемых дисков с использованием клиентом управляемых ключей с межарендаторской поддержкой.

Войдите на портал Azure и выполните следующие действия.

Поставщик услуг настраивает идентификационные данные

Поставщик услуги выполняет следующие действия в арендаторе поставщика услуги Tenant1.

Поставщик услуг создает новую регистрацию мультитенантного приложения

Можно создать новую регистрацию мультитенантного приложения Microsoft Entra или начать с существующей регистрации такого приложения. Если вы начинаете с существующей регистрации приложения, запишите идентификатор приложения (идентификатор клиента).

Чтобы создать новую регистрацию:

1. Найдите идентификатор Microsoft Entra в поле поиска. Найдите и выберите расширение Microsoft Entra ID.

2. В области слева выберите Управление > регистрацией приложений.

3. Выберите + Создать регистрацию.

4. Укажите имя регистрации приложения и выберите учетную запись в любом каталоге организации (любой каталог Microsoft Entra — Multitenant).

5. Выберите Зарегистрировать.

6. Запишите значение ApplicationId или ClientId приложения.

   

Поставщик службы создает управляемое удостоверение, назначаемое пользователем

Создайте управляемую идентификацию, назначаемую пользователем, для использования в качестве учетных данных федеративной идентификации.

1. В поле поиска введите запрос управляемые удостоверения. Найдите и выберите расширение Управляемые идентификаторы.

2. Выберите + Создать.

3. Укажите группу ресурсов, регион и имя для управляемого удостоверения.

4. Выберите Review + create.

5. При успешном развертывании запишите значение ResourceId Azure управляемого удостоверения, назначаемого пользователем, которое доступно в разделе Свойства. Рассмотрим пример.

   /subscriptions/tttttttt-0000-tttt-0000-tttt0000tttt/resourcegroups/XTCMKDemo/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ConsotoCMKDemoUA

   

Поставщик службы настраивает управляемое удостоверение, назначаемое пользователем, в качестве федеративных учетных данных в приложении

Настройте управляемое удостоверение, назначенное пользователем, в качестве учетных данных федеративного удостоверения в приложении, чтобы оно могло действовать от имени приложения.

1. Перейдите к Microsoft Entra ID > Регистрация приложений > вашего приложения.

2. Выберите Сертификаты и секреты.

3. Выберите элемент Федеративные учетные данные.

   

4. Выберите «Добавить учетные данные».

5. В сценарии "Федеративные учетные данные" выберите Управляемое удостоверение.

6. Щелкните Выберите управляемое удостоверение. На панели выберите подписку. В разделе Управляемое удостоверение выберите элемент Управляемое удостоверение, назначаемое пользователем. В поле Выбор найдите управляемое удостоверение, которое вы создали ранее, и нажмите кнопку Выбрать в нижней части панели.

   

7. В разделе Сведения об учетных данных укажите имя и необязательное описание учетных данных и нажмите кнопку Добавить.

   

Чтобы использовать Azure PowerShell для настройки клиента поставщика программного обеспечения, установите последний модуль Az . Дополнительные сведения об установке PowerShell см. в статье Установка Azure PowerShell в ОС Windows с помощью PowerShellGet.

• Если вы решили использовать Azure PowerShell локально:
  • Установите последнюю версию модуля Az PowerShell.
  • Подключитесь к учетной записи Azure с помощью командлета Connect-AzAccount.
• Если вы решили использовать Azure Cloud Shell:
  • Дополнительные сведения см. в статье Общие сведения об Azure Cloud Shell.

Поставщик услуг настраивает удостоверения

Следующие действия выполняются поставщиком услуг (ISV) в клиенте поставщика услуг Tenant1.

Поставщик услуг входит в Azure.

В Azure PowerShell войдите в клиент поставщика программного обеспечения и задайте активную подписку на подписку поставщика программного обеспечения.

$isvTenantId="<isv-tenant-id>"
$isvSubscriptionId="<isv-subscription-id>"

# Sign in to Azure in the ISV's tenant.
Connect-AzAccount -Tenant $isvTenantId
# Set the context to the ISV's subscription.
Set-AzContext -Subscription $isvSubscriptionId

Поставщик услуг создает новую регистрацию многопользовательского приложения

Выберите имя для зарегистрированного приложения с несколькими арендаторами в Tenant1 и создайте мультитенантное приложение в портале Azure.

Имя, указанное для мультитенантного приложения, используется клиентом для идентификации приложения в Tenant2. Обратите внимание на идентификатор объекта приложения и идентификатор приложения. Эти значения потребуются в последующих шагах.

$multiTenantAppName="<multi-tenant-app>"
$multiTenantApp = New-AzADApplication -DisplayName $multiTenantAppName `
    -SignInAudience AzureADMultipleOrgs

# Object ID for the new multi-tenant app
$objectId = $multiTenantApp.Id
# Application (client) ID for the multi-tenant app
$multiTenantAppObjectId = $multiTenantApp.AppId

Поставщик услуг создает назначаемое пользователем управляемое удостоверение

Войдите в тенант независимого поставщика программного обеспечения, а затем создайте управляемую идентичность, назначаемую пользователем, для использования в качестве учетной информации федеративного удостоверения. Чтобы создать пользовательское управляемое удостоверение, необходимо назначить роль, которая включает действие Microsoft.ManagedIdentity/userAssignedIdentities/write.

$isvRgName="<isv-resource-group>"
$isvLocation="<location>"
$userIdentityName="<user-assigned-managed-identity>"

# Create a new resource group in the ISV's subscription.
New-AzResourceGroup -Location $isvLocation -ResourceGroupName $isvRgName

# Create the new user-assigned managed identity.
$userIdentity = New-AzUserAssignedIdentity -Name $userIdentityName `
    -ResourceGroupName $isvRgName `
    -Location $isvLocation `
    -SubscriptionId $isvSubscriptionId

Поставщик службы настраивает управляемое удостоверение, назначаемое пользователем, в качестве федеративных учетных данных в приложении

Настройте назначаемое пользователем управляемое удостоверение в качестве учетных данных федеративного удостоверения в приложении, чтобы оно могло имитировать идентичность приложения.

Чтобы настроить учетные данные федеративного удостоверения из PowerShell, сначала установите версию 6.3.0 или более позднюю версию модуля Az.Resources .

New-AzADAppFederatedCredential -ApplicationObjectId $multiTenantApp.Id `
    -Name "MyFederatedIdentityCredential" `
    -Audience "api://AzureADTokenExchange" `
    -Issuer "https://login.microsoftonline.com/<tenant-id>/v2.0" `
    -Subject $userIdentity.PrincipalId `
    -Description "Federated Identity Credential for CMK"

• Используйте среду Bash в Azure Cloud Shell. Дополнительные сведения см. в статье "Начало работы с Azure Cloud Shell".

  

• Если вы предпочитаете запускать справочные команды CLI локально, установите Azure CLI. Если вы работаете в Windows или macOS, попробуйте запустить Azure CLI в контейнере Docker. Дополнительные сведения см. в статье Как запустить Azure CLI в контейнере Docker.

  • Если вы используете локальную установку, выполните вход в Azure CLI с помощью команды az login. Чтобы завершить процесс проверки подлинности, выполните действия, отображаемые в терминале. Сведения о других параметрах входа см. в статье "Проверка подлинности в Azure с помощью Azure CLI".

  • Установите расширение Azure CLI при первом использовании, когда появится соответствующий запрос. Дополнительные сведения о расширениях см. в статье Использование расширений и управление ими с помощью Azure CLI.

  • Выполните команду az version, чтобы узнать установленную версию и зависимые библиотеки. Чтобы обновиться до последней версии, выполните команду az upgrade.

Поставщик услуг настраивает идентичности

В арендаторе Tenant1 поставщик услуг выполняет следующие действия.

Поставщик услуг входит в Azure.

Войдите в Azure для использования Azure CLI.

az login

Поставщик услуг создает новую регистрацию мультитенантного приложения

Выберите имя мультитенантного приложения в Tenant1 и создайте мультитенантное приложение в портал Azure.

Имя, указанное для мультитенантного приложения, используется клиентом для идентификации приложения в Tenant2. Скопируйте идентификатор приложения (или идентификатор клиента) приложения, идентификатор объекта приложения, а также идентификатор клиента для приложения. Эти значения понадобятся вам на следующих этапах.

multiTenantAppName="<multi-tenant-app>"
multiTenantAppObjectId=$(az ad app create --display-name $multiTenantAppName \
    --sign-in-audience AzureADMultipleOrgs \
    --query id \
    --output tsv)

multiTenantAppId=$(az ad app show --id $multiTenantAppObjectId --query appId --output tsv)

Поставщик службы создает управляемое удостоверение, назначаемое пользователем

Войдите в клиент поставщика программного обеспечения, затем создайте управляемое удостоверение, назначаемое пользователем, чтобы использовать его в качестве учетных данных федеративного удостоверения. Чтобы создать пользовательски назначаемое управляемое удостоверение, необходимо иметь назначенную роль, которая включает действие Microsoft.ManagedIdentity/userAssignedIdentities/write.

isvSubscriptionId="<isv-subscription-id>"
isvRgName="<isv-resource-group>"
isvLocation="<location>"
userIdentityName="<user-assigned-managed-identity>"

az group create --location $isvLocation \
    --resource-group $isvRgName \
    --subscription $isvSubscriptionId

principalId=$(az identity create --name $userIdentityName \
    --resource-group $isvRgName \
    --location $isvLocation \
    --subscription $isvSubscriptionId \
    --query principalId \
    --out tsv)

Поставщик службы настраивает управляемое удостоверение, назначаемое пользователем, в качестве федеративных учетных данных в приложении

Запустите метод az ad app federated-credential create, чтобы настроить учетные данные федеративного удостоверения в приложении и создать доверительные отношения с внешним поставщиком удостоверений.

Используйте api://AzureADTokenExchange в качестве значения audience в учетных данных федеративного удостоверения. Дополнительные сведения см. в справочнике по API.

# Create a file named "credential.json" with the following content.
# Replace placeholders in angle brackets with your own values.
{
    "name": "MyFederatedIdentityCredential",
    "issuer": "https://login.microsoftonline.com/<tenantID>/v2.0",
    "subject": "<user-assigned-identity-principal-id>",
    "description": "Federated Identity Credential for CMK",
    "audiences": [
        "api://AzureADTokenExchange"
    ]
}

az ad app federated-credential create --id $multiTenantAppObjectId --parameters credential.json

Войдите на портал Azure и выполните следующие действия.

Клиент устанавливает приложение поставщика услуг в клиентском облаке

Чтобы установить зарегистрированное приложение поставщика услуг в арендаторе клиента, создайте представителя службы, используя идентификатор зарегистрированного приложения. Субъект-службу можно создать с помощью любого из следующих способов:

• Учетную запись службы можно создать вручную с помощью Microsoft Graph, Microsoft Graph PowerShell, Azure PowerShell или Azure CLI.
• Создайте URL-адрес для предоставления согласия администратора и предоставьте арендаторское согласие для создания служебного принципала. Вам потребуется предоставить свой AppId.

Клиент создает хранилище ключей

Чтобы создать хранилище ключей, учетной записи пользователя необходимо назначить роль участника хранилища ключей или другую роль, которая разрешает создание хранилища ключей.

1. На домашней странице или в меню портала Azure выберите + Создать ресурс. В поле поиска введите запрос хранилища ключей. В списке результатов выберите элемент Хранилища ключей. На странице Хранилища ключей нажмите кнопку Создать.

2. На вкладке Основные сведения выберите подписку. В разделе Группа ресурсов выберите команду Создать и введите имя группы ресурсов.

3. Введите уникальное имя хранилища ключей.

4. Выберите регион и ценовую категорию.

5. Включите защиту от очистки для нового хранилища ключей.

6. На вкладке Политика доступа выберите значение Управление доступом на основе ролей Azure для параметра Модель разрешений.

7. Выберите Просмотр и создание, а затем щелкните Создать.

   

Запишите имя и URI хранилища ключей. Приложения, которые обращаются к вашему хранилищу ключей, должны использовать этот URI.

Дополнительные сведения см. в статье Краткое руководство. Создание хранилища ключей с помощью портала Azure.

Клиент назначает учетной записи роль офицера криптографии Key Vault

Этот шаг гарантирует, что вы сможете создать ключи шифрования.

1. Перейдите к хранилищу ключей и выберите элемент Управление доступом (IAM) в области слева.
2. В разделе Предоставить доступ к этому ресурсу выберите элемент Добавление назначения ролей.
3. Выполните поиск по запросу Специалист по шифрованию хранилища ключей и выберите соответствующий результат.
4. В разделе Члены выберите элемент Пользователь, группа или субъект-служба.
5. Выберите элемент Члены и найдите свою учетную запись пользователя.
6. Выберите Проверить и назначить.

Клиент создает ключ шифрования

Чтобы создать ключ шифрования, учетной записи пользователя необходимо назначить роль специалиста по шифрованию хранилища ключей или другую роль, которая разрешает создание ключа.

1. На странице свойств хранилища ключей выберите элемент Ключи.
2. Выберите Создать/импортировать.
3. На экране создания ключа укажите имя ключа. Оставьте другие значения по умолчанию.
4. Выберите Создать.
5. Скопируйте URI ключа.

Клиент предоставляет приложению поставщика службы доступ к хранилищу ключей

Назначьте роль Azure RBAC Пользователь шифрования службы криптографии хранилища ключей для зарегистрированного приложения поставщика услуг, чтобы предоставить ему доступ к хранилищу ключей.

1. Перейдите к хранилищу ключей и выберите элемент Управление доступом (IAM) в области слева.
2. В разделе Предоставить доступ к этому ресурсу выберите элемент Добавление назначения ролей.
3. Выполните поиск и выберите пользователя службы шифрования Key Vault Crypto Service Encryption.
4. В разделе Члены выберите элемент Пользователь, группа или субъект-служба.
5. Выберите элемент Члены и найдите имя установленного приложения, полученного от поставщика службы.
6. Выберите Проверить + Назначить.

Теперь вы можете настроить ключи, управляемые клиентом, с помощью URI хранилища ключей и ключа.

Чтобы настроить арендатора клиента в Azure PowerShell, установите последний модуль Az. Дополнительные сведения об установке PowerShell см. в статье Установка Azure PowerShell в ОС Windows с помощью PowerShellGet.

• Если вы решили использовать Azure PowerShell локально:
  • Установите последнюю версию модуля Az PowerShell.
  • Подключитесь к учетной записи Azure с помощью командлета Connect-AzAccount.
• Если вы решили использовать Azure Cloud Shell:
  • Дополнительные сведения см. в статье Общие сведения об Azure Cloud Shell.

Клиент входит в Azure

В Azure PowerShell войдите в клиент клиента и задайте активную подписку на подписку клиента.

$customerTenantId="<customer-tenant-id>"
$customerSubscriptionId="<customer-subscription-id>"

# Sign in to Azure in the customer's tenant.
Connect-AzAccount -Tenant $customerTenantId
# Set the context to the customer's subscription.
Set-AzContext -Subscription $customerSubscriptionId

Клиент устанавливает приложение поставщика услуг в арендаторе клиента

Получив идентификатор приложения мультитенантного приложения поставщика услуг, установите его в клиенте, Tenant2, создав принципал-службы.

Выполните следующие команды в тенанте, где вы планируете создать хранилище ключей.

$customerRgName="<customer-resource-group>"
$customerLocation="<location>"
$multiTenantAppId="<multi-tenant-app-id>" # appId value from Tenant1 

# Create a resource group in the customer's subscription.
New-AzResourceGroup -Location $customerLocation -ResourceGroupName $customerRgName

# Create the service principal with the registered app's application ID (client ID).
$servicePrincipal = New-AzADServicePrincipal -ApplicationId $multiTenantAppId

Клиент создает хранилище ключей

Чтобы создать хранилище ключей, учетной записи клиента необходимо назначить роль участника хранилища ключей или другую роль, которая разрешает создание хранилища ключей.

$kvName="<key-vault>"

$kv = New-AzKeyVault -Location $customerLocation `
    -Name $kvName `
    -ResourceGroupName $customerRgName `
    -SubscriptionId $customerSubscriptionId `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

Клиент назначает учетной записи пользователя роль "Специалист по шифрованию хранилища ключей"

Назначьте роль офицера шифрования Key Vault учетной записи пользователя. Этот шаг гарантирует, что пользователь может создать хранилище ключей и ключи шифрования. В приведенном ниже примере роль назначается текущему пользователю, вошедшего в систему.

$currentUserObjectId = (Get-AzADUser -SignedIn).Id

New-AzRoleAssignment -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $kv.ResourceId `
    -ObjectId $currentUserObjectId

Клиент создает ключ шифрования

Чтобы создать ключ шифрования, учетной записи пользователя необходимо назначить роль специалиста по шифрованию хранилища ключей или другую роль, которая разрешает создание ключа.

$keyName="<key-name>"

Add-AzKeyVaultKey -Name $keyName `
    -VaultName $kvName `
    -Destination software

Клиент предоставляет приложению поставщика службы доступ к хранилищу ключей

Назначьте роль Azure RBAC Пользователь шифрование службы шифрования хранилища ключей зарегистрированному приложению поставщика услуг через созданный ранее основной компонент службы, чтобы он мог получить доступ к хранилищу ключей.

New-AzRoleAssignment -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $kv.ResourceId `
    -ObjectId $servicePrincipal.Id

Теперь вы можете настроить ключи, управляемые клиентом, с помощью URI хранилища ключей и ключа.

• Используйте среду Bash в Azure Cloud Shell. Дополнительные сведения см. в статье "Начало работы с Azure Cloud Shell".

  

• Если вы предпочитаете запускать справочные команды CLI локально, установите Azure CLI. Если вы работаете в Windows или macOS, попробуйте запустить Azure CLI в контейнере Docker. Дополнительные сведения см. в статье Как запустить Azure CLI в контейнере Docker.

  • Если вы используете локальную установку, выполните вход в Azure CLI с помощью команды az login. Чтобы завершить процесс проверки подлинности, выполните действия, отображаемые в терминале. Сведения о других параметрах входа см. в статье "Проверка подлинности в Azure с помощью Azure CLI".

  • Установите расширение Azure CLI при первом использовании, когда появится соответствующий запрос. Дополнительные сведения о расширениях см. в статье Использование расширений и управление ими с помощью Azure CLI.

  • Выполните команду az version, чтобы узнать установленную версию и зависимые библиотеки. Чтобы обновиться до последней версии, выполните команду az upgrade.

Клиент входит в Azure

Войдите в Azure для использования Azure CLI.

az login

Клиент устанавливает приложение поставщика услуг в арендаторе клиента

Получив идентификатор мультитенантного приложения поставщика услуг, установите приложение в своем арендаторе Tenant2 с помощью следующей команды. При установке приложения в вашем tenant-е создается основной объект службы.

Выполните следующие команды в арендаторе, где планируете создать хранилище ключей.

# Create the service principal with the registered app's application ID (client ID)
multiTenantAppId="<multi-tenant-app-id>"
az ad sp create --id $multiTenantAppId --query id --out tsv

Клиент создает хранилище ключей

Чтобы создать хранилище ключей, учетной записи клиента необходимо назначить роль участника хранилища ключей или другую роль, которая разрешает создание хранилища ключей.

customerSubscriptionId="<customer-subscription-id>"
customerRgName="<customer-resource-group>"
customerLocation="<location>"
kvName="<key-vault>"

az group create --location $customerLocation \
    --name $customerRgName

az keyvault create --name $kvName \
    --location $customerLocation \
    --resource-group $customerRgName \
    --subscription $customerSubscriptionId \
    --enable-purge-protection true \
    --enable-rbac-authorization true

Назначение клиентом роли "Специалист по шифрованию хранилища ключей" некоторой учетной записи

Это гарантирует, что вы сможете создать хранилище ключей и ключи шифрования.

currentUserObjectId=$(az ad signed-in-user show --query id --output tsv)

kvResourceId=$(az keyvault show --resource-group $customerRgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --role "Key Vault Crypto Officer" \
    --scope $kvResourceId \
    --assignee-object-id $currentUserObjectId

Клиент создает ключ шифрования

Чтобы создать ключ шифрования, учетной записи пользователя необходимо назначить роль специалиста по шифрованию хранилища ключей или другую роль, которая разрешает создание ключа.

keyName="<key-name>"
az keyvault key create --name $keyName --vault-name $kvName

Клиент предоставляет приложению поставщика службы доступ к хранилищу ключей

Назначьте роли Azure RBAC Пользователь службы шифрования Хранилища ключей для зарегистрированного приложения поставщика услуг через созданного ранее участвующего субъекта, чтобы зарегистрированное приложение имело доступ к хранилищу ключей.

servicePrincipalId=$(az ad sp show --id $multiTenantAppId --query id --output tsv)

az role assignment create --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-object-id $servicePrincipalId

Теперь вы можете настроить ключи, управляемые клиентом, с помощью URI хранилища ключей и ключа.

Чтобы использовать портал Azure, войдите на портал и выполните следующие действия.

1. Выберите + Создать ресурс, найдите набор шифрования дисков и выберите Создать > набор шифрования дисков.

2. В разделе "Сведения о проекте" выберите подписку и группу ресурсов, в которой необходимо создать набор шифрования дисков.

3. В разделе " Сведения об экземпляре" укажите имя набора шифрования дисков.

   

4. Выберите регион, в котором создается набор шифрования дисков.

5. Для параметра Тип шифрования выберите значение Шифрование неактивных данных с помощью управляемого клиентом ключа.

6. В разделе «Ключ шифрования» выберите переключатель «Ввести ключ из URI», затем введите URI ключа, созданного у арендатора клиента.

7. В разделе "Назначаемое пользователем удостоверение" выберите "Выбрать удостоверение".

8. Выберите управляемое удостоверение, назначаемое пользователем, созданное ранее в клиенте поставщика программного обеспечения, и нажмите кнопку "Добавить".

9. В разделе Мультитенантное приложение выберите " Выбрать приложение".

10. Выберите многотенантное зарегистрированное приложение, созданное ранее в клиенте поставщика программного обеспечения, и нажмите кнопку "Выбрать".

11. Выберите Review + create.

Чтобы использовать Azure PowerShell, установите последний модуль Az или модуль Az.Storage. Дополнительные сведения об установке PowerShell см. в статье Установка Azure PowerShell в ОС Windows с помощью PowerShellGet.

• Если вы решили использовать Azure PowerShell локально:
  • Установите последнюю версию модуля Az PowerShell.
  • Подключитесь к учетной записи Azure с помощью командлета Connect-AzAccount.
• Если вы решили использовать Azure Cloud Shell:
  • Дополнительные сведения см. в статье Общие сведения об Azure Cloud Shell.

В приведенном ниже скрипте в параметре -FederatedClientId должен быть указан идентификатор приложения (идентификатор клиента) мультитенантного приложения. Кроме того, нужно предоставить идентификатор подписки, имя группы ресурсов и имя удостоверения.

$userAssignedIdentities = @{"/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/identityName" = @{}};

$config = New-AzDiskEncryptionSetConfig `
   -Location 'westcentralus' `
   -KeyUrl "https://vault1.vault.azure.net:443/keys/key1/mykey" `
   -IdentityType 'UserAssigned' `
   -RotationToLatestKeyVersionEnabled $True `
   -UserAssignedIdentity $userAssignedIdentities `
   -FederatedClientId "00000000-0000-0000-0000-000000000000" `
   $config `
   | New-AzDiskEncryptionSet -ResourceGroupName 'rg1' -Name 'enc1'

• Используйте среду Bash в Azure Cloud Shell. Дополнительные сведения см. в статье "Начало работы с Azure Cloud Shell".

  

• Если вы предпочитаете запускать справочные команды CLI локально, установите Azure CLI. Если вы работаете в Windows или macOS, попробуйте запустить Azure CLI в контейнере Docker. Дополнительные сведения см. в статье Как запустить Azure CLI в контейнере Docker.

  • Если вы используете локальную установку, выполните вход в Azure CLI с помощью команды az login. Чтобы завершить процесс проверки подлинности, выполните действия, отображаемые в терминале. Сведения о других параметрах входа см. в статье "Проверка подлинности в Azure с помощью Azure CLI".

  • Установите расширение Azure CLI при первом использовании, когда появится соответствующий запрос. Дополнительные сведения о расширениях см. в статье Использование расширений и управление ими с помощью Azure CLI.

  • Выполните команду az version, чтобы узнать установленную версию и зависимые библиотеки. Чтобы обновиться до последней версии, выполните команду az upgrade.

В приведенном ниже скрипте в параметре myAssignedId должен быть указан идентификатор ресурса для ранее созданного управляемого удостоверения, назначаемого пользователем, а в параметре myFederatedClientId — идентификатор приложения (идентификатор клиента) мультитенантного приложения.

az disk-encryption-set create --resource-group MyResourceGroup --name MyDiskEncryptionSet --key-url MyKey --mi-user-assigned myAssignedId --federated-client-id myFederatedClientId --location westcentralus