Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения: ✔️ виртуальные машины Linux ✔️ виртуальные машины Windows ✔️ гибкие масштабируемые наборы ✔️ унифицированные масштабируемые наборы
Хранилище дисков Azure позволяет управлять собственными ключами при использовании шифрования на стороне сервера (SSE) для управляемых дисков при выборе. Общие сведения о SSE с управляемыми клиентом ключами, а также другие типы шифрования управляемых дисков см. в разделе ключей, управляемых клиентом , статьи по шифрованию дисков.
Ограничения
В настоящее время ключи, управляемые клиентом, имеют следующие ограничения.
- Если эта функция включена для диска с добавочными моментальными снимками, его нельзя отключить на этом диске или его моментальных снимках. Чтобы обойти эту проблему, скопируйте все данные на совершенно другой управляемый диск, который не использует ключи, управляемые клиентом. Это можно сделать с помощью Azure CLI или модуля Azure PowerShell.
- Диск и все связанные с ним добавочные моментальные снимки должны иметь один и тот же набор шифрования дисков.
- Поддерживаются только программные и HSM-ключи RSA размером 2 048, 3 072 и 4 096 бит, другие ключи или размеры не поддерживаются.
- Для ключей HSM требуется уровень "Премиум" хранилищ ключей Azure.
- Только для дисков категории "Ультра" и SSD уровня "Премиум" версии 2:
- (предварительная версия) Управляемые удостоверения, назначаемые пользователем, доступны для дисков Категории "Ультра" и SSD уровня "Премиум" версии 2, зашифрованных с помощью ключей, управляемых клиентом.
- (предварительная версия) Диски уровня "Ультра" и SSD уровня "Премиум" версии 2 можно шифровать с помощью ключей клиента, используя Azure Key Vault, в хранилище, принадлежащем другому клиенту Microsoft Entra ID.
- Большинство ресурсов, связанных с вашими ключами, управляемыми клиентом (наборы шифрования дисков, виртуальные машины, диски и моментальные снимки), должны находиться в одной подписке и регионе.
- Хранилища ключей Azure могут использоваться из другой подписки, но должны находиться в том же регионе, что и набор шифрования дисков. В качестве предварительной версии можно использовать Azure Key Vault из разных клиентов Microsoft Entra.
- Диски, зашифрованные с помощью управляемых клиентом ключей, могут перемещаться в другую группу ресурсов, только если виртуальная машина, к которой они подключены, деактивирована.
- Диски, моментальные снимки и изображения, зашифрованные с помощью ключей, управляемых клиентом, нельзя перемещать между подписками.
- Управляемые диски, которые в настоящее время или ранее были зашифрованы с помощью Azure Disk Encryption, не могут быть зашифрованы клиентскими ключами.
- Можно создать до 5000 наборов шифрования дисков в рамках подписки на регион.
- Сведения об использовании ключей, управляемых клиентом, с общими коллекциями образов см. в статье "Предварительная версия: использование управляемых клиентом ключей для шифрования изображений".
Создание ресурсов
После включения функции необходимо настроить DiskEncryptionSet и Azure Key Vault или управляемый HSM Azure Key Vault.
Azure Key Vault
- Установите последнюю версию Azure CLI и войдите в учетную запись в Azure, используя команду az login.
- Создайте Azure Key Vault и ключ шифрования.
При создании Key Vault необходимо включить защиту от удаления. Защита от очистки гарантирует, что удаленный ключ не может быть окончательно удален до истечения срока хранения. Эти параметры защищают от потери данных из-за случайного удаления. Эти параметры являются обязательными при использовании Key Vault для шифрования управляемых дисков.
Это важно
Не используйте "верблюжий стиль" для названия региона, так как это может привести к проблемам при назначении дополнительных дисков для ресурса на портале Azure.
subscriptionId=yourSubscriptionID
rgName=yourResourceGroupName
location=westcentralus
keyVaultName=yourKeyVaultName
keyName=yourKeyName
diskEncryptionSetName=yourDiskEncryptionSetName
diskName=yourDiskName
az account set --subscription $subscriptionId
az group create --resource-group $rgName --location $location
az keyvault create -n $keyVaultName \
-g $rgName \
-l $location \
--enable-purge-protection true
az keyvault key create --vault-name $keyVaultName \
-n $keyName \
--protection software
- Создайте DiskEncryptionSet. Для включения автоматического поворота клавиши можно задать значение true , чтобы включить автоматическую смену ключа. При включении автоматического вращения система автоматически обновляет все управляемые диски, моментальные снимки и образы, ссылающиеся на комплект шифрования дисков, чтобы использовать новую версию ключа в течение одного часа.
keyVaultKeyUrl=$(az keyvault key show --vault-name $keyVaultName --name $keyName --query [key.kid] -o tsv)
az disk-encryption-set create -n $diskEncryptionSetName \
-l $location \
-g $rgName \
--key-url $keyVaultKeyUrl \
--enable-auto-key-rotation false
- Предоставьте ресурсу DiskEncryptionSet доступ к хранилищу ключей.
Замечание
Для создания удостоверения DiskEncryptionSet в идентификаторе Microsoft Entra может потребоваться несколько минут. Если при выполнении следующей команды появляется сообщение об ошибке вида "Не удается найти объект Active Directory", подождите несколько минут и повторите попытку.
desIdentity=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [identity.principalId] -o tsv)
az keyvault set-policy -n $keyVaultName \
-g $rgName \
--object-id $desIdentity \
--key-permissions wrapkey unwrapkey get
Управляемый модуль HSM в Azure Key Vault
Кроме того, для работы с ключами можно использовать управляемый модуль HSM.
Для этого нужно обеспечить соблюдение следующих предварительных условий.
- Установите последнюю версию Azure CLI и войдите в учетную запись Azure командой az login.
- Создание и настройка управляемого устройства HSM.
- Назначьте пользователю разрешения, чтобы управлять управляемым устройством HSM.
Конфигурация
После создания управляемого модуля HSM и добавления разрешений включите защиту от удаления и создайте ключ шифрования.
subscriptionId=yourSubscriptionID
rgName=yourResourceGroupName
location=westcentralus
keyVaultName=yourKeyVaultName
keyName=yourKeyName
diskEncryptionSetName=yourDiskEncryptionSetName
diskName=yourDiskName
az account set --subscription $subscriptionId
az keyvault update-hsm --subscription $subscriptionId -g $rgName --hsm-name $keyVaultName --enable-purge-protection true
az keyvault key create --hsm-name $keyVaultName --name $keyName --ops wrapKey unwrapKey --kty RSA-HSM --size 2048
Теперь создайте DiskEncryptionSet.
keyVaultKeyUrl=$(az keyvault key show --vault-name $keyVaultName --name $keyName --query [key.kid] -o tsv)
az disk-encryption-set create -n $diskEncryptionSetName \
-l $location \
-g $rgName \
--key-url $keyVaultKeyUrl \
--enable-auto-key-rotation false
Наконец, предоставьте для DiskEncryptionSet доступ к управляемому модулю HSM.
desIdentity=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [identity.principalId] -o tsv)
az keyvault role assignment create --hsm-name $keyVaultName --role "Managed HSM Crypto Service Encryption User" --assignee $desIdentity --scope /keys
Итак, создав и настроив эти ресурсы, вы теперь можете использовать их для защиты управляемых дисков. Следующие ссылки содержат примеры скриптов, каждый из которых имеет соответствующий сценарий, который можно использовать для защиты управляемых дисков.
Примеры
Создание виртуальной машины с помощью образа Marketplace, шифрование дисков ОС и данных с помощью ключей, управляемых клиентом
rgName=yourResourceGroupName
vmName=yourVMName
location=westcentralus
vmSize=Standard_DS3_V2
image=LinuxImageURN
diskEncryptionSetName=yourDiskencryptionSetName
diskEncryptionSetId=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [id] -o tsv)
az vm create -g $rgName -n $vmName -l $location --image $image --size $vmSize --generate-ssh-keys --os-disk-encryption-set $diskEncryptionSetId --data-disk-sizes-gb 128 128 --data-disk-encryption-sets $diskEncryptionSetId $diskEncryptionSetId
Шифрование существующих управляемых дисков
Существующие диски не должны быть подключены к работающей виртуальной машине, чтобы зашифровать их с помощью следующего сценария:
rgName=yourResourceGroupName
diskName=yourDiskName
diskEncryptionSetName=yourDiskEncryptionSetName
az disk update -n $diskName -g $rgName --encryption-type EncryptionAtRestWithCustomerKey --disk-encryption-set $diskEncryptionSetId
Создание масштабируемого набора виртуальных машин с помощью образа Marketplace, шифрование дисков ОС и данных с помощью ключей, управляемых клиентом
rgName=yourResourceGroupName
vmssName=yourVMSSName
location=westcentralus
vmSize=Standard_DS3_V2
image=LinuxImageURN
diskEncryptionSetName=yourDiskencryptionSetName
diskEncryptionSetId=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [id] -o tsv)
az vmss create -g $rgName -n $vmssName --image $image --upgrade-policy automatic --admin-username azureuser --generate-ssh-keys --os-disk-encryption-set $diskEncryptionSetId --data-disk-sizes-gb 64 128 --data-disk-encryption-sets $diskEncryptionSetId $diskEncryptionSetId
Создайте пустой диск, зашифрованный с помощью шифрования на стороне сервера с ключами, управляемыми клиентом, и подключите его к виртуальной машине.
vmName=yourVMName
rgName=yourResourceGroupName
diskName=yourDiskName
diskSkuName=Premium_LRS
diskSizeinGiB=30
location=westcentralus
diskLUN=2
diskEncryptionSetName=yourDiskEncryptionSetName
diskEncryptionSetId=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [id] -o tsv)
az disk create -n $diskName -g $rgName -l $location --encryption-type EncryptionAtRestWithCustomerKey --disk-encryption-set $diskEncryptionSetId --size-gb $diskSizeinGiB --sku $diskSkuName
diskId=$(az disk show -n $diskName -g $rgName --query [id] -o tsv)
az vm disk attach --vm-name $vmName --lun $diskLUN --ids $diskId
Измените ключ DiskEncryptionSet, чтобы повернуть ключ для всех ресурсов, ссылающихся на DiskEncryptionSet.
rgName=yourResourceGroupName
keyVaultName=yourKeyVaultName
keyName=yourKeyName
diskEncryptionSetName=yourDiskEncryptionSetName
keyVaultId=$(az keyvault show --name $keyVaultName--query [id] -o tsv)
keyVaultKeyUrl=$(az keyvault key show --vault-name $keyVaultName --name $keyName --query [key.kid] -o tsv)
az disk-encryption-set update -n keyrotationdes -g keyrotationtesting --key-url $keyVaultKeyUrl --source-vault $keyVaultId
Поиск состояния шифрования на стороне сервера диска
az disk show -g yourResourceGroupName -n yourDiskName --query [encryption.type] -o tsv
Это важно
Управляемые клиентом ключи используют управляемые удостоверения для ресурсов Azure, функцию Microsoft Entra ID. При настройке управляемых пользователем ключей управляемое удостоверение автоматически назначается вашим ресурсам в фоновом режиме. Если вы впоследствии перемещаете подписку, группу ресурсов или управляемый диск из одного каталога Microsoft Entra в другой, управляемое удостоверение, связанное с управляемыми дисками, не передается новому клиенту, поэтому ключи, управляемые клиентом, больше не работают. Дополнительные сведения см. в разделе "Передача подписки между каталогами Microsoft Entra".
Дальнейшие шаги
- Изучите шаблоны Azure Resource Manager для создания зашифрованных дисков с помощью ключей, управляемых клиентом
- Репликация компьютеров с дисками, управляемыми клиентом
- Настройка аварийного восстановления виртуальных машин VMware в Azure с помощью PowerShell
- Настройка аварийного восстановления в Azure для виртуальных машин Hyper-V с помощью PowerShell и Azure Resource Manager
- См. статью "Создание управляемого диска из моментального снимка" с помощью ИНТЕРФЕЙСА командной строки для примера кода.