Créer une version d’image chiffrée avec des clés gérées par le client

Afin de spécifier un jeu de chiffrement de disque pour une version d’image, utilisez New-AzGalleryImageVersion avec le paramètre -TargetRegion :

$sourceId = <ID of the image version source>
$osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet'}
$dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet1';Lun=1}
$dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet2';Lun=2}
$dataDiskImageEncryptions = @($dataDiskImageEncryption1,$dataDiskImageEncryption2)
$encryption1 = @{OSDiskImage=$osDiskImageEncryption;DataDiskImages=$dataDiskImageEncryptions}
$region1 = @{Name='West US';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption1}
$eastUS2osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet'}
$eastUS2dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet1';Lun=1}
$eastUS2dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet2';Lun=2}
$eastUS2DataDiskImageEncryptions = @($eastUS2dataDiskImageEncryption1,$eastUS2dataDiskImageEncryption2)
$encryption2 = @{OSDiskImage=$eastUS2osDiskImageEncryption;DataDiskImages=$eastUS2DataDiskImageEncryptions}
$region2 = @{Name='East US 2';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption2}
$targetRegion = @($region1, $region2)

Créer l’image

New-AzGalleryImageVersion `
   -ResourceGroupName $rgname `
   -GalleryName $galleryName `
   -GalleryImageDefinitionName $imageDefinitionName `
   -Name $versionName -Location $location `
   -SourceImageId $sourceId `
   -ReplicaCount 2 `
   -StorageAccountType Standard_LRS `
   -PublishingProfileEndOfLifeDate '2020-12-01' `
   -TargetRegion $targetRegion

Création de la machine virtuelle

Vous pouvez créer une machine virtuelle à partir d’une instance Azure Compute Gallery et utiliser des clés gérées par le client pour chiffrer les disques. La syntaxe est la même que celle utilisée pour créer une machine virtuelle généralisée ou spécialisée à partir d’une image. Utilisez le jeu de paramètres étendu et ajoutez Set-AzVMOSDisk -Name $($vmName +"_OSDisk") -DiskEncryptionSetId $diskEncryptionSet.Id -CreateOption FromImage à la configuration de la machine virtuelle.

Pour les disques de données, ajoutez le paramètre -DiskEncryptionSetId $setID quand vous utilisez Add-AzVMDataDisk.

Afin de spécifier un jeu de chiffrement de disque pour une version d’image, utilisez az image gallery create-image-version avec le paramètre --target-region-encryption. Le format pour --target-region-encryption est une liste de clés, séparée par des virgules, pour le chiffrement des disques de système d’exploitation et de données. Ce que vous obtenez doit ressembler à ceci : <encryption set for the OS disk>,<Lun number of the data disk>,<encryption set for the data disk>,<Lun number for the second data disk>,<encryption set for the second data disk>.

Si la source du disque du système d’exploitation est un disque managé ou une machine virtuelle, utilisez --managed-image pour spécifier la source de la version de l’image. Dans cet exemple, la source est une image managée qui possède un disque de système d’exploitation et un disque de données au numéro d’unité logique 0. Le disque du système d’exploitation sera chiffré avec DiskEncryptionSet1 et le disque de données avec DiskEncryptionSet2.

az sig image-version create \
   -g MyResourceGroup \
   --gallery-image-version 1.0.0 \
   --location westus \
   --target-regions westus=2=standard_lrs eastus2 \
   --target-region-encryption WestUSDiskEncryptionSet1,0,WestUSDiskEncryptionSet2 EastUS2DiskEncryptionSet1,0,EastUS2DiskEncryptionSet2 \
   --gallery-name MyGallery \
   --gallery-image-definition MyImage \
   --managed-image "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/images/myImage"

Si la source du disque du système d’exploitation est un instantané, utilisez --os-snapshot pour spécifier le disque du système d’exploitation. Ajoutez d’autres instantanés de disque de données qui doivent également faire partie de la version de l’image. Utilisez --data-snapshot-luns pour spécifier le numéro d’unité logique et --data-snapshots pour spécifier les instantanés.

Dans cet exemple, les sources sont des instantanés de disque. Le numéro d’unité logique 0 comporte un disque de système d’exploitation et un disque de données. Le disque du système d’exploitation sera chiffré avec DiskEncryptionSet1 et le disque de données avec DiskEncryptionSet2.

az sig image-version create \
   -g MyResourceGroup \
   --gallery-image-version 1.0.0 \
   --location westus\
   --target-regions westus=2=standard_lrs eastus\
   --target-region-encryption WestUSDiskEncryptionSet1,0,WestUSDiskEncryptionSet2 EastUS2DiskEncryptionSet1,0,EastUS2DiskEncryptionSet2 \
   --os-snapshot "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/snapshots/myOSSnapshot" \
   --data-snapshot-luns 0 \
   --data-snapshots "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/snapshots/myDDSnapshot" \
   --gallery-name MyGallery \
   --gallery-image-definition MyImage 

Création de la machine virtuelle

Vous pouvez créer une machine virtuelle à partir d’une instance Azure Compute Gallery et utiliser des clés gérées par le client pour chiffrer les disques. La syntaxe est la même que celle utilisée pour créer une machine virtuelle généralisée ou spécialisée avec l’ajout du paramètre --os-disk-encryption-set. Pour les disques de données, ajoutez --data-disk-encryption-sets avec une liste délimitée par des espaces des jeux de chiffrement de disque.

Quand vous créez votre version d’image dans le portail, vous pouvez utiliser l’onglet Chiffrement pour apliquer vos jeux de chiffrement de stockage.

1. Dans la page Créer une version d’image, sélectionnez l’onglet Chiffrement.
2. Dans Type de chiffrement, sélectionnez Chiffrement au repos avec une clé gérée par le client ou Double chiffrement avec les clés gérées par la plateforme et gérées par le client.
3. Pour chaque disque de l’image, sélectionnez un jeu de chiffrement dans la liste déroulante Jeu de chiffrement de disque.

Création de la machine virtuelle

Vous pouvez créer une machine virtuelle à partir d’une version d’image et utiliser des clés gérées par le client pour chiffrer les disques. Quand vous créez la machine virtuelle dans le portail, sous l’onglet Disques, sélectionnez Chiffrement au repos avec des clés gérées par le client ou Double chiffrement avec les clés gérées par la plateforme et gérées par le client pour le Type de chiffrement. Vous pouvez ensuite sélectionner le jeu de chiffrement dans la liste déroulante.