Titkosított rendszerkép-verzió létrehozása ügyfél által felügyelt kulcsokkal
A következőkre vonatkozik: ✔️ Linux rendszerű virtuális gépek ✔️ Windows rendszerű virtuális gépek Rugalmas méretezési ✔️ csoportok ✔️ Egységes méretezési csoportok
Az Azure Compute Galleryben (korábbi nevén megosztott képgyűjteményben) tárolt képek pillanatképekként vannak tárolva. Ezek a rendszerképek automatikusan titkosítva lesznek a kiszolgálóoldali 256 bites titkosítási AES-titkosítással. A kiszolgálóoldali titkosítás a FIPS 140-2 szabványnak is megfelel. Az Azure által felügyelt lemezek alapjául szolgáló titkosítási modulokkal kapcsolatos további információkért lásd : Cryptography API: Next Generation.
A rendszerképek titkosításához platform által felügyelt kulcsokra támaszkodhat, vagy használhatja a saját kulcsait. Mindkét funkciót együtt is használhatja a dupla titkosításhoz. Ha úgy dönt, hogy saját kulcsokkal kezeli a titkosítást, megadhat egy ügyfél által felügyelt kulcsot , amelyet a rendszerképek összes lemezének titkosításához és visszafejtéséhez használhat.
A kiszolgálóoldali titkosítás az ügyfél által felügyelt kulcsokon keresztül az Azure Key Vaultot használja. Importálhatja RSA-kulcsait a kulcstartóba, vagy létrehozhat új RSA-kulcsokat az Azure Key Vaultban.
Előfeltételek
Ehhez a cikkhez már rendelkeznie kell egy lemeztitkosítási beállítással minden olyan régióban, ahol replikálni szeretné a lemezképet:
Ha csak ügyfél által felügyelt kulcsot szeretne használni, tekintse meg az ügyfél által felügyelt kulcsok kiszolgálóoldali titkosítással történő engedélyezéséről szóló cikkeket az Azure Portal vagy a PowerShell használatával.
A platform által felügyelt és az ügyfél által felügyelt kulcsok (dupla titkosításhoz) használatához tekintse meg a kettős titkosítás inaktív állapotban való engedélyezéséről szóló cikkeket az Azure Portal vagy a PowerShell használatával.
Fontos
Az Azure Portal eléréséhez a hivatkozást https://aka.ms/diskencryptionupdates kell használnia. A inaktív dupla titkosítás jelenleg nem látható a nyilvános Azure Portalon, hacsak nem használja ezt a hivatkozást.
Korlátozások
Ha ügyfél által kezelt kulcsot használ a rendszerképek titkosításához egy Azure Compute-katalógusban, az alábbi korlátok érvényesek:
A titkosítási kulcskészletnek ugyanabban az előfizetésben kell lennie, mint a rendszerképnek.
A titkosítási kulcskészletek regionális erőforrások, ezért minden régióhoz más titkosítási kulcskészlet szükséges.
Miután a saját kulcsait használta egy kép titkosításához, nem léphet vissza a platform által felügyelt kulcsok használatára a rendszerképek titkosításához.
A CMK-val titkosított ACG-rendszerkép verzióforrása nem használható forrásként egy másik ACG-rendszerképverzió létrehozásához.
Egyes funkciók, például az SSE+CMK-lemezképek replikálása, az SSE+CMK titkosított lemezről való létrehozás stb. nem támogatottak a portálon keresztül.
A kép létrehozása
Lemeztitkosítási csoport képverzióhoz való megadásához használja a New-AzGalleryImageVersion parancsot a -TargetRegion következő paraméterrel:
$sourceId = <ID of the image version source>
$osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet'}
$dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet1';Lun=1}
$dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet2';Lun=2}
$dataDiskImageEncryptions = @($dataDiskImageEncryption1,$dataDiskImageEncryption2)
$encryption1 = @{OSDiskImage=$osDiskImageEncryption;DataDiskImages=$dataDiskImageEncryptions}
$region1 = @{Name='West US';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption1}
$eastUS2osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet'}
$eastUS2dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet1';Lun=1}
$eastUS2dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet2';Lun=2}
$eastUS2DataDiskImageEncryptions = @($eastUS2dataDiskImageEncryption1,$eastUS2dataDiskImageEncryption2)
$encryption2 = @{OSDiskImage=$eastUS2osDiskImageEncryption;DataDiskImages=$eastUS2DataDiskImageEncryptions}
$region2 = @{Name='East US 2';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption2}
$targetRegion = @($region1, $region2)
A kép létrehozása
New-AzGalleryImageVersion `
-ResourceGroupName $rgname `
-GalleryName $galleryName `
-GalleryImageDefinitionName $imageDefinitionName `
-Name $versionName -Location $location `
-SourceImageId $sourceId `
-ReplicaCount 2 `
-StorageAccountType Standard_LRS `
-PublishingProfileEndOfLifeDate '2020-12-01' `
-TargetRegion $targetRegion
A virtuális gép létrehozása
Létrehozhat egy virtuális gépet (virtuális gépet) egy Azure Compute Galleryből, és ügyfél által felügyelt kulcsokkal titkosíthatja a lemezeket. A szintaxis ugyanaz, mint egy általánosított vagy speciális virtuális gép létrehozása egy képből. Használja a kiterjesztett paraméterkészletet, és adja hozzá Set-AzVMOSDisk -Name $($vmName +"_OSDisk") -DiskEncryptionSetId $diskEncryptionSet.Id -CreateOption FromImage a virtuálisgép-konfigurációhoz.
Adatlemezek esetén adja hozzá a paramétert az -DiskEncryptionSetId $setID Add-AzVMDataDisk használatakor.
Következő lépések
További információ a kiszolgálóoldali lemeztitkosításról.
A vásárlási terv adatainak megadásáról további információt az Azure Marketplace vásárlási tervadatainak megadása rendszerképek létrehozásakor című témakörben talál.