Membuat versi gambar terenkripsi dengan kunci yang dikelola pelanggan

Artikel
08/24/2024

Berlaku untuk: ✔️ Mesin virtual Linux ✔️ Mesin virtual Windows ✔️ Set skala fleksibel ✔️ Set skala seragam

Gambar di Azure Compute Gallery (sebelumnya dikenal sebagai Shared Image Gallery) disimpan sebagai rekam jepret. Gambar-gambar ini secara otomatis dienkripsi melalui enkripsi AES enkripsi sisi server 256-bit. Enkripsi sisi server juga mematuhi FIPS 140-2. Untuk informasi selengkapnya tentang modul kriptografi yang mendasari disk yang dikelola Azure, lihat API Kriptografi: Generasi Berikutnya.

Anda dapat mengandalkan kunci yang dikelola platform untuk enkripsi gambar Anda, atau menggunakan kunci Anda sendiri. Anda juga dapat menggunakan kedua fitur ini bersama-sama untuk enkripsi ganda. Jika Anda memilih untuk mengelola enkripsi dengan kunci Anda sendiri, Anda dapat menentukan kunci yang dikelola pelanggan untuk digunakan untuk mengenkripsi dan mendekripsi semua disk dalam gambar Anda.

Enkripsi sisi server melalui kunci yang dikelola pelanggan menggunakan Azure Key Vault. Anda dapat mengimpor kunci RSA ke kubah kunci atau menghasilkan kunci RSA baru di Azure Key Vault.

Prasyarat

Artikel ini mengharuskan Anda sudah memiliki set enkripsi disk di setiap wilayah tempat Anda ingin mereplikasi gambar Anda:

Untuk hanya menggunakan kunci yang dikelola pelanggan, lihat artikel tentang mengaktifkan kunci yang dikelola pelanggan dengan enkripsi sisi server dengan menggunakan portal Microsoft Azure atau PowerShell.
Untuk menggunakan kunci yang dikelola platform dan dikelola pelanggan (untuk enkripsi ganda), lihat artikel tentang mengaktifkan enkripsi ganda saat istirahat dengan menggunakan portal Microsoft Azure atau PowerShell.

Penting

Anda harus menggunakan link https://aka.ms/diskencryptionupdates untuk mengakses portal Microsoft Azure. Enkripsi ganda saat istirahat saat ini tidak terlihat di portal Microsoft Azure publik kecuali Anda menggunakan tautan itu.

Batasan

Saat Anda menggunakan kunci yang dikelola pelanggan untuk mengenkripsi gambar di Azure Compute Gallery, batasan ini berlaku:

Kumpulan kunci enkripsi harus berada dalam langganan yang sama dengan gambar Anda.
Kumpulan kunci enkripsi adalah sumber daya regional, sehingga setiap wilayah memerlukan kumpulan kunci enkripsi yang berbeda.
Setelah menggunakan kunci Anda sendiri untuk mengenkripsi gambar, Anda tidak dapat kembali menggunakan kunci yang dikelola platform untuk mengenkripsi gambar tersebut.
Sumber versi Gambar ACG yang dienkripsi dengan CMK tidak dapat digunakan sebagai sumber untuk membuat versi Gambar ACG lain.
Beberapa fitur seperti mereplikasi gambar SSE+CMK, membuat gambar dari disk terenkripsi SSE+CMK dll tidak didukung melalui portal.

Membuat Gambar

Untuk menentukan enkripsi disk yang diatur untuk versi gambar, gunakan New-AzGalleryImageVersion dengan parameter -TargetRegion:

$sourceId = <ID of the image version source>
$osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet'}
$dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet1';Lun=1}
$dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet2';Lun=2}
$dataDiskImageEncryptions = @($dataDiskImageEncryption1,$dataDiskImageEncryption2)
$encryption1 = @{OSDiskImage=$osDiskImageEncryption;DataDiskImages=$dataDiskImageEncryptions}
$region1 = @{Name='West US';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption1}
$eastUS2osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet'}
$eastUS2dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet1';Lun=1}
$eastUS2dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet2';Lun=2}
$eastUS2DataDiskImageEncryptions = @($eastUS2dataDiskImageEncryption1,$eastUS2dataDiskImageEncryption2)
$encryption2 = @{OSDiskImage=$eastUS2osDiskImageEncryption;DataDiskImages=$eastUS2DataDiskImageEncryptions}
$region2 = @{Name='East US 2';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption2}
$targetRegion = @($region1, $region2)

Membuat gambar

New-AzGalleryImageVersion `
   -ResourceGroupName $rgname `
   -GalleryName $galleryName `
   -GalleryImageDefinitionName $imageDefinitionName `
   -Name $versionName -Location $location `
   -SourceImageId $sourceId `
   -ReplicaCount 2 `
   -StorageAccountType Standard_LRS `
   -PublishingProfileEndOfLifeDate '2020-12-01' `
   -TargetRegion $targetRegion

Buat VM

Anda dapat membuat mesin virtual (VM) dari Azure Compute Gallery dan menggunakan kunci yang dikelola pelanggan untuk mengenkripsi disk. Sintaksnya sama dengan membuat VM umum atau khusus dari gambar. Gunakan kumpulan parameter yang diperluas dan Set-AzVMOSDisk -Name $($vmName +"_OSDisk") -DiskEncryptionSetId $diskEncryptionSet.Id -CreateOption FromImage tambahkan ke konfigurasi VM.

Untuk disk data, tambahkan -DiskEncryptionSetId $setID parameter saat Anda menggunakan Add-AzVMDataDisk.

Untuk menentukan kumpulan enkripsi disk untuk versi gambar, gunakan versi gambar-gambar galeri gambar az dengan --target-region-encryption parameter. Format untuk --target-region-encryption adalah daftar kunci yang dipisahkan koma untuk mengenkripsi OS dan disk data. Tampilannya akan seperti ini: <encryption set for the OS disk>,<Lun number of the data disk>,<encryption set for the data disk>,<Lun number for the second data disk>,<encryption set for the second data disk>.

Jika sumber untuk disk OS adalah disk terkelola atau VM, --managed-image gunakan untuk menentukan sumber untuk versi gambar. Dalam contoh ini, sumbernya adalah gambar terkelola yang memiliki disk OS dan disk data di LUN 0. Disk OS akan dienkripsi dengan DiskEncryptionSet1, dan disk data akan dienkripsi dengan DiskEncryptionSet2.

az sig image-version create \
   -g MyResourceGroup \
   --gallery-image-version 1.0.0 \
   --location westus \
   --target-regions westus=2=standard_lrs eastus2 \
   --target-region-encryption WestUSDiskEncryptionSet1,0,WestUSDiskEncryptionSet2 EastUS2DiskEncryptionSet1,0,EastUS2DiskEncryptionSet2 \
   --gallery-name MyGallery \
   --gallery-image-definition MyImage \
   --managed-image "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/images/myImage"

Jika sumber untuk disk OS adalah snapshot, gunakan --os-snapshot untuk menentukan disk OS. Tambahkan rekam jepret disk data lain yang juga harus menjadi bagian dari versi gambar. Gunakan --data-snapshot-luns untuk menentukan LUN, dan --data-snapshots gunakan untuk menentukan snapshot.

Dalam contoh ini, sumbernya adalah snapshot disk. Ada disk OS dan disk data di LUN 0. Disk OS akan dienkripsi dengan DiskEncryptionSet1, dan disk data akan dienkripsi dengan DiskEncryptionSet2.

az sig image-version create \
   -g MyResourceGroup \
   --gallery-image-version 1.0.0 \
   --location westus\
   --target-regions westus=2=standard_lrs eastus\
   --target-region-encryption WestUSDiskEncryptionSet1,0,WestUSDiskEncryptionSet2 EastUS2DiskEncryptionSet1,0,EastUS2DiskEncryptionSet2 \
   --os-snapshot "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/snapshots/myOSSnapshot" \
   --data-snapshot-luns 0 \
   --data-snapshots "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/snapshots/myDDSnapshot" \
   --gallery-name MyGallery \
   --gallery-image-definition MyImage

Buat VM

Anda dapat membuat mesin virtual dari Azure Compute Gallery dan menggunakan kunci yang dikelola pelanggan untuk mengenkripsi disk. Sintaksnya sama dengan membuat VM umum atau khusus dengan penambahan --os-disk-encryption-set parameter. Untuk disk data, tambahkan dengan daftar enkripsi disk yang dibatasi --data-disk-encryption-sets ruang untuk disk data.

Langkah berikutnya

Pelajari lebih lanjut tentang enkripsi disk sisi server.

Untuk informasi tentang cara menyediakan informasi paket pembelian, lihat Menyediakan informasi paket pembelian Azure Marketplace saat membuat gambar.

Bagikan melalui

Membuat versi gambar terenkripsi dengan kunci yang dikelola pelanggan

Prasyarat

Batasan

Membuat Gambar

Langkah berikutnya

Saran dan Komentar

Sumber Daya Tambahan: