Müşteri tarafından yönetilen anahtarlarla şifrelenmiş görüntü sürümü oluşturma
Şunlar için geçerlidir: ✔️ Linux VM'leri ✔️ Windows VM'leri ✔️ Esnek ölçek kümeleri ✔️ Tekdüzen ölçek kümeleri
Azure İşlem Galerisi'ndeki (eski adıyla Paylaşılan Görüntü Galerisi) görüntüler anlık görüntü olarak depolanır. Bu görüntüler sunucu tarafı 256 bit şifreleme AES şifrelemesi aracılığıyla otomatik olarak şifrelenir. Sunucu tarafı şifrelemesi de FIPS 140-2 ile uyumludur. Azure tarafından yönetilen disklerin temel alınan şifreleme modülleri hakkında daha fazla bilgi için bkz . Şifreleme API'si: Yeni Nesil.
Görüntülerinizi şifrelemek için platform tarafından yönetilen anahtarlara güvenebilir veya kendi anahtarlarınızı kullanabilirsiniz. Bu özelliklerin ikisini de çift şifreleme için birlikte kullanabilirsiniz. Şifrelemeyi kendi anahtarlarınızla yönetmeyi seçerseniz, görüntülerinizdeki tüm diskleri şifrelemek ve şifresini çözmek için kullanılacak müşteri tarafından yönetilen bir anahtar belirtebilirsiniz.
Müşteri tarafından yönetilen anahtarlar aracılığıyla sunucu tarafı şifrelemesi Azure Key Vault kullanır. RSA anahtarlarınızı anahtar kasanıza aktarabilir veya Azure Key Vault'ta yeni RSA anahtarları oluşturabilirsiniz.
Önkoşullar
Bu makale, görüntünüzü çoğaltmak istediğiniz her bölgede zaten bir disk şifrelemesi ayarlanmış olmasını gerektirir:
Yalnızca müşteri tarafından yönetilen bir anahtar kullanmak için Azure portalını veya PowerShell'i kullanarak sunucu tarafı şifreleme ile müşteri tarafından yönetilen anahtarları etkinleştirme hakkındaki makalelere bakın.
Hem platform tarafından yönetilen hem de müşteri tarafından yönetilen anahtarları (çift şifreleme için) kullanmak için Azure portalını veya PowerShell'i kullanarak bekleyen çift şifrelemeyi etkinleştirme hakkındaki makalelere bakın.
Önemli
Azure portalına erişmek için bu bağlantıyı https://aka.ms/diskencryptionupdates kullanmanız gerekir. Bu bağlantıyı kullanmadığınız sürece bekleme durumunda çift şifreleme şu anda genel Azure portalında görünmez.
Sınırlamalar
Azure Compute Gallery'deki görüntüleri şifrelemek için müşteri tarafından yönetilen anahtarları kullanırken şu sınırlamalar geçerlidir:
Şifreleme anahtar kümeleri görüntünüzle aynı abonelikte olmalıdır.
Şifreleme anahtar kümeleri bölgesel kaynaklardır, bu nedenle her bölge farklı bir şifreleme anahtarı kümesi gerektirir.
Bir görüntüyü şifrelemek için kendi anahtarlarınızı kullandıktan sonra, bu görüntüleri şifrelemek için platform tarafından yönetilen anahtarları kullanmaya geri dönemezsiniz.
CMK ile şifrelenmiş ACG Görüntü sürümü kaynağı, başka bir ACG Görüntüsü sürümü oluşturmak için kaynak olarak kullanılamaz.
SSE+CMK görüntüsünü çoğaltma, SSE+CMK şifreli diskten görüntü oluşturma gibi bazı özellikler portal aracılığıyla desteklenmez.
Görüntü Oluşturma
Görüntü sürümü için bir disk şifreleme kümesi belirtmek için New-AzGalleryImageVersion parametresini -TargetRegion kullanın:
$sourceId = <ID of the image version source>
$osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet'}
$dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet1';Lun=1}
$dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet2';Lun=2}
$dataDiskImageEncryptions = @($dataDiskImageEncryption1,$dataDiskImageEncryption2)
$encryption1 = @{OSDiskImage=$osDiskImageEncryption;DataDiskImages=$dataDiskImageEncryptions}
$region1 = @{Name='West US';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption1}
$eastUS2osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet'}
$eastUS2dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet1';Lun=1}
$eastUS2dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet2';Lun=2}
$eastUS2DataDiskImageEncryptions = @($eastUS2dataDiskImageEncryption1,$eastUS2dataDiskImageEncryption2)
$encryption2 = @{OSDiskImage=$eastUS2osDiskImageEncryption;DataDiskImages=$eastUS2DataDiskImageEncryptions}
$region2 = @{Name='East US 2';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption2}
$targetRegion = @($region1, $region2)
Görüntüyü oluşturma
New-AzGalleryImageVersion `
-ResourceGroupName $rgname `
-GalleryName $galleryName `
-GalleryImageDefinitionName $imageDefinitionName `
-Name $versionName -Location $location `
-SourceImageId $sourceId `
-ReplicaCount 2 `
-StorageAccountType Standard_LRS `
-PublishingProfileEndOfLifeDate '2020-12-01' `
-TargetRegion $targetRegion
Sanal makineyi oluşturma
Azure İşlem Galerisi'nden bir sanal makine (VM) oluşturabilir ve diskleri şifrelemek için müşteri tarafından yönetilen anahtarları kullanabilirsiniz. Söz dizimi, görüntüden genelleştirilmiş veya özelleştirilmiş bir VM oluşturmakla aynıdır. Genişletilmiş parametre kümesini kullanın ve VM yapılandırmasına ekleyin Set-AzVMOSDisk -Name $($vmName +"_OSDisk") -DiskEncryptionSetId $diskEncryptionSet.Id -CreateOption FromImage .
Veri diskleri için Add-AzVMDataDisk kullanırken parametresini ekleyin-DiskEncryptionSetId $setID.
Sonraki adımlar
Sunucu tarafı disk şifrelemesi hakkında daha fazla bilgi edinin.
Satın alma planı bilgilerini sağlama hakkında bilgi için bkz. Görüntü oluştururken satın alma planı bilgilerini Azure Market sağlama.