Vytvoření šifrované verze image s využitím klíčů spravovaných zákazníkem

  • Článek

Platí pro: ✔️ Virtuální počítače s Windows s Linuxem ✔️ ✔️ – Flexibilní škálovací sady Uniform Scale Sets ✔️

Obrázky v galerii výpočetních prostředků Azure (dříve označované jako Sdílená galerie imagí) se ukládají jako snímky. Tyto image se automaticky šifrují prostřednictvím 256bitového šifrování AES na straně serveru. Šifrování na straně serveru je také kompatibilní se standardem FIPS 140-2. Další informace o kryptografických modulech, které jsou základem spravovaných disků Azure, najdete v tématu Rozhraní API kryptografie: Další generace.

Pro šifrování imagí můžete spoléhat na klíče spravované platformou nebo můžete použít vlastní klíče. Obě tyto funkce můžete použít společně pro dvojité šifrování. Pokud se rozhodnete spravovat šifrování pomocí vlastních klíčů, můžete zadat klíč spravovaný zákazníkem, který se má použít k šifrování a dešifrování všech disků v imagích.

Šifrování na straně serveru prostřednictvím klíčů spravovaných zákazníkem používá službu Azure Key Vault. Můžete buď importovat klíče RSA do trezoru klíčů, nebo vygenerovat nové klíče RSA ve službě Azure Key Vault.

Požadavky

Tento článek vyžaduje, abyste již měli v každé oblasti, ve které chcete replikovat image, nastaveno šifrování disku:

  • Pokud chcete použít jenom klíč spravovaný zákazníkem, přečtěte si články o povolení klíčů spravovaných zákazníkem pomocí šifrování na straně serveru pomocí webu Azure Portal nebo PowerShellu.

  • Pokud chcete používat klíče spravované platformou i klíče spravované zákazníkem (pro dvojité šifrování), přečtěte si články o povolení dvojitého šifrování neaktivních uložených dat pomocí webu Azure Portal nebo PowerShellu.

    Důležité

    Pro přístup k webu Azure Portal musíte použít odkaz https://aka.ms/diskencryptionupdates . Dvojité šifrování neaktivních uložených dat není na veřejném webu Azure Portal aktuálně viditelné, pokud tento odkaz nepoužíváte.

Omezení

Pokud k šifrování imagí ve službě Azure Compute Gallery používáte klíče spravované zákazníkem, platí následující omezení:

  • Sady šifrovacích klíčů musí být ve stejném předplatném jako vaše image.

  • Sady šifrovacích klíčů jsou regionální prostředky, takže každá oblast vyžaduje jinou sadu šifrovacích klíčů.

  • Po použití vlastních klíčů k šifrování image se nemůžete vrátit k šifrování těchto imagí pomocí klíčů spravovaných platformou.

  • Zdroj verze image virtuálního počítače v současné době nepodporuje šifrování klíčů spravovaných zákazníkem.

  • Některé funkce, jako je replikace image SSE+CMK, vytvoření image z šifrovaného disku SSE+CMK atd., nejsou podporovány prostřednictvím portálu.

PowerShell

Pokud chcete zadat sadu šifrování disku pro verzi image, použijte New-AzGalleryImageVersion s parametrem -TargetRegion :


$sourceId = <ID of the image version source>

$osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet'}

$dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet1';Lun=1}

$dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet2';Lun=2}

$dataDiskImageEncryptions = @($dataDiskImageEncryption1,$dataDiskImageEncryption2)

$encryption1 = @{OSDiskImage=$osDiskImageEncryption;DataDiskImages=$dataDiskImageEncryptions}

$region1 = @{Name='West US';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption1}

$eastUS2osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet'}

$eastUS2dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet1';Lun=1}

$eastUS2dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet2';Lun=2}

$eastUS2DataDiskImageEncryptions = @($eastUS2dataDiskImageEncryption1,$eastUS2dataDiskImageEncryption2)

$encryption2 = @{OSDiskImage=$eastUS2osDiskImageEncryption;DataDiskImages=$eastUS2DataDiskImageEncryptions}

$region2 = @{Name='East US 2';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption2}

$targetRegion = @($region1, $region2)


# Create the image
New-AzGalleryImageVersion `
   -ResourceGroupName $rgname `
   -GalleryName $galleryName `
   -GalleryImageDefinitionName $imageDefinitionName `
   -Name $versionName -Location $location `
   -SourceImageId $sourceId `
   -ReplicaCount 2 `
   -StorageAccountType Standard_LRS `
   -PublishingProfileEndOfLifeDate '2020-12-01' `
   -TargetRegion $targetRegion

Vytvoření virtuálního počítače

Virtuální počítač můžete vytvořit z galerie služby Azure Compute a pomocí klíčů spravovaných zákazníkem zašifrovat disky. Syntaxe je stejná jako vytvoření generalizovaného nebo specializovaného virtuálního počítače z image. Použijte rozšířenou sadu parametrů a přidejte Set-AzVMOSDisk -Name $($vmName +"_OSDisk") -DiskEncryptionSetId $diskEncryptionSet.Id -CreateOption FromImage ji do konfigurace virtuálního počítače.

Pro datové disky přidejte -DiskEncryptionSetId $setID parametr při použití Add-AzVMDataDisk.

Rozhraní příkazového řádku

Pokud chcete zadat sadu šifrování disku pro verzi image, použijte příkaz az image gallery create-image-version s parametrem --target-region-encryption . Formát je --target-region-encryption čárkami oddělený seznam klíčů pro šifrování operačního systému a datových disků. Měl by vypadat takto: <encryption set for the OS disk>,<Lun number of the data disk>,<encryption set for the data disk>,<Lun number for the second data disk>,<encryption set for the second data disk>.

Pokud je zdrojem disku s operačním systémem spravovaný disk nebo virtuální počítač, použijte --managed-image k určení zdroje pro verzi image. V tomto příkladu je zdrojem spravovaná image, která má disk s operačním systémem a datový disk na logické jednotce 0. Disk s operačním systémem se zašifruje pomocí DiskEncryptionSet1 a datový disk se zašifruje pomocí DiskEncryptionSet2.

az sig image-version create \
   -g MyResourceGroup \
   --gallery-image-version 1.0.0 \
   --location westus \
   --target-regions westus=2=standard_lrs eastus2 \
   --target-region-encryption WestUSDiskEncryptionSet1,0,WestUSDiskEncryptionSet2 EastUS2DiskEncryptionSet1,0,EastUS2DiskEncryptionSet2 \
   --gallery-name MyGallery \
   --gallery-image-definition MyImage \
   --managed-image "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/images/myImage"

Pokud je zdrojem disku s operačním systémem snímek, použijte --os-snapshot k určení disku s operačním systémem. Přidejte všechny další snímky datového disku, které by měly být také součástí verze image. Slouží --data-snapshot-luns k zadání logické jednotky (LUN) a k --data-snapshots určení snímků.

V tomto příkladu jsou zdroje snímky disků. Disk s operačním systémem a datový disk je v logické jednotce 0. Disk s operačním systémem se zašifruje pomocí DiskEncryptionSet1 a datový disk se zašifruje pomocí DiskEncryptionSet2.

az sig image-version create \
   -g MyResourceGroup \
   --gallery-image-version 1.0.0 \
   --location westus\
   --target-regions westus=2=standard_lrs eastus\
   --target-region-encryption WestUSDiskEncryptionSet1,0,WestUSDiskEncryptionSet2 EastUS2DiskEncryptionSet1,0,EastUS2DiskEncryptionSet2 \
   --os-snapshot "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/snapshots/myOSSnapshot" \
   --data-snapshot-luns 0 \
   --data-snapshots "/subscriptions/<subscription ID>/resourceGroups/myResourceGroup/providers/Microsoft.Compute/snapshots/myDDSnapshot" \
   --gallery-name MyGallery \
   --gallery-image-definition MyImage

Vytvoření virtuálního počítače

Virtuální počítač můžete vytvořit z galerie služby Azure Compute a k šifrování disků použít klíče spravované zákazníkem. Syntaxe je stejná jako vytvoření generalizovaného nebo specializovaného virtuálního počítače s přidáním parametru--os-disk-encryption-set. Pro datové disky přidejte --data-disk-encryption-sets seznam datových disků oddělených mezerami pro datové disky.

Portál

Při vytváření verze image na portálu můžete použít šifrovací sady úložiště pomocí karty Šifrování .

  1. Na stránce Vytvořit verzi image vyberte kartu Šifrování.
  2. V části Typ šifrování vyberte Šifrování neaktivních uložených dat s klíčem spravovaným zákazníkem nebo dvojité šifrování pomocí klíčů spravovaných platformou a klíčů spravovaných zákazníkem.
  3. Pro každý disk v imagi vyberte z rozevíracího seznamu Sada šifrování disků sadu šifrování.

Vytvoření virtuálního počítače

Virtuální počítač můžete vytvořit z verze image a k šifrování disků použít klíče spravované zákazníkem. Když vytvoříte virtuální počítač na portálu, na kartě Disky vyberte šifrování neaktivních uložených klíčů spravovaných zákazníkem nebo dvojité šifrování pomocí klíčů spravovaných platformou a klíčů spravovaných zákazníkem pro typ šifrování. Pak můžete v rozevíracím seznamu vybrat sadu šifrování.

Další kroky

Přečtěte si další informace o šifrování disků na straně serveru.

Informace o tom, jak zadat informace o plánu nákupu, najdete v tématu Dodání informací o nákupním plánu Azure Marketplace při vytváření imagí.