Povolení dvojitého šifrování neaktivních uložených dat pro spravované disky

1. Přihlaste se k portálu Azure.

2. Vyhledejte a vyberte Sady šifrování disků.

   

3. Vyberte + Vytvořit.

4. Vyberte jednu z podporovaných oblastí.

5. Jako typ šifrování vyberte Dvojité šifrování s klíči spravovanými platformou a klíči spravovanými zákazníkem.

   Poznámka:

   Jakmile vytvoříte sadu šifrování disku s určitým typem šifrování, nedá se změnit. Pokud chcete použít jiný typ šifrování, musíte vytvořit novou sadu šifrování disku.

6. Vyplňte zbývající informace.

   

7. Vyberte Azure Key Vault a klíč nebo v případě potřeby vytvořte nový.

   Poznámka:

   Pokud vytváříte instanci služby Key Vault, musíte povolit ochranu obnovitelného odstranění a vymazání. Tato nastavení jsou povinná při použití služby Key Vault pro šifrování spravovaných disků a chrání vás před ztrátou dat kvůli náhodnému odstranění.

   

8. Vyberte Vytvořit.

9. Přejděte do sady šifrování disku, kterou jste vytvořili, a vyberte zobrazenou chybu. Tím nakonfigurujete šifrování disku tak, aby fungovalo.

   

   Mělo by se zobrazit oznámení, které by mělo proběhnout úspěšně. Díky tomu budete moct používat sadu šifrování disků se svým trezorem klíčů.

   

10. Přejděte na svůj disk.

11. Vyberte Šifrování.

12. Pro správu klíčů vyberte jeden z klíčů v části Klíče spravované platformou a klíče spravované zákazníkem.

13. vyberte Uložit.

    

Teď jste na spravovaném disku povolili dvojité šifrování neaktivních uložených dat.

1. Vytvořte instanci služby Azure Key Vault a šifrovací klíč.

   Při vytváření instance služby Key Vault musíte povolit ochranu obnovitelného odstranění a vymazání. Obnovitelné odstranění zajišťuje, že služba Key Vault uchovává odstraněný klíč pro danou dobu uchovávání (výchozí nastavení 90 dnů). Ochrana před vymazáním zajistí, že odstraněný klíč nebude možné trvale odstranit, dokud nevydržuje doba uchovávání informací. Tato nastavení chrání před ztrátou dat z důvodu náhodného odstranění. Tato nastavení jsou povinná při použití služby Key Vault pro šifrování spravovaných disků.

   subscriptionId=yourSubscriptionID
   rgName=yourResourceGroupName
   location=westcentralus
   keyVaultName=yourKeyVaultName
   keyName=yourKeyName
   diskEncryptionSetName=yourDiskEncryptionSetName
   diskName=yourDiskName
   
   az account set --subscription $subscriptionId
   
   az keyvault create -n $keyVaultName -g $rgName -l $location --enable-purge-protection true --enable-soft-delete true
   
   az keyvault key create --vault-name $keyVaultName -n $keyName --protection software
   

2. Získejte adresu URL klíče klíče, který jste vytvořili pomocí az keyvault key show.

   az keyvault key show --name $keyName --vault-name $keyVaultName
   

3. Vytvořte DiskEncryptionSet s typem encryptionType nastaveným jako EncryptionAtRestWithPlatformAndCustomerKeys. Nahraďte yourKeyURL adresou URL, kterou jste dostali od az keyvault key show.

   az disk-encryption-set create --resource-group $rgName --name $diskEncryptionSetName --key-url yourKeyURL --source-vault $keyVaultName --encryption-type EncryptionAtRestWithPlatformAndCustomerKeys
   

4. Udělte prostředku DiskEncryptionSet přístup k trezoru klíčů.

desIdentity=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [identity.principalId] -o tsv)

az keyvault set-policy -n $keyVaultName -g $rgName --object-id $desIdentity --key-permissions wrapkey unwrapkey get

1. Vytvořte instanci služby Azure Key Vault a šifrovací klíč.

   Při vytváření instance služby Key Vault musíte povolit ochranu obnovitelného odstranění a vymazání. Obnovitelné odstranění zajišťuje, že služba Key Vault uchovává odstraněný klíč pro danou dobu uchovávání (výchozí nastavení 90 dnů). Ochrana před vymazáním zajistí, že odstraněný klíč nebude možné trvale odstranit, dokud nevydržuje doba uchovávání informací. Tato nastavení chrání před ztrátou dat z důvodu náhodného odstranění. Tato nastavení jsou povinná při použití služby Key Vault pro šifrování spravovaných disků.

   $ResourceGroupName="yourResourceGroupName"
   $LocationName="westus2"
   $keyVaultName="yourKeyVaultName"
   $keyName="yourKeyName"
   $keyDestination="Software"
   $diskEncryptionSetName="yourDiskEncryptionSetName"
   
   $keyVault = New-AzKeyVault -Name $keyVaultName -ResourceGroupName $ResourceGroupName -Location $LocationName -EnableSoftDelete -EnablePurgeProtection
   
   $key = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyName -Destination $keyDestination  
   

2. Načtěte adresu URL klíče, který jste vytvořili, budete ji potřebovat pro další příkazy. Výstup ID je Get-AzKeyVaultKey adresa URL klíče.

   Get-AzKeyVaultKey -VaultName $keyVaultName -KeyName $keyName
   

3. Získejte ID prostředku pro instanci služby Key Vault, kterou jste vytvořili, budete ho potřebovat pro další příkazy.

   Get-AzKeyVault -VaultName $keyVaultName
   

4. Vytvořte DiskEncryptionSet s typem encryptionType nastaveným jako EncryptionAtRestWithPlatformAndCustomerKeys. Nahraďte yourKeyURL adresy yourKeyVaultURL URL, které jste získali dříve.

   $config = New-AzDiskEncryptionSetConfig -Location $locationName -KeyUrl "yourKeyURL" -SourceVaultId 'yourKeyVaultURL' -IdentityType 'SystemAssigned'
   
   $config | New-AzDiskEncryptionSet -ResourceGroupName $ResourceGroupName -Name $diskEncryptionSetName -EncryptionType EncryptionAtRestWithPlatformAndCustomerKeys
   

5. Udělte prostředku DiskEncryptionSet přístup k trezoru klíčů.

   Poznámka:

   Vytvoření identity diskEncryptionSet ve vašem ID Microsoft Entra může trvat několik minut. Pokud se při spuštění následujícího příkazu zobrazí chyba Typu Nejde najít objekt služby Active Directory, počkejte několik minut a zkuste to znovu.

   $des=Get-AzDiskEncryptionSet -name $diskEncryptionSetName -ResourceGroupName $ResourceGroupName
   Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ObjectId $des.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get