Usare l'interfaccia della riga di comando di Azure per abilitare la doppia crittografia dei dati inattivi per i dischi gestiti
Si applica a: ✔️ macchine virtuali di Linux ✔️ set di scalabilità flessibili
Archiviazione su disco di Azure supporta la doppia crittografia dei dati inattivi per i dischi gestiti. Per informazioni concettuali sulla doppia crittografia dei dati inattivi e su altri tipi di crittografia del disco gestito, vedere la sezione Crittografia doppia dei dati inattivi dell'articolo crittografia dischi.
Restrizioni
La doppia crittografia dei dati inattivi non è attualmente supportata con dischi Ultra o SSD Premium v2.
Prerequisiti
Installare l'interfaccia della riga di comando di Azure più recente e accedere a un account Azure con az login.
Introduzione
Creare un'istanza di Azure Key Vault e la chiave di crittografia.
Quando si crea l'istanza di Key Vault, è necessario abilitare l'eliminazione temporanea e la protezione dall'eliminazione. L'eliminazione temporanea assicura che l'insieme di credenziali delle chiavi mantenga una chiave eliminata per un determinato periodo di conservazione (valore predefinito di 90 giorni). La protezione dall'eliminazione garantisce che una chiave eliminata non possa essere eliminata definitivamente fino al termine del periodo di conservazione. Queste impostazioni consentono di evitare la perdita di dati a causa dell'eliminazione accidentale. Queste impostazioni sono obbligatorie quando si usa un insieme di credenziali delle chiavi per la crittografia dei dischi gestiti.
subscriptionId=yourSubscriptionID rgName=yourResourceGroupName location=westcentralus keyVaultName=yourKeyVaultName keyName=yourKeyName diskEncryptionSetName=yourDiskEncryptionSetName diskName=yourDiskName az account set --subscription $subscriptionId az keyvault create -n $keyVaultName -g $rgName -l $location --enable-purge-protection true --enable-soft-delete true az keyvault key create --vault-name $keyVaultName -n $keyName --protection software
Ottenere l'URL della chiave creata con
az keyvault key show
.az keyvault key show --name $keyName --vault-name $keyVaultName
Creare un Oggetto DiskEncryptionSet con encryptionType impostato su EncryptionAtRestWithPlatformAndCustomerKeys. Sostituire
yourKeyURL
con l'URL ricevuto daaz keyvault key show
.az disk-encryption-set create --resource-group $rgName --name $diskEncryptionSetName --key-url yourKeyURL --source-vault $keyVaultName --encryption-type EncryptionAtRestWithPlatformAndCustomerKeys
Concedere al set di crittografia dischi l'accesso all'insieme di credenziali delle chiavi.
Nota
La creazione dell'identità di DiskEncryptionSet nell'ID Microsoft Entra potrebbe richiedere alcuni minuti. Se quando si esegue il comando seguente viene visualizzato un errore simile a "Impossibile trovare l'oggetto Active Directory", attendere qualche minuto e riprovare.
desIdentity=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [identity.principalId] -o tsv) az keyvault set-policy -n $keyVaultName -g $rgName --object-id $desIdentity --key-permissions wrapkey unwrapkey get
Passaggi successivi
Dopo aver creato e configurato queste risorse, è possibile usarle per proteggere i dischi gestiti. I collegamenti seguenti contengono script di esempio, ognuno con uno scenario corrispondente, che è possibile usare per proteggere i dischi gestiti.