Шифрование дисков в Azure DevTest Labs с помощью ключей, управляемых клиентом
Шифрование на стороне сервера (SSE) защищает данные и помогает соблюсти корпоративные обязательства по обеспечению безопасности и соответствия. SSE по умолчанию в автоматическом режиме шифрует неактивные данные, хранящиеся на управляемых дисках в Azure (дисках ОС и дисках данных), при их сохранении в облаке. Узнайте больше о шифровании дисков в Azure.
В рамках DevTest Labs все диски ОС и диски данных, созданные как часть лаборатории, шифруются с помощью ключей, управляемых платформой. Однако владелец лаборатории может шифровать диски виртуальных машин с помощью собственных ключей. Если вы решили управлять шифрованием с помощью собственных ключей, то можете указать ключ, управляемый клиентом, который будет использоваться для шифрования данных на дисках лаборатории. Дополнительные сведения о шифровании на стороне сервера (SSE) с помощью ключей, управляемых клиентом, и других типах шифрования управляемых дисков см. в разделе Ключи, управляемые клиентом. Также ознакомьтесь с ограничениями при использовании ключей, управляемых клиентом.
Примечание.
- Этот параметр применяется к только что созданным дискам в лаборатории. Если вы решите в определенный момент изменить набор шифрования дисков, старые диски в лаборатории останутся зашифрованными с помощью предыдущего набора шифрования дисков.
В разделе ниже показано, как владелец лаборатории может настроить шифрование с помощью ключа, управляемого клиентом.
Предварительные требования
Если у вас нет набора шифрования дисков, следуйте указаниям в этой статье, чтобы настроить Key Vault и набор шифрования дисков. Обратите внимание на следующие требования к набору шифрования дисков:
- Для набора шифрования дисков должны быть заданы те же регион и подписка, что и для лаборатории.
- Убедитесь, что у вас (владельца лаборатории) есть доступ по крайней мере с правами на чтение к набору шифрования дисков, который будет использоваться для шифрования дисков лаборатории.
Для лабораторий, созданных до 01.08.2020, владельцу лаборатории необходимо включить удостоверение, назначенное лабораторной системой. Для этого владелец лаборатории может перейти в свою лабораторию, щелкнуть Конфигурация и политики, выбрать колонку Удостоверение (предварительная версия), изменить значение параметра Состояние удостоверения, назначенного системой, на Вкл., а затем нажать кнопку Сохранить. Для новых лабораторий, созданных после 01.08.2020, назначенное системой удостоверение будет включено по умолчанию.
Чтобы лаборатория смогла обеспечить шифрование всех своих дисков, владелец лаборатории должен явным образом предоставить роль читателя с назначенным системой удостоверением лаборатории в наборе шифрования дисков, а также роль участника виртуальной машины в базовой подписке Azure. Для этого владельцу лаборатории необходимо выполнить следующие действия:
Убедитесь, что у вас есть роль администратора доступа пользователей на уровне подписки Azure, чтобы управлять доступом пользователей к ресурсам Azure.
На странице Набор шифрования дисков назначьте по крайней мере роль читателя имени лаборатории, для которой будет использоваться набор шифрования дисков.
Подробные инструкции см. в статье Назначение ролей Azure с помощью портала Microsoft Azure.
Перейдите на страницу Подписка на портале Azure.
Назначьте роль участника виртуальной машины имени лаборатории (назначаемое системой удостоверение для лаборатории).
Шифрование дисков ОС лаборатории с помощью ключа, управляемого клиентом
На домашней странице лаборатории на портале Azure выберите Конфигурация и политики в меню слева.
На странице Конфигурация и политики в разделе Шифрование выберите Диски (предварительная версия). По умолчанию для параметра Тип шифрования задано значение Шифрование неактивных данных с помощью управляемого платформой ключа.
Для параметра Тип шифрования в раскрывающемся списке выберите значение Шифрование неактивных данных с помощью ключа, управляемого клиентом.
Для параметра Набор шифрования дисков выберите созданный ранее набор шифрования дисков. Это тот же набор шифрования дисков, к которому может получить доступ назначенное системой удостоверение лаборатории.
На панели инструментов щелкните Сохранить.
Нажмите кнопку ОК в окне сообщения со следующим текстом: Этот параметр будет применяться к вновь созданным компьютерам в лаборатории. Старый диск ОС останется зашифрованным с помощью старого набора шифрования дисков.
После настройки диски лаборатории будут зашифрованы с помощью управляемого клиентом ключа, предоставленного с использованием набора шифрования дисков.
Проверка шифрования дисков
Перейдите к виртуальной машине лаборатории, созданной после включения в лаборатории шифрования дисков с помощью ключа, управляемого клиентом.
Щелкните группу ресурсов виртуальной машины, затем щелкните диск ОС.
Перейдите в раздел шифрования и проверьте, задан ли для шифрования ключ, управляемый клиентом, с помощью выбранного набора шифрования дисков.
Связанный контент
См. следующие статьи: