Шифрование дисков Azure для Windows (Microsoft.Azure.Security.AzureDiskEncryption)

Обзор

При шифровании дисков Azure используется Bitlocker для полного шифрования диска на виртуальных машинах Azure под управлением Windows. Шифрование дисков Azure интегрировано в Azure Key Vault, что позволяет управлять секретами и ключами шифрования дисков в подписке Key Vault.

Необходимые компоненты

Полный список предварительных требований см. в статье Шифрование дисков Azure для виртуальных машин под управлением Windows, в частности следующие разделы:

Схема расширения

Существует две версии схемы расширения для Шифрования дисков Azure (ADE):

  • версия 2.2. Более новая рекомендуемая схема, которая не использует свойства Microsoft Entra.
  • версия 1.1 — старая схема, требующая свойств Microsoft Entra.

Чтобы выбрать целевую схему, свойство typeHandlerVersion должно иметь значение, равное версии схемы, которую вы хотите использовать.

Схема версии 2.2 рекомендуется для всех новых виртуальных машин и не требует свойств Microsoft Entra.

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "AzureDiskEncryption",
        "typeHandlerVersion": "2.2",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "EncryptionOperation": "[encryptionOperation]",
          "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
          "KeyVaultURL": "[keyVaultURL]",
          "KeyVaultResourceId": "[keyVaultResourceID]",
          "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
          "KekVaultResourceId": "[kekVaultResourceID]",
          "SequenceVersion": "sequenceVersion]",
          "VolumeType": "[volumeType]"
        }
  }
}

Схема версии 1.1: с идентификатором Microsoft Entra

Схема версии 1.1 требует наличия aadClientID и либо aadClientSecret, либо AADClientCertificate. Данная схема не рекомендуется для новых виртуальных машин.

Использование среды aadClientSecret:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientSecret": "[aadClientSecret]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryption",
    "typeHandlerVersion": "1.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyVaultURL": "[keyVaultURL]",
      "KeyVaultResourceId": "[keyVaultResourceID]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KekVaultResourceId": "[kekVaultResourceID]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

Использование среды AADClientCertificate:

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientCertificate": "[aadClientCertificate]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryption",
    "typeHandlerVersion": "1.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyVaultURL": "[keyVaultURL]",
      "KeyVaultResourceId": "[keyVaultResourceID]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KekVaultResourceId": "[kekVaultResourceID]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

Значения свойств

Примечание. Все значения задаются с учетом регистра.

Имя. Значение и пример Тип данных
версия_API 2019-07-01 Дата
издатель Microsoft.Azure.Security строка
type AzureDiskEncryption строка
typeHandlerVersion 2.2, 1.1 строка
(схема версии 1.1) AADClientID xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx guid
(схема версии 1.1) AADClientSecret password строка
(схема версии 1.1) AADClientCertificate thumbprint строка
EncryptionOperation EnableEncryption строка
(необязательно — RSA-OAEP по умолчанию) KeyEncryptionAlgorithm 'RSA-OAEP', 'RSA-OAEP-256', 'RSA1_5' строка
KeyVaultURL URL-адрес строка
KeyVaultResourceId URL-адрес строка
(необязательно) KeyEncryptionKeyURL URL-адрес строка
(необязательно) KekVaultResourceId URL-адрес строка
(необязательно) SequenceVersion uniqueidentifier строка
VolumeType ОС, данные, все строка

Развертывание шаблона

Пример развертывания шаблона на основе схемы версии 2.2 см. в шаблоне быстрого запуска Azure encrypt-running-windows-vm-without-aad.

Пример развертывания шаблона на основе схемы версии 1.1 приведен в описании шаблона быстрого запуска Azure encrypt-running-windows-vm.

Примечание.

Кроме того, если параметр VolumeType имеет значение All, диски данных будут шифроваться только в том случае, если они правильно отформатированы.

Устранение неполадок и поддержка

Устранение неполадок

Дополнительные сведения см. в руководстве по устранению неполадок с шифрованием дисков Azure.

Поддержка

Если в любой момент при изучении этой статьи вам потребуется дополнительная помощь, вы можете обратиться к экспертам по Azure на форумах MSDN Azure и Stack Overflow.

Кроме того, можно зарегистрировать обращение в службу поддержки Azure. Перейдите на сайт поддержки Azure и выберите "Получить поддержку". Дополнительные сведения об использовании службы поддержки Azure см. в статье Часто задаваемые вопросы о поддержке Microsoft Azure.

Следующие шаги