Dela via

Kryptera diskar med kundhanterade nycklar i Azure DevTest Labs

Den här artikeln visar hur en labbägare kan konfigurera kryptering med en kundhanterad nyckel.

Kryptering på serversidan (SSE) skyddar dina data och hjälper dig att uppfylla organisationens säkerhets- och efterlevnadsåtaganden. SSE krypterar automatiskt data som lagras på hanterade diskar i Azure (OS och datadiskar) i vila som standard när de sparas i molnet. Mer information om diskkryptering på Azure finns i Kryptering på serversidan.

I Azure DevTest Labs krypteras alla OS-diskar och datadiskar som skapats i ett labb via plattformshanterade nycklar. Men som labbägare kan du välja att hantera krypteringen av virtuella datordiskar för labb med hjälp av dina egna nycklar. Om du väljer att hantera kryptering med hjälp av dina egna nycklar kan du ange en kundhanterad nyckel som ska användas för att kryptera data i labbdiskar. Mer information om SSE med kundhanterade nycklar och andra krypteringstyper för hanterade diskar finns i Kundhanterade nycklar. Se även begränsningar med att använda kundhanterade nycklar.

Kommentar

Inställningen för diskkryptering gäller för nyligen skapade diskar i labbet. Om du ändrar diskkrypteringsuppsättningen fortsätter äldre diskar i labbet att krypteras med den tidigare diskkrypteringsuppsättningen.

Förutsättningar

  • Om du inte har en diskkrypteringsuppsättning slutför du stegen i den här artikeln för att konfigurera ett nyckelvalv och en diskkrypteringsuppsättning. Observera följande krav för diskkrypteringsuppsättningen:

    • Diskkrypteringsuppsättningen måste finnas i samma region och prenumeration som ditt labb.
    • Labbägaren måste ha minst åtkomst på läsarnivå till den diskkrypteringsuppsättning som ska användas för att kryptera labbdiskar.

  • För labb som skapats före den 1 augusti 2020 måste labbägaren se till att labbsystemtilldelad identitet är aktiverad. För att göra det kan labbägaren gå till labbet, välja Konfiguration och principer, välja Identitet i den vänstra menyn, ändra den systemtilldelade identitetsstatusen till och sedan välja Spara. För labb som skapats efter den 1 augusti 2020 aktiveras den systemtilldelade identiteten som standard.

    Skärmbild som visar stegen för att aktivera systemtilldelad identitet.

  • För att labbet ska kunna hantera kryptering för alla labbdiskar måste labbägaren uttryckligen bevilja läsarrollen för labbets systemtilldelade identitet på diskkrypteringsuppsättningen och bidragsrollen för den virtuella datorn i den underliggande Azure-prenumerationen. Labbägaren kan göra det genom att utföra följande steg:

    1. Se till att du är medlem i rollen Administratör för användaråtkomst på Azure-prenumerationsnivå så att du kan hantera användaråtkomst till Azure-resurser.

    2. På sidan Diskkrypteringsuppsättning tilldelar du minst rollen Läsare till labbet som diskkrypteringsuppsättningen ska användas för.

      Läs mer om att tilldela roller i Tilldela Azure-roller via Azure Portal.

    3. Gå till sidan Prenumeration i Azure-portalen.

    4. Tilldela rollen Virtual Machine Contributor till labbet (systemtilldelad identitet för labbet).

Kryptera lab-OS-diskar med en kundhanterad nyckel

  1. På översiktssidan för ditt labb i Azure-portalen väljer du Konfiguration och principer i det vänstra fönstret.

  2. I den vänstra rutan på sidan Konfiguration och principer väljer du Diskar (förhandsversion) i avsnittet Kryptering . Som standard är krypteringstypen inställd på Kryptering i vila med en plattformshanterad nyckel.

    Skärmbild som visar fönstret Diskar i Konfiguration och principer.

  3. I rutan Krypteringstyp väljer du Kryptering i vila med en kundhanterad nyckel.

  4. I rutan Diskkrypteringsuppsättning väljer du den diskkrypteringsuppsättning som du skapade tidigare. Det är samma diskkrypteringsuppsättning som labbets systemtilldelade identitet kan komma åt.

  5. Välj Spara överst i fönstret.

    Skärmbild som visar stegen som ska slutföras i Konfiguration och principer.

  6. En meddelanderuta visas med följande meddelande: Den här inställningen gäller för nyligen skapade datorer i labbet. Den gamla OS-disken förblir krypterad med den gamla diskkrypteringsuppsättningen. Välj OK.

    Efter den här konfigurationen krypteras labbdiskar med den kundhanterade nyckeln som anges i diskkrypteringsuppsättningen.

Kontrollera att diskar krypteras

  1. Gå till en virtuell labbdator som du skapade när du har aktiverat diskkryptering med en kundhanterad nyckel i labbet.

    Skärmbild som visar en virtuell dator med diskkryptering aktiverat.

  2. Välj resursgruppen för den virtuella datorn och välj sedan OS-disken.

    Skärmbild som visar den virtuella datorn i resursgruppen.

  3. I den vänstra rutan går du till Inställningar och väljer Kryptering. Kontrollera att krypteringen är inställd på kundhanterad nyckel med den diskkrypteringsuppsättning som du har valt.

    Skärmbild som visar krypteringstypen för den virtuella datorn.

Relaterat innehåll