Azure-Datenträgerverschlüsselung auf dem Host
Sie können einen MCS-Maschinenkatalog mit Verschlüsselung auf dem Host erstellen. Derzeit unterstützen die Maschinenerstellungsdienste (MCS) nur den Maschinenprofilworkflow für dieses Feature. Sie können eine VM oder eine Vorlagenspezifikation als Eingabe für ein Maschinenprofil verwenden.
Bei diesem Verschlüsselungsverfahren werden Daten nicht über den Azure-Speicher verschlüsselt. Die Daten werden auf dem Hostserver verschlüsselt und dann verschlüsselt durch den Azure-Speicherserver geleitet. Es kommt also zu einer End-to-End-Verschlüsselung der Daten.
Einschränkungen
Die Azure-Datenträgerverschlüsselung auf dem Host:
- wird nicht für alle Azure-Maschinengrößen unterstützt.
- ist nicht kompatibel mit der Azure-Datenträgerverschlüsselung.
Maschinenkatalog mit Verschlüsselung auf dem Host erstellen
So erstellen Sie einen Maschinenkatalog mit Verschlüsselung auf dem Host
- Prüfen Sie, ob die Verschlüsselung auf dem Host für Ihr Abonnement aktiviert ist. Informationen hierzu finden Sie unter https://learn.microsoft.com/en-us/rest/api/resources/features/get?tabs=HTTP/. Wenn das Feature nicht aktiviert ist, müssen Sie es für das Abonnement aktivieren. Informationen zum Aktivieren des Features für Ihr Abonnement finden Sie unter https://learn.microsoft.com/en-us/azure/virtual-machines/disks-enable-host-based-encryption-portal?tabs=azure-powershell#prerequisites/.
-
Prüfen Sie, ob die Verschlüsselung auf dem Host für die vorliegende Azure-VM-Größe unterstützt wird. Führen Sie dazu in einem PowerShell-Fenster einen der folgenden Befehle aus:
PS XDHyp:\Connections\<your connection>\east us.region\serviceoffering.folder> <!--NeedCopy-->PS XDHyp:\HostingUnits\<your hosting unit>\serviceoffering.folder> <!--NeedCopy--> -
Erstellen Sie eine VM oder Vorlagenspezifikation als Eingabe für das Maschinenprofil im Azure-Portal mit aktivierter Verschlüsselung auf dem Host.
- Wenn Sie eine VM erstellen möchten, wählen Sie eine VM-Größe, die die Verschlüsselung auf dem Host unterstützt. Nach dem Erstellen der VM ist die VM-Eigenschaft Encryption at host aktiviert.
- Wenn Sie eine Vorlagenspezifikation verwenden möchten, weisen Sie den Parameter
Encryption at Hostas true insidesecurityProfilezu.
-
Erstellen Sie einen MCS-Maschinenkatalog mit Maschinenprofilworkflow, indem Sie eine VM oder Vorlagenspezifikation auswählen.
- Datenträger/Betriebssystemdatenträger: Die Verschlüsselung erfolgt über einen kundenseitig verwalteten Schlüssel und einen plattformseitig verwalteten Schlüssel.
- Kurzlebiger Betriebssystemdatenträger: Die Verschlüsselung erfolgt nur über einen plattformseitig verwalteten Schlüssel.
- Cache-Datenträger: Die Verschlüsselung erfolgt über einen kundenseitig verwalteten Schlüssel und einen plattformseitig verwalteten Schlüssel.
Sie können den Maschinenkatalog über die “Vollständige Konfiguration” oder über PowerShell-Befehle erstellen.
Informationen zur Verschlüsselung am Host aus Maschinenprofil abrufen
Sie können die Verschlüsselungsinformationen des Hosts aus einem Computerprofil abrufen, wenn Sie den PowerShell-Befehl mit dem Parameter AdditionalData ausführen. Wenn der Parameter EncryptionAtHost True ist, bedeutet dies, dass die Verschlüsselung auf dem Host für das Maschinenprofil aktiviert ist.
Beispiel: Wenn die Maschinenprofileingabe eine VM ist, führen Sie den folgenden Befehl aus:
(get-item XDHyp:\HostingUnits\myAzureNetwork\machineprofile.folder\abc.resourcegroup\def.vm).AdditionalData
<!--NeedCopy-->
Beispiel: Wenn die Maschinenprofileingabe eine Vorlagenspezifikation ist, führen Sie den folgenden Befehl aus:
(get-item XDHyp:\HostingUnits\myAzureNetwork\machineprofile.folder\abc.resourcegroup\def_templatespec.templatespec\EncryptionAtHost.templatespecversion).AdditionalData
<!--NeedCopy-->