Azure 主机级磁盘加密

您可以创建具有主机级加密功能的 MCS 计算机目录。目前，MCS 仅支持此功能的计算机配置文件工作流。您可以将 VM 或模板规范用作计算机配置文件的输入。

此加密方法不通过 Azure 存储加密数据。托管 VM 的服务器会加密数据，然后加密的数据流经 Azure 存储服务器。因此，此加密方法可实现端到端数据加密。

• 限制

Azure 主机级磁盘加密：

• 并非所有 Azure 计算机大小都支持
  • 与 Azure 磁盘加密不兼容

创建具有主机级加密功能的计算机目录

要创建具有主机级加密功能的计算机目录，请执行以下操作：

1. 检查订阅是否已启用主机级加密功能。为此，请参阅 https://learn.microsoft.com/en-us/rest/api/resources/features/get?tabs=HTTP/。如果未启用，则必须为订阅启用该功能。有关为订阅启用该功能的信息，请参阅 https://learn.microsoft.com/en-us/azure/virtual-machines/disks-enable-host-based-encryption-portal?tabs=azure-powershell#prerequisites/。
   • 1. 检查特定的 Azure VM 大小是否支持主机级加密。为此，请在 PowerShell 窗口中运行以下命令之一：

   
   -  PS XDHyp:\Connections\<your connection>\east us.region\serviceoffering.folder>
   
   <!--NeedCopy-->
   

   
   PS XDHyp:\HostingUnits\<your hosting unit>\serviceoffering.folder>
   
   <!--NeedCopy-->
   

2. 在 Azure 门户中创建已启用主机级加密的 VM 或模板规范，作为计算机配置文件的输入。

   • 如果要创建 VM，请选择支持主机级加密的 VM 大小。创建 VM 后，VM 属性“主机级加密”将启用。
   • 如果要使用模板规范，请在 securityProfile 中将参数 Encryption at Host 指定为 true。

3. 通过选择 VM 或模板规范，使用计算机配置文件工作流创建 MCS 计算机目录。

   • OS 磁盘/数据磁盘：通过客户管理的密钥和平台管理的密钥进行加密
   • 临时 OS 磁盘：仅通过平台管理的密钥进行加密
   • 缓存磁盘：通过客户管理的密钥和平台管理的密钥进行加密

   您可以使用“完全配置”界面或运行 PowerShell 命令来创建计算机目录。

从计算机配置文件中检索主机级加密信息

当您运行带有 AdditionalData 参数的 PowerShell 命令时，可以从计算机配置文件中检索主机级加密信息。如果 EncryptionAtHost 参数为 True，则表示已为计算机配置文件启用主机级加密。

例如：当计算机配置文件输入是 VM 时，运行以下命令：

(get-item XDHyp:\HostingUnits\myAzureNetwork\machineprofile.folder\abc.resourcegroup\def.vm).AdditionalData

<!--NeedCopy-->

例如：当计算机配置文件输入是模板规范时，运行以下命令：

(get-item XDHyp:\HostingUnits\myAzureNetwork\machineprofile.folder\abc.resourcegroup\def_templatespec.templatespec\EncryptionAtHost.templatespecversion).AdditionalData

<!--NeedCopy-->