Azure 主机端磁盘加密

您可以创建具有主机端加密功能的 MCS 计算机目录。目前，MCS 仅支持此功能的计算机配置文件工作流。您可以将虚拟机 (VM) 或模板规范用作计算机配置文件的输入。

此加密方法不通过 Azure 存储加密数据。托管虚拟机的服务器会加密数据，然后加密数据流经 Azure 存储服务器。因此，此加密方法可实现端到端数据加密。

限制

Azure 主机端磁盘加密：

• 不支持所有 Azure 计算机大小
• 与 Azure 磁盘加密不兼容

创建具有主机端加密功能的计算机目录

要创建具有主机端加密功能的计算机目录

1. 检查订阅是否已启用主机端加密功能。为此，请参阅 https://learn.microsoft.com/en-us/rest/api/resources/features/get?tabs=HTTP/。如果未启用，则必须为订阅启用该功能。有关为订阅启用该功能的信息，请参阅 https://learn.microsoft.com/en-us/azure/virtual-machines/disks-enable-host-based-encryption-portal?tabs=azure-powershell#prerequisites/。

2. 检查特定的 Azure VM 大小是否支持主机端加密。为此，请在 PowerShell 窗口中运行以下命令之一：

   PS XDHyp:\Connections\<your connection>\east us.region\serviceoffering.folder>
   <!--NeedCopy-->
   

   PS XDHyp:\HostingUnits\<your hosting unit>\serviceoffering.folder>
   <!--NeedCopy-->
   

3. 在 Azure 门户中创建虚拟机 (VM) 或模板规范作为计算机配置文件的输入，并启用主机端加密。

   • 如果要创建 VM，请选择支持主机端加密的 VM 大小。创建 VM 后，VM 属性 主机端加密 将启用。
   • 如果要使用模板规范，请将 securityProfile 中的参数 Encryption at Host 设置为 true。

4. 通过选择 VM 或模板规范，使用计算机配置文件工作流创建 MCS 计算机目录。

   • 操作系统磁盘/数据磁盘：通过客户管理的密钥和平台管理的密钥进行加密
   • 临时操作系统磁盘：仅通过平台管理的密钥进行加密
   • 缓存磁盘：通过客户管理的密钥和平台管理的密钥进行加密

   您可以使用完整配置界面或运行 PowerShell 命令来创建计算机目录。

从计算机配置文件中检索主机端加密信息

运行 PowerShell 命令并使用 AdditionalData 参数时，您可以从计算机配置文件中检索主机端加密信息。如果 EncryptionAtHost 参数为 True，则表示已为计算机配置文件启用主机端加密。

例如：当计算机配置文件输入为 VM 时，运行以下命令：

(get-item XDHyp:\HostingUnits\myAzureNetwork\machineprofile.folder\abc.resourcegroup\def.vm).AdditionalData
<!--NeedCopy-->

例如：当计算机配置文件输入为模板规范时，运行以下命令：

(get-item XDHyp:\HostingUnits\myAzureNetwork\machineprofile.folder\abc.resourcegroup\def_templatespec.templatespec\EncryptionAtHost.templatespecversion).AdditionalData
<!--NeedCopy-->