Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird gezeigt, wie ein Lab-Besitzer die Verschlüsselung mit einem vom Kunden verwalteten Schlüssel einrichten kann.
Die serverseitige Verschlüsselung (Server-side Encryption, SSE) schützt Ihre Daten und unterstützt Sie beim Einhalten der Sicherheits- und Complianceanforderungen Ihrer Organisation. SSE verschlüsselt automatisch Daten, die auf verwalteten Datenträgern in Azure (Betriebssystem und Datenträgern) gespeichert sind, standardmäßig, wenn sie in der Cloud gespeichert sind. Weitere Informationen zur Datenträgerverschlüsselung in Azure finden Sie unter serverseitige Verschlüsselung.
In Azure DevTest Labs werden alle in einem Labor erstellten Betriebssystemdatenträger und -datenträger über plattformverwaltete Schlüssel verschlüsselt. Als Lab-Besitzer können Sie jedoch die Verschlüsselung virtueller Laborcomputerdatenträger mithilfe ihrer eigenen Schlüssel verwalten. Wenn Sie die Verschlüsselung mithilfe Ihrer eigenen Schlüssel verwalten möchten, können Sie einen vom Kunden verwalteten Schlüssel angeben, der zum Verschlüsseln von Daten in Labordatenträgern verwendet werden soll. Weitere Informationen zu SSE mit vom Kunden verwalteten Schlüsseln und anderen verwalteten Datenträgerverschlüsselungstypen finden Sie unter "Vom Kunden verwaltete Schlüssel". Siehe auch Einschränkungen bei der Verwendung von vom Kunden verwalteten Schlüsseln.
Hinweis
Die Datenträgerverschlüsselungseinstellung gilt für neu erstellte Datenträger im Labor. Wenn Sie den Datenträgerverschlüsselungssatz ändern, werden ältere Datenträger im Labor weiterhin mit dem vorherigen Datenträgerverschlüsselungssatz verschlüsselt.
Voraussetzungen
Wenn Sie nicht über einen Datenträgerverschlüsselungssatz verfügen, führen Sie die Schritte in diesem Artikel aus, um einen Schlüsseltresor und einen Datenträgerverschlüsselungssatz einzurichten. Beachten Sie die folgenden Anforderungen für den Datenträgerverschlüsselungssatz:
- Der Datenträgerverschlüsselungssatz muss sich in derselben Region und einem Abonnement wie Ihr Labor befinden.
- Der Lab-Besitzer muss mindestens leseberechtigten Zugriff auf den Datenträgerverschlüsselungssatz haben, der zum Verschlüsseln der Labordatenträger verwendet wird.
Für Labore, die vor dem 1. August 2020 erstellt wurden, muss der Laborbesitzer sicherstellen, dass die vom Laborsystem zugewiesene Identität aktiviert ist. ** Dazu kann der Lab-Besitzer zum Labor wechseln, Konfiguration und Richtlinien auswählen, im linken Menü "Identität" auswählen, den Status der vom System zugewiesenen Identität Status auf "Ein" ändern und dann "Speichern" auswählen. Für Labore, die nach dem 1. August 2020 erstellt wurden, ist die vom System zugewiesene Identität standardmäßig aktiviert.
Damit das Lab die Verschlüsselung für alle Lab-Datenträger verarbeiten kann, müssen Lab-Besitzende explizit die Rolle des vom System zugewiesenen Identitätslesenden für den Datenträgerverschlüsselungssatz und die Rolle „VM-Mitwirkende“ im zugrunde liegenden Azure-Abonnement erteilen. Der Lab-Besitzer kann dies tun, indem er die folgenden Schritte ausführt:
Stellen Sie sicher, dass Sie Mitglied der Rolle "Benutzerzugriffsadministrator " auf Azure-Abonnementebene sind, damit Sie den Benutzerzugriff auf Azure-Ressourcen verwalten können.
Weisen Sie auf der Seite "Datenträgerverschlüsselungssatz" dem Labor, für das der Datenträgerverschlüsselungssatz verwendet wird, mindestens die Leserrolle zu.
Ausführliche Informationen finden Sie unter Zuweisen von Azure-Rollen über das Azure-Portal.
Wechseln Sie zur Seite "Abonnement" im Azure-Portal.
Weisen Sie dem Lab die Rolle „VM-Mitwirkende“ zu (vom System zugewiesene Identität für das Lab).
Verschlüsseln von Lab-Betriebssystemdatenträgern mit einem kundenseitig verwalteten Schlüssel
Wählen Sie auf der Übersichtsseite für Ihr Labor im Azure-Portal im linken Bereich "Konfiguration und Richtlinien " aus.
Wählen Sie im linken Bereich der Seite "Konfiguration und Richtlinien" im Abschnitt "Verschlüsselung" die Option "Datenträger (Vorschau)" aus. Standardmäßig ist Verschlüsselungstyp auf Verschlüsselung ruhender Daten mit einem plattformseitig verwalteten Schlüssel festgelegt.
Wählen Sie im Feld "Verschlüsselungstyp " die Option " Ruhende Verschlüsselung" mit einem vom Kunden verwalteten Schlüssel aus.
Wählen Sie im Feld "Datenträgerverschlüsselungssatz " den zuvor erstellten Datenträgerverschlüsselungssatz aus. Dabei handelt es sich um den gleichen Datenträgerverschlüsselungssatz, auf den die vom System zugewiesene Identität des Labs zugreifen kann.
Wählen Sie oben im Bereich "Speichern" aus.
Ein Meldungsfeld wird mit der folgenden Meldung angezeigt: Diese Einstellung gilt für neu erstellte Computer im Labor. Der alte Betriebssystemdatenträger bleibt mit dem alten Datenträgerverschlüsselungssatz verschlüsselt. Wählen Sie OK aus.
Nach dieser Konfiguration werden Labordatenträger mit dem vom Kunden verwalteten Schlüssel verschlüsselt, der im Datenträgerverschlüsselungssatz bereitgestellt wird.
Überprüfen, ob Datenträger verschlüsselt werden
Wechseln Sie zu einem virtuellen Laborcomputer, den Sie erstellt haben, nachdem Sie die Datenträgerverschlüsselung mit einem vom Kunden verwalteten Schlüssel im Labor aktiviert haben.
Wählen Sie die Ressourcengruppe der VM und dann den Betriebssystemdatenträger aus.
Wählen Sie im linken Bereich unter "Einstellungen" die Option "Verschlüsselung" aus. Überprüfen Sie, ob die Verschlüsselung auf den vom Kunden verwalteten Schlüssel mit dem ausgewählten Datenträgerverschlüsselungssatz festgelegt ist.
