Important
La prise en charge du chiffrement matériel pour Data Box Disk est actuellement disponible pour les régions des États-Unis, de l'Europe et du Japon.
Le disque Azure Data Box avec chiffrement matériel nécessite une connexion SATA III. Toutes les autres connexions, notamment via USB, ne sont pas prises en charge.
Attention
Cet article fait référence à CentOS, une distribution Linux en état de fin de support. Faites le point sur votre utilisation pour vous organiser de manière appropriée. Pour obtenir plus d’informations, consultez l’Aide sur la fin de vie de CentOS.
Ce didacticiel explique comment déballer, connecter et déverrouiller votre Azure Data Box Disk.
Dans ce tutoriel, vous allez apprendre à :
- Déballer votre disque Data Box
- Se connecter aux disques et obtenir la clé d’accès
- Déverrouiller les disques sur le client Windows
- Déverrouiller les disques sur le client Linux
Prérequis
Avant de commencer, assurez-vous que :
- Vous avez terminé le Didacticiel : Commander un Azure Data Box Disk.
- Vous avez reçu vos disques et l’état de la commande dans le portail affiche Delivered (Livrée).
- Vous disposez d’un ordinateur client sur lequel vous pouvez installer l’outil de déverrouillage Data Box Disk. Votre ordinateur client doit :
Décompresser des disques
Procédez comme suit pour déballer vos disques.
Les disques Data Box sont livrés dans une boîte d’envoi de petite taille. Ouvrez la boîte et sortez son contenu. Vérifiez que la boîte contient entre 1 à 5 disques SSD, ainsi qu’un câble de connexion USB par disque. Vérifiez que la boîte n’a pas été endommagée.
Si la boîte d’envoi est altérée ou gravement endommagée, ne l’ouvrez pas. Contactez le Support Microsoft pour savoir si vous pouvez utiliser les disques ou si Microsoft doit vous envoyer des disques de remplacement.
Vérifiez que la boîte contient une pochette transparente avec une étiquette d’expédition (sous l’étiquette actuelle) pour l’expédition de retour. Si cette étiquette a été perdue ou endommagée, vous pouvez en télécharger et en imprimer une nouvelle à partir du portail Azure.
Conservez la boîte et le papier d’emballage pour renvoyer les disques ultérieurement.
Connecter des disques
Important
Un disque Azure Data Box avec un chiffrement matériel est uniquement pris en charge et testé pour des systèmes d’exploitation basés sur Linux. Pour accéder à des disques en utilisant un appareil basé sur un système d’exploitation Windows, téléchargez l’ensemble d’outils Data Box Disk et exécutez l’outil de déverrouillage SED Data Box Disk.
Utilisez le câble USB inclus pour connecter le disque à un ordinateur Windows ou Linux sous une version prise en charge. Pour plus d’informations sur les versions de système d’exploitation prises en charge, accédez à Conditions requises pour Azure Data Box Disk.
Connectez les disques à un port SATA disponible sur un hôte basé sur Linux qui exécute une version prise en charge. Pour plus d’informations sur les versions de système d’exploitation prises en charge, accédez à Conditions requises pour Azure Data Box Disk.
Récupérer votre clé d’accès
Dans le portail Azure, accédez à votre commande Data Box Disk. Recherchez-la en accédant à Général > Toutes les ressources, puis sélectionnez votre commande Data Box Disk. Utilisez l’icône de copie pour copier la clé d’accès. Cette clé d’accès permet de déverrouiller les disques.
Clé d’accès de déverrouillage Data Box Disk
La procédure de déverrouillage des disques diffère selon que vous êtes connecté à un client Windows ou Linux.
Déverrouiller des disques
Procédez comme suit pour connecter et déverrouiller vos disques.
Procédez comme suit pour connecter et déverrouiller vos disques.
Dans le portail Azure, accédez à votre commande Data Box Disk. Recherchez-la en accédant à Général > Toutes les ressources, puis sélectionnez votre commande Data Box Disk.
Téléchargez l’ensemble d’outils Data Box Disk correspondant au client Windows. Cette boîte à outils comporte 3 outils : outil de déverrouillage de disque Data Box, outil de validation de disque Data Box et outil de copie de disque Data Box Split.
Remarque
PowerShell ISE n’est pas pris en charge pour Data Box Disk Tools
Cette procédure nécessite uniquement l’outil de déverrouillage Data Box Disk. Les outils restants sont utilisés lors des étapes suivantes.
Extrayez la boîte à outils sur l’ordinateur que vous allez utiliser pour copier les données.
Ouvrez une fenêtre d’invite de commandes ou exécutez Windows PowerShell en tant qu’administrateur sur le même ordinateur.
Vérifiez que votre ordinateur client répond aux exigences du système d’exploitation pour l’outil de déverrouillage Data Box. Exécutez une vérification du système dans le dossier contenant le jeu d’outils Data Box Disk extrait comme illustré dans l’exemple suivant.
.\DataBoxDiskUnlock.exe /SystemCheck
L’exemple de sortie suivant confirme que votre ordinateur client respecte les exigences du système d’exploitation.
Exécutez DataBoxDiskUnlock.exe en fournissant la clé d’accès obtenue dans la section Récupérer votre clé d’accès. La clé d’accès est soumise comme valeur du paramètre Passkey tel qu’illustré dans l’exemple suivant.
.\DataBoxDiskUnlock.exe /Passkey:<testPasskey>
Une réponse réussie inclut la lettre de lecteur attribuée au disque tel qu’illustré dans l’exemple de sortie suivant.
Répétez la procédure de déverrouillage pour toutes les réinsertions de disque ultérieures. Si vous avez besoin d’aide avec l’outil de déverrouillage Data Box Disk, utilisez la commande help, tel qu’illustré dans l’exemple de code et l’exemple de sortie suivants.
.\DataBoxDiskUnlock.exe /help
Une fois le disque déverrouillé, vous pouvez afficher son contenu.
Remarque
Ne formatez pas et ne modifiez pas le contenu ou la structure de fichiers existante du disque.
Si vous rencontrez des problèmes lors du déverrouillage des disques, consultez le guide de Résolution des problèmes de déverrouillage.
Effectuez les étapes suivantes pour connecter et déverrouiller des disques Data Box chiffrés matériels sur un ordinateur basé sur Linux.
Vous pouvez activer le Module de plateforme sécurisée (TPM) sur des systèmes Linux pour des lecteurs basés sur SATA. Pour activer TPM, définissez libata.allow_tpm sur 1 en modifiant la configuration de GRUB, tel qu’illustré dans les exemples suivants spécifiques à une distribution. Vous trouverez d’autres informations sur le Wiki public Drive-Trust-Alliance se trouvant sur https://github.com/Drive-Trust-Alliance/sedutil/wiki.
Avertissement
Il est possible que l’activation du TPM sur un appareil nécessite un redémarrage.
L’exemple de commande contient la commande reboot. Vérifiez qu’aucune donnée n’est perdue avant l’exécution du script.
Utilisez les commandes suivantes pour activer le TPM pour CentOS.
sudo nano /etc/default/grub
Ensuite, Ajoutez manuellement « libata.allow_tpm=1 » à l’argument de ligne de commande de GRUB.
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"
Pour les systèmes basés sur BIOS : grub2-mkconfig -o /boot/grub2/grub.cfg
Pour les systèmes basés sur UEFI : grub2-mkconfig -o /boot/efi/EFI/centos/grub.cfg
reboot
Enfin, confirmez que le paramètre TPM est correctement défini en vérifiant l’image de démarrage.
cat /proc/cmdline
Utilisez les commandes suivantes pour activer le TPM pour Ubuntu/Debian.
sudo nano /etc/default/grub
Ensuite, ajoutez manuellement « libata.allow_tpm=1 » à l’argument de ligne de commande de GRUB.
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"
Mettez à jour GRUB, puis redémarrez.
sudo update-grub
reboot
Enfin, confirmez que le paramètre TPM est correctement configuré en vérifiant l’image de démarrage.
cat /proc/cmdline
---
Téléchargez l’ensemble d’outils Data Box Disk. Extrayez et copiez l’Utilitaire de déverrouillage Data Box Disk sur un chemin d’accès local de votre ordinateur.
Téléchargez le SEDUtil. Si vous souhaitez obtenir plus d’informations, visitez le Wiki public Drive-Trust-Alliance.
Important
SEDUtil est un utilitaire externe pour les lecteurs à chiffrement automatique. Il n’est pas géré par Microsoft. Vous trouverez plus d’informations, notamment les informations sur la licence pour cet utilitaire, sur https://sedutil.com/.
Extrayez SEDUtil vers un chemin d’accès local sur l’ordinateur et créez un lien symbolique vers le chemin d’accès de l’utilitaire en utilisant l’exemple suivant. Vous pouvez également ajouter l’utilitaire à la variable d’environnement PATH.
chmod +x /path/to/sedutil-cli
#add a symbolic link to the extracted sedutil tool
sudo ln -s /path/to/sedutil-cli /usr/bin/sedutil-cli
La commande sedutil-cli –scan répertorie tous les lecteurs connectés au serveur. La commande est indépendante de la distribution.
sudo sedutil-cli --scan
L'exemple de sortie suivant confirme que la commande a été correctement effectuée.
Les disques Azure peuvent être identifiés en utilisant la commande suivante. Les numéros de série de disque peuvent être vérifiés pour un volume en utilisant la commande suivante.
sedutil-cli --query <volume>
Exécutez l’Utilitaire de déverrouillage Data Box Disk du jeu d’outils Linux extrait lors d’une étape antérieure. Fournissez la clé d’accès du Portail Azure que vous avez obtenue dans la section Connecter des disques. Si vous le souhaitez, vous pouvez spécifier une liste de volumes chiffrés BitLocker à déverrouiller. La clé d’accès et la liste de volumes doivent être spécifiées entre des guillemets simples, tel qu’illustré dans l’exemple suivant.
chmod +x DataBoxDiskUnlock
#add a symbolic link to the downloaded DataBoxDiskUnlock tool
sudo ln -s /path/to/DataBoxDiskUnlock /usr/bin/DataBoxDiskUnlock
sudo ./DataBoxDiskUnlock /Passkey:<'passkey'> /SerialNumbers:<'serialNumber1,serialNumber2'> /SED
L'exemple de sortie suivant indique que le volume a été correctement déverrouillé. Le point de montage s’affiche également pour le volume dans lequel vous pouvez copier vos données.
Important
Répétez les étapes afin de déverrouiller le disque pour toute future réinsertion de disque.
Vous pouvez utiliser le commutateur d’aide si vous souhaitez obtenir une aide supplémentaire avec l’Utilitaire de déverrouillage Data Box Disk, tel qu’illustré dans l’exemple suivant.
sudo ./DataBoxDiskUnlock /Help
L’image suivante présente l’exemple de sortie.
Après le déverrouillage du disque, vous pouvez accéder au point de montage et visualiser le contenu du disque. Vous êtes maintenant prêt à copier les données dans des dossiers en fonction du type de données de destination souhaité.
Une fois la copie de vos données sur le disque terminée, veillez à démonter et supprimer le disque de manière sécurisée en utilisant la commande suivante.
sudo ./DataBoxDiskUnlock /SerialNumbers:<'serialNumber1,serialNumber2'>
/Unmount /SED
L'exemple de sortie suivant confirme que le volume a été correctement démonté.
Vous pouvez valider les données sur votre disque en vous connectant à un ordinateur basé sur Windows avec un système d’exploitation pris en charge. Veillez à passer revue les exigences de système d’exploitation pour les systèmes d’exploitation basés sur Windows avant de connecter des disques à votre ordinateur local.
Effectuez les étapes suivantes pour déverrouiller des disques de chiffrement automatique en utilisant des ordinateurs basés sur Windows.
Téléchargez le jeu d’outils Data Box Disk pour des clients Windows et extrayez-le vers le même ordinateur. Bien que le jeu d’outils contienne quatre outils, seul l’outil de déverrouillage SED Data Box est utilisé pour des disques chiffrés par du matériel.
Connectez votre Data Box Disk à une connexion SATA 3 disponible sur votre ordinateur basé sur Windows.
Exécutez la commande suivante pour déverrouiller des disques à chiffrement automatique en utilisant une invite de commandes ou PowerShell.
DataBoxDiskUnlock /Passkey:<> /SerialNumbers:<listOfSerialNumbers>
L'exemple de sortie suivant confirme que le disque a été correctement déverrouillé.
Veillez à supprimer les lecteurs de manière sécurisée avant de les éjecter.
Si vous rencontrez des problèmes pendant le déverrouillage de disques, reportez-vous à l’article Résolution des problèmes de déverrouillage.
Effectuez les étapes suivantes pour connecter et déverrouiller des disques Data Box chiffrés par du matériel sur un ordinateur basé sur Linux.
Dans le portail Azure, accédez à Général > Détails de l’appareil.
Téléchargez l’ensemble d’outils Data Box Disk. Extrayez et copiez l’Utilitaire de déverrouillage Data Box Disk sur un chemin d’accès local de votre ordinateur.
Accédez au dossier contenant le jeu d’outils Data Box Disk. Ouvrez une fenêtre de terminal sur votre client Linux et modifiez les autorisations de fichier pour permettre l’exécution, tel qu’illustré dans l’exemple suivant :
chmod +x DataBoxDiskUnlock
chmod +x DataBoxDiskUnlock_Prep.sh
Après l’exécution de la commande chmod, vérifiez que les autorisations de fichier sont modifiées en exécutant la commande ls, tel qu’illustré dans l’exemple de sortie suivant.
[user@localhost Downloads]$ chmod +x DataBoxDiskUnlock
[user@localhost Downloads]$ chmod +x DataBoxDiskUnlock_Prep.sh
[user@localhost Downloads]$ ls -l
-rwxrwxr-x. 1 user user 1152664 Aug 10 17:26 DataBoxDiskUnlock
-rwxrwxr-x. 1 user user 795 Aug 5 23:26 DataBoxDiskUnlock_Prep.sh
Exécutez le script suivant pour installer les binaires de déverrouillage Data Box Disk. Utilisez sudo pour exécuter la commande en tant que racine. Une confirmation s’affiche dans le terminal pour vous informer de l’installation correcte.
sudo ./DataBoxDiskUnlock_Prep.sh
Le script confirme que l’ordinateur client exécute un système d’exploitation pris en charge, tel qu’illustré dans l’exemple de sortie.
[user@localhost Documents]$ sudo ./DataBoxDiskUnlock_Prep.sh
OS = CentOS Version = 6.9
Release = CentOS release 6.9 (Final)
Architecture = x64
The script will install the following packages and dependencies.
epel-release
dislocker
ntfs-3g
fuse-dislocker
Do you wish to continue? y|n :|
Tapez y pour poursuivre l’installation. Le script installe les packages suivants :
epel-release : référentiel contenant les trois packages suivants.
dislocker et fuse-dislocker : ces utilitaires permettent de déchiffrer les disques chiffrés par BitLocker.
ntfs-3g : package permettant de monter des volumes NTFS.
La notification s’affiche dans le terminal pour vous informer de l’installation correcte des packages.
Dependency Installed: compat-readline5.x86 64 0:5.2-17.I.el6 dislocker-libs.x86 64 0:0.7.1-8.el6 mbedtls.x86 64 0:2.7.4-l.el6 ruby.x86 64 0:1.8.7.374-5.el6
ruby-libs.x86 64 0:1.8.7.374-5.el6
Complete!
Loaded plugins: fastestmirror, refresh-packagekit, security
Setting up Remove Process
Resolving Dependencies
Running transaction check
Package epel-release.noarch 0:6-8 will be erased Finished Dependency Resolution
Dependencies Resolved
Package Architecture Version Repository Size
Removing: epel-release noarch 6-8 @extras 22 k
Transaction Summary
Remove 1 Package(s)
Installed size: 22 k
Downloading Packages:
Running rpmcheckdebug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
Erasing : epel-release-6-8.noarch
Verifying : epel-release-6-8.noarch
Removed:
epel-release.noarch 0:6-8
Complete!
Dislocker is installed by the script.
OpenSSL is already installed.
Exécutez l’outil de déverrouillage Data Box Disk en fournissant la clé d’accès récupérée auprès du Portail Azure. Si vous le souhaitez, spécifiez une liste de numéros de série chiffrés par BitLocker à déverrouiller. Les numéros de série et la clé d’accès doivent être contenus entre des guillemets simples, comme illustré.
sudo ./DataBoxDiskUnlock /PassKey:'<Passkey from Azure portal>'
/SerialNumbers: '22183820683A;221838206839'
L'exemple de sortie suivant confirme que le volume a été correctement déverrouillé. Le point de montage s’affiche également pour le volume dans lequel vous pouvez copier vos données.
Répétez la procédure de déverrouillage pour toutes les réinsertions de disque ultérieures. Utilisez la commande help pour obtenir une aide supplémentaire concernant l’outil de déverrouillage Data Box Disk.
sudo //DataBoxDiskUnlock /Help
Un exemple de sortie s’affiche ci-dessous.
[user@localhost Downloads]$ DataBoxDiskUnlock /Help
START: Wed Apr 10 12:35:21 2024
DataBoxDiskUnlock is an utility managed by Microsoft which provides a convenient way to unlock BitLocker
and self-encrypted Data Box disks ordered through Azure portal.
More details available at https://learn.microsoft.com/en-us/azure/databox/data-box-disk-deploy-set-up
-----------------------------------------------------
USAGE:
Example: sudo DataBoxDiskUnlock /PassKey:'passkey'
Example: sudo DataBoxDiskUnlock /PassKey:'passkey' /Volumes:'/dev/sdb;/dev/sdc'
Example: sudo DataBoxDiskUnlock /PassKey:'passkey' /SerialNumbers:'20032613084B'
Example: sudo DataBoxDiskUnlock /PassKey:'passkey' /Volumes:'/dev/sdb' /SED
Example: sudo DataBoxDiskUnlock /PassKey:'passkey' /SerialNumbers:'20032613084B;214633033214' /SED
Example: sudo DataBoxDiskUnlock /Help
Example: sudo DataBoxDiskUnlock /Unmount
Example: sudo DataBoxDiskUnlock /Rescan /Volumes:'/dev/sdb;/dev/sdc'
/PassKey : This option takes a passkey as input and unlocks all of your disks.
Get the passkey from your Data Box Disk order in Azure portal.
/Volumes : This option is used to input a list of volumes.
/SerialNumbers : This option is used to input a list of serial numbers.
/Sed : This option is used to unlock or unmount Self-Encrypted drives (hardware encryption).
Volumes or Serial Numbers is a mandatory field when /SED flag is used.
/Help : This option provides help on the tool usage and examples.
/Unmount : This option unmounts all the volumes mounted by this tool.
/Rescan : Perform SATA controller reset to repair the SATA link speed for specific volumes.
-----------------------------------------------------
Après le déverrouillage du disque, vous pouvez accéder au point de montage et visualiser le contenu du disque. Vous voici prêt à copier les données dans les dossiers BlockBlob ou PageBlob.
Remarque
Ne formatez pas et ne modifiez pas le contenu ou la structure de fichiers existante du disque.
Après la copie des données requises sur le disque, veillez à démonter et supprimer le disque de manière sécurisée en utilisant la commande suivante.
sudo ./DataBoxDiskUnlock /unmount /SerialNumbers: 'serialNumber1;serialNumber2'
L'exemple de sortie suivant confirme que le volume a été correctement démonté.
Étapes suivantes
Ce didacticiel vous a apporté des connaissances sur les disques Azure Data Box Disk, notamment concernant les points suivants :
- Déballer votre disque Data Box
- Se connecter aux disques et obtenir la clé d’accès
- Déverrouiller les disques sur le client Windows
- Déverrouiller les disques sur le client Linux
Passez au didacticiel suivant pour découvrir comment copier des données sur votre disque Data Box.
