Povolení služby Azure Disk Encryption s ID Microsoft Entra na virtuálních počítačích s Linuxem (předchozí verze)

Důležité

15. září 2028 je naplánované vyřazení služby Azure Disk Encryption. Do tohoto data můžete dál používat Službu Azure Disk Encryption bez přerušení. 15. září 2028 se úlohy s podporou ADE budou dál spouštět, ale šifrované disky se po restartování virtuálního počítače nepodaří odemknout, což vede k přerušení služeb.

Pro nové virtuální počítače používejte šifrování na hostiteli . Všechny virtuální počítače s podporou ADE (včetně záloh) se musí migrovat na šifrování na hostiteli před datem vyřazení, aby nedošlo k přerušení služeb. Podrobnosti najdete v tématu Migrace ze služby Azure Disk Encryption na šifrování na hostiteli .

Platí pro: ✔️ Flexibilní škálovací sady virtuálních počítačů s Linuxem ✔️

Nová verze služby Azure Disk Encryption eliminuje požadavek na poskytnutí parametru aplikace Microsoft Entra pro povolení šifrování disků virtuálního počítače. V nové verzi už během kroku povolení šifrování nemusíte zadávat přihlašovací údaje Microsoft Entra. Všechny nové virtuální počítače musí být šifrované bez parametrů aplikace Microsoft Entra pomocí nové verze. Pokyny k povolení šifrování disků virtuálního počítače pomocí nové verze najdete v tématu Azure Disk Encryption pro virtuální počítače s Linuxem. Virtuální počítače, které už byly zašifrované pomocí parametrů aplikace Microsoft Entra, se stále podporují a měly by se dál udržovat pomocí syntaxe Microsoft Entra.

Můžete povolit mnoho scénářů šifrování disků a postup se může lišit podle scénáře. Následující části podrobně popisují scénáře pro virtuální počítače (VMs) linuxové infrastruktury jako služby (IaaS). Šifrování disků je možné použít jen u virtuálních počítačů, které mají podporovanou velikost a operační systémy. Dále musí být splněny následující požadavky:

• Další požadavky na virtuální počítače
• Sítě a zásady skupiny
• Požadavky na úložiště šifrovacích klíčů

Pořiďte snímek, vytvořte zálohu nebo obojí před šifrováním disků. Pokud máte zálohu a při šifrování dojde nečekaně k chybě, bude možné virtuální počítač obnovit. Virtuální počítače se spravovanými disky vyžadují před šifrováním zálohu. Po vytvoření zálohy můžete pomocí rutiny Set-AzVMDiskEncryptionExtension zašifrovat spravované disky zadáním parametru -skipVmBackup. Další informace o zálohování a obnovení šifrovaných virtuálních počítačů najdete v tématu Azure Backup.

Výstraha

• Pokud jste k šifrování tohoto virtuálního počítače použili službu Azure Disk Encryption s aplikací Microsoft Entra, musíte k šifrování virtuálního počítače pokračovat v použití této možnosti. Na tomto šifrovaném virtuálním počítači nemůžete použít Azure Disk Encryption , protože se nejedná o podporovaný scénář, což znamená, že přechod mimo aplikaci Microsoft Entra pro tento šifrovaný virtuální počítač ještě není podporovaný.
• Aby se zajistilo, že tajné kódy šifrování nepřekračují hranice oblastí, azure Disk Encryption potřebuje trezor klíčů a virtuální počítače, které se mají společně přidělovat ve stejné oblasti. Vytvořte a použijte trezor klíčů, který je ve stejné oblasti jako virtuální počítač k šifrování.
• Při šifrování svazků s operačním systémem Linux může proces trvat několik hodin. Je běžné, že zašifrování svazků operačního systému Linux trvá déle než zašifrování datových svazků.
• Při šifrování svazků s operačním systémem Linux by se měl virtuální počítač považovat za nedostupný. Důrazně doporučujeme vyhnout se přihlášeníM SSH, zatímco probíhá šifrování, abyste zabránili blokování otevřených souborů, ke kterým je potřeba přistupovat během procesu šifrování. Pokud chcete zkontrolovat průběh, použijte příkazy Get-AzVMDiskEncryptionStatus nebo vm encryption show. Můžete očekávat, že tento proces u svazku s operačním systémem o velikosti 30 GB potrvá několik hodin, a ještě více času bude zapotřebí pro šifrování datových svazků. Doba šifrování datového svazku je úměrná velikosti a množství datových svazků, pokud není použita možnost šifrovat celý formát.
• Zákaz šifrování je na virtuálních počítačích s Linuxem podporovaný jen u datových svazků. Pokud je svazek operačního systému zašifrovaný, nepodporuje se to u datových ani systémových svazků.

Povolení šifrování na existujícím nebo spuštěném virtuálním počítači IaaS s Linuxem

V tomto scénáři můžete povolit šifrování pomocí šablony Azure Resource Manageru, rutin PowerShellu nebo příkazů Azure CLI.

Důležité

Je povinné pořídit snímek nebo zálohovat instanci virtuálního počítače založenou na spravovaných discích mimo službu Azure Disk Encryption a před povolením služby Azure Disk Encryption. Snímek spravovaného disku můžete pořídit z webu Azure Portal nebo můžete použít Azure Backup. Zálohy zajišťují, že možnost obnovení je možná v případě neočekávaného selhání během šifrování. Po vytvoření zálohy pomocí rutiny Set-AzVMDiskEncryptionExtension zašifrujte spravované disky zadáním parametru -skipVmBackup. Příkaz Set-AzVMDiskEncryptionExtension selže u virtuálních počítačů se spravovanými disky, dokud není provedena záloha a zadán tento parametr.

Šifrování nebo zakázání šifrování může způsobit restartování virtuálního počítače.

Povolení šifrování na existujícím nebo spuštěném virtuálním počítači s Linuxem pomocí Azure CLI

Můžete povolit šifrování disků na vašem šifrovaném VHD instalací a použitím nástroje příkazového řádku Azure CLI 2.0. Můžete ho používat v prohlížeči pomocí služby Azure Cloud Shell nebo nainstalovat na místním počítači a používat ho v jakékoli relaci PowerShellu. Pokud chcete povolit šifrování u existujících nebo spuštěných virtuálních počítačů IaaS s Linuxem v Azure, použijte následující příkazy rozhraní příkazového řádku:

Příkazem az vm encryption enable zapněte šifrování na spuštěném virtuálním počítači IaaS v Azure.

• Šifrování spuštěného virtuálního počítače pomocí tajného klíče klienta:

      az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --aad-client-id "<my spn created with CLI/my Azure AD ClientID>"  --aad-client-secret "My-AAD-client-secret" --disk-encryption-keyvault "MySecureVault" --volume-type [All|OS|Data]
  

• Zašifrujte spuštěný virtuální počítač použitím klíče KEK k zabalení klientského tajného klíče:

      az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --aad-client-id "<my spn created with CLI which is the Azure AD ClientID>"  --aad-client-secret "My-AAD-client-secret" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type [All|OS|Data]
  

  Poznámka:

  Syntaxe pro hodnotu parametru disk-encryption-keyvault je řetězec úplného identifikátoru: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name].
  
  Syntaxe pro hodnotu parametru key-encryption-key je úplná URI adresa KEK klíče, jako například: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id].

• Ověřte, že jsou disky šifrované: Pokud chcete zkontrolovat stav šifrování virtuálního počítače IaaS, použijte příkaz az vm encryption show .

      az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"
  

• Zakázat šifrování: Pokud chcete šifrování zakázat, použijte příkaz az vm encryption disable . Zakázání šifrování je povolené jenom u datových svazků pro virtuální počítače s Linuxem.

      az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type DATA
  

Povolení šifrování na existujícím nebo spuštěném virtuálním počítači s Linuxem pomocí PowerShellu

Pomocí rutiny Set-AzVMDiskEncryptionExtension povolte šifrování na spuštěném virtuálním počítači IaaS v Azure. Pořiďte snímek nebo vytvořte zálohu virtuálního počítače se službou Azure Backup, než se disky zašifrují. Parametr -skipVmBackup je již zadaný ve skriptech PowerShellu pro šifrování spuštěného virtuálního počítače s Linuxem.

• Zašifrujte spuštěný virtuální počítač pomocí tajného klíče klienta: Následující skript inicializuje proměnné a spustí rutinu Set-AzVMDiskEncryptionExtension. Skupina prostředků, virtuální počítač, trezor klíčů, aplikace Microsoft Entra a tajný klíč klienta by už měly být vytvořeny jako předpoklady. Nahraďte MyVirtualMachineResourceGroup, MyKeyVaultResourceGroup, MySecureVM, MySecureVault, My-AAD-client-ID a My-AAD-client-secret hodnotami. Upravte parametr -VolumeType tak, aby určil, které disky šifrujete.

      $VMRGName = 'MyVirtualMachineResourceGroup';
      $KVRGname = 'MyKeyVaultResourceGroup';
      $vmName = 'MySecureVM';
      $aadClientID = 'My-AAD-client-ID';
      $aadClientSecret = 'My-AAD-client-secret';
      $KeyVaultName = 'MySecureVault';
      $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
      $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
      $KeyVaultResourceId = $KeyVault.ResourceId;
      $sequenceVersion = [Guid]::NewGuid();
  
      Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $vmName -AadClientID $aadClientID -AadClientSecret $aadClientSecret -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType '[All|OS|Data]' -SequenceVersion $sequenceVersion -skipVmBackup;
  

• Šifrování spuštěného virtuálního počítače pomocí klíče KEK k zabalení tajného klíče klienta: Azure Disk Encryption umožňuje zadat existující klíč v trezoru klíčů pro zabalení tajných kódů šifrování disku, které byly generovány při povolování šifrování. Pokud je zadán klíč pro šifrování klíčů, Azure Disk Encryption použije tento klíč k zabalení šifrovacích tajemství před jejich uložením do trezoru klíčů. Upravte parametr -VolumeType tak, aby určil, které disky šifrujete.

      $KVRGname = 'MyKeyVaultResourceGroup';
      $VMRGName = 'MyVirtualMachineResourceGroup';
      $aadClientID = 'My-AAD-client-ID';
      $aadClientSecret = 'My-AAD-client-secret';
      $KeyVaultName = 'MySecureVault';
      $keyEncryptionKeyName = 'MyKeyEncryptionKey';
      $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
      $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
      $KeyVaultResourceId = $KeyVault.ResourceId;
      $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
      $sequenceVersion = [Guid]::NewGuid();
  
      Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $vmName -AadClientID $aadClientID -AadClientSecret $aadClientSecret -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType '[All|OS|Data]' -SequenceVersion $sequenceVersion -skipVmBackup;
  

  Poznámka:

  Syntaxe pro hodnotu parametru disk-encryption-keyvault je řetězec úplného identifikátoru: /subscriptions/[subscription-id-guid]/resourceGroups/[KVresource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name].
  
  Syntaxe pro hodnotu parametru key-encryption-key je úplná URI adresa KEK klíče, jako například: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id].

• Ověřte, že jsou disky šifrované: Pokud chcete zkontrolovat stav šifrování virtuálního počítače IaaS, použijte rutinu Get-AzVmDiskEncryptionStatus .

      Get-AzVmDiskEncryptionStatus -ResourceGroupName MyVirtualMachineResourceGroup -VMName MySecureVM
  

• Zakázat šifrování disku: Pokud chcete šifrování zakázat, použijte rutinu Disable-AzureRmVMDiskEncryption . Zakázání šifrování je povolené jenom u datových svazků pro virtuální počítače s Linuxem.

      Disable-AzVMDiskEncryption -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
  

Povolení šifrování na existujícím nebo spuštěném virtuálním počítači IaaS s Linuxem pomocí šablony

Šifrování disků můžete povolit na existujícím nebo spuštěném virtuálním počítači IaaS s Linuxem v Azure pomocí šablony Resource Manageru.

1. V šabloně Rychlého startu Azure vyberte Nasadit do Azure .

2. Vyberte předplatné, skupinu prostředků, umístění skupiny prostředků, parametry, právní podmínky a smlouvu. Výběrem možnosti Vytvořit povolíte šifrování na existujícím nebo spuštěném virtuálním počítači IaaS.

Následující tabulka uvádí parametry šablony Resource Manageru pro existující nebo spuštěné virtuální počítače, které používají ID klienta Microsoft Entra:

Parametr	Popis
AADClientID	ID klienta aplikace Microsoft Entra, která má oprávnění k zápisu tajných kódů do trezoru klíčů.
AADClientSecret	Tajný klíč klienta aplikace Microsoft Entra, která má oprávnění k zápisu tajných kódů do vašeho trezoru klíčů.
keyVaultName	Název trezoru klíčů, do kterého se má klíč nahrát. Můžete ho získat pomocí příkazu az keyvault show --name "MySecureVault" --query KVresourceGroupAzure CLI .
keyEncryptionKeyURL	Adresa URL šifrovacího klíče, který se používá k šifrování vygenerovaného klíče. Tento parametr je volitelný, pokud v rozevíracím seznamu UseExistingKek vyberete nokek. Pokud v rozevíracím seznamu UseExistingKek vyberete kek, musíte zadat hodnotu keyEncryptionKeyURL.
typ objemu	Typ svazku, na který se provádí operace šifrování. Platné podporované hodnoty jsou operační systém nebo všechny. (Viz podporované distribuce Linuxu a jejich verze pro disky s operačním systémem a datovými disky v předchozí části požadavky.)
verze sekvence	Sekvenční verze operace BitLockeru Zvýší toto číslo verze při každé operaci šifrování disku na stejném virtuálním počítači.
vmName	Název virtuálního počítače, na který se má provést operace šifrování.
heslo	Zadejte silné heslo jako šifrovací klíč dat.

Použití funkce EncryptFormatAll pro datové disky na virtuálních počítačích IaaS s Linuxem

Parametr EncryptFormatAll zkracuje dobu šifrování datových disků Linuxu. Oddíly, které splňují určitá kritéria, jsou formátované (s aktuálním systémem souborů). Pak se znovu připojí k místa, kde byly před provedením příkazu. Pokud chcete vyloučit datový disk, který splňuje kritéria, můžete ho před spuštěním příkazu odpojit.

Po spuštění tohoto příkazu se všechny připojené jednotky naformátují. Pak se vrstva šifrování spustí nad prázdnou jednotkou. Pokud je tato možnost vybraná, dočasný disk připojený k virtuálnímu počítači se také zašifruje. Pokud se dočasný disk resetuje, přeformátuje se a znovu zašifruje pro virtuální počítač řešením Azure Disk Encryption v další příležitosti.

Výstraha

EncryptFormatAll by se nemělo používat, pokud jsou potřebná data na datových svazcích virtuálního počítače. Disky můžete z šifrování vyloučit tak, že je odpojíte. Nejprve vyzkoušejte parametr EncryptFormatAll na testovacím virtuálním počítači, abyste porozuměli parametru funkce a jeho implikaci, než ho zkusíte na produkčním virtuálním počítači. Možnost EncryptFormatAll formátuje datový disk, takže všechna data na něm budou ztracena. Než budete pokračovat, ověřte, že všechny disky, které chcete vyloučit, jsou správně odpojené.

Pokud tento parametr nastavíte při aktualizaci nastavení šifrování, může to před skutečným šifrováním vést k restartování. V takovém případě také chcete odebrat disk, který nechcete formátovat ze souboru fstab. Podobně byste měli před zahájením operace šifrování přidat oddíl, který chcete zašifrovat do souboru fstab.

Kritéria EncryptFormatAll

Parametr prochází všemi oddíly a šifruje je, pokud splňují všechna následující kritéria:

• Nejedná se o kořenový, systémový nebo spouštěcí oddíl.
• Není zašifrovaný.
• Není svazek BEK.
• Není svazek RAID.
• Není svazek LVM.
• Je namontováno.

Zašifrujte disky, které tvoří svazek RAID nebo LVM, a nikoli svazek RAID nebo LVM.

Použití parametru EncryptFormatAll se šablonou

Pokud chcete použít možnost EncryptFormatAll, použijte libovolnou existující šablonu Azure Resource Manageru, která šifruje virtuální počítač s Linuxem a změní pole EncryptionOperation pro prostředek AzureDiskEncryption.

1. Například pomocí šablony Resource Manageru zašifrujte spuštěný virtuální počítač IaaS s Linuxem.
2. V šabloně Rychlého startu Azure vyberte Nasadit do Azure .
3. Změňte pole EncryptionOperation z EnableEncryption na EnableEncryptionFormatAl.
4. Vyberte předplatné, skupinu prostředků, umístění skupiny prostředků, další parametry, právní podmínky a smlouvu. Výběrem možnosti Vytvořit povolíte šifrování na existujícím nebo spuštěném virtuálním počítači IaaS.

Použití parametru EncryptFormatAll s rutinou PowerShellu

Použijte rutinu Set-AzVMDiskEncryptionExtension s parametrem EncryptFormatAll.

Zašifrujte spuštěný virtuální počítač pomocí tajného klíče klienta a EncryptFormatAll: Například následující skript inicializuje proměnné a spustí rutinu Set-AzVMDiskEncryptionExtension s parametrem EncryptFormatAll. Skupina prostředků, virtuální počítač, trezor klíčů, aplikace Microsoft Entra a tajný klíč klienta by už měly být vytvořeny jako předpoklady. Nahraďte MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM, MySecureVault, My-AAD-client-ID a My-AAD-client-secret hodnotami.

  $KVRGname = 'MyKeyVaultResourceGroup';
  $VMRGName = 'MyVirtualMachineResourceGroup';
  $aadClientID = 'My-AAD-client-ID';
  $aadClientSecret = 'My-AAD-client-secret';
  $KeyVaultName = 'MySecureVault';
  $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
  $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
  $KeyVaultResourceId = $KeyVault.ResourceId;

  Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $vmName -AadClientID $aadClientID -AadClientSecret $aadClientSecret -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -EncryptFormatAll

Použití parametru EncryptFormatAll se správcem logických svazků (LVM)

Doporučujeme nastavit lvm-on-crypt. U všech následujících příkladů nahraďte cestu zařízení a přípojné body tím, co vyhovuje vašemu případu použití. Toto nastavení lze provést následujícím způsobem:

• Přidejte datové disky, které vytvoří virtuální počítač.

• Naformátujte, připojte a přidejte tyto disky do souboru fstab.

  1. Naformátujte nově přidaný disk. Tady používáme symlinky vygenerované Azure. Použití symlinks zabraňuje problémům souvisejícím se změnou názvů zařízení. Další informace najdete v tématu Řešení potíží s názvy zařízení.

     mkfs -t ext4 /dev/disk/azure/scsi1/lun0
     

  2. Připojte disky.

     mount /dev/disk/azure/scsi1/lun0 /mnt/mountpoint
     

  3. Přidat do fstab.

     echo "/dev/disk/azure/scsi1/lun0 /mnt/mountpoint ext4 defaults,nofail 1 2" >> /etc/fstab
     

  4. Spuštěním rutiny PowerShellu Set-AzVMDiskEncryptionExtension s parametrem -EncryptFormatAll zašifrujte tyto disky.

      Set-AzVMDiskEncryptionExtension -ResourceGroupName "MySecureGroup" -VMName "MySecureVM" -DiskEncryptionKeyVaultUrl "https://mykeyvault.vault.azure.net/" -EncryptFormatAll
     

  5. Nastavte LVM nad těmito novými disky. Všimněte si, že šifrované jednotky jsou odemknuté po dokončení spouštění virtuálního počítače. Takže montáž LVM také bude muset být následně zpožděna.

Nové virtuální počítače IaaS vytvořené z šifrovaného virtuálního pevného disku zákazníka a šifrovacích klíčů

V tomto scénáři můžete šifrování povolit pomocí šablony Resource Manageru, rutin PowerShellu nebo příkazů rozhraní příkazového řádku. Následující části popisují podrobněji šablonu Resource Manageru a příkazy rozhraní příkazového řádku.

Pokyny v dodatku použijte k přípravě předšifrovaných imagí, které je možné použít v Azure. Po vytvoření image můžete pomocí kroků v další části vytvořit šifrovaný virtuální počítač Azure.

• Příprava předšifrovaného virtuálního pevného disku s Linuxem

Důležité

Je povinné pořídit snímek nebo zálohovat instanci virtuálního počítače založenou na spravovaných discích mimo službu Azure Disk Encryption a před povolením služby Azure Disk Encryption. Snímek spravovaného disku můžete pořídit z portálu nebo můžete použít Azure Backup. Zálohy zajišťují, že možnost obnovení je možná v případě neočekávaného selhání během šifrování. Po vytvoření zálohy pomocí rutiny Set-AzVMDiskEncryptionExtension zašifrujte spravované disky zadáním parametru -skipVmBackup. Příkaz Set-AzVMDiskEncryptionExtension selže u virtuálních počítačů se spravovanými disky, dokud není provedena záloha a zadán tento parametr.

Šifrování nebo zakázání šifrování může způsobit restartování virtuálního počítače.

Použití Azure PowerShellu k šifrování virtuálních počítačů IaaS pomocí předšifrovaných virtuálních pevných disků

Šifrování disku na šifrovaném virtuálním pevném disku můžete povolit pomocí rutiny PowerShell Set-AzVMOSDisk. Následující příklad obsahuje některé běžné parametry.

$VirtualMachine = New-AzVMConfig -VMName "MySecureVM" -VMSize "Standard_A1"
$VirtualMachine = Set-AzVMOSDisk -VM $VirtualMachine -Name "SecureOSDisk" -VhdUri "os.vhd" Caching ReadWrite -Windows -CreateOption "Attach" -DiskEncryptionKeyUrl "https://mytestvault.vault.azure.net/secrets/Test1/514ceb769c984379a7e0230bddaaaaaa" -DiskEncryptionKeyVaultId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myresourcegroup/providers/Microsoft.KeyVault/vaults/mytestvault"
New-AzVM -VM $VirtualMachine -ResourceGroupName "MyVirtualMachineResourceGroup"

Povolení šifrování na nově přidaném datovém disku

Nový datový disk můžete přidat pomocí příkazu az vm disk attach nebo prostřednictvím webu Azure Portal. Před šifrováním je potřeba nejprve připojit nově připojený datový disk. Musíte požádat o šifrování datové jednotky, protože jednotka bude v průběhu šifrování nepoužitelná.

Povolení šifrování na nově přidaném disku pomocí Azure CLI

Pokud byl virtuální počítač dříve šifrovaný pomocí all, měl by parametr --volume-type zůstat all. Vše zahrnuje jak disky operačního systému, tak datové disky. Pokud byl virtuální počítač dříve šifrovaný pomocí typu operačního systému, měl by být parametr --volume-type změněn na Vše, aby byl zahrnutý operační systém i nový datový disk. Pokud byl virtuální počítač zašifrovaný pouze s typem svazku Data, může zůstat data, jak je znázorněno zde. Přidání a připojení nového datového disku k virtuálnímu počítači není dostatečnou přípravou na šifrování. Před povolením šifrování musí být nově připojený disk také naformátovaný a správně připojený v rámci virtuálního počítače. V Linuxu musí být disk připojený do /etc/fstab s trvalým názvem blokového zařízení.

Na rozdíl od syntaxe PowerShellu rozhraní příkazového řádku nevyžaduje, abyste při povolení šifrování zadali jedinečnou verzi sekvence. Rozhraní příkazového řádku automaticky vygeneruje a používá vlastní jedinečnou hodnotu verze sekvence.

• Šifrování spuštěného virtuálního počítače pomocí tajného klíče klienta:

      az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --aad-client-id "<my spn created with CLI/my Azure AD ClientID>"  --aad-client-secret "My-AAD-client-secret" --disk-encryption-keyvault "MySecureVault" --volume-type "Data"
  

• Zašifrujte spuštěný virtuální počítač použitím klíče KEK k zabalení klientského tajného klíče:

      az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --aad-client-id "<my spn created with CLI which is the Azure AD ClientID>"  --aad-client-secret "My-AAD-client-secret" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type "Data"
  

Povolení šifrování na nově přidaném disku pomocí Azure PowerShellu

Pokud k šifrování nového disku pro Linux použijete PowerShell, je potřeba zadat novou sekvenční verzi. Verze sekvence musí být jedinečná. Následující skript vygeneruje identifikátor GUID pro sekvenční verzi.

• Zašifrujte spuštěný virtuální počítač pomocí tajného klíče klienta: Následující skript inicializuje proměnné a spustí rutinu Set-AzVMDiskEncryptionExtension. Skupina prostředků, virtuální počítač, trezor klíčů, aplikace Microsoft Entra a tajný klíč klienta by už měly být vytvořeny jako předpoklady. Nahraďte MyVirtualMachineResourceGroup, MyKeyVaultResourceGroup, MySecureVM, MySecureVault, My-AAD-client-ID a My-AAD-client-secret hodnotami. Parametr -VolumeType je nastavený na datové disky, nikoli na disk s operačním systémem. Pokud byl virtuální počítač dříve šifrovaný pomocí typu operačního systému nebo "Vše", měl by být parametr -VolumeType změněn na Vše, aby byl zahrnutý operační systém i nový datový disk.

      $KVRGname = 'MyKeyVaultResourceGroup';
      $VMRGName = 'MyVirtualMachineResourceGroup';
      $vmName = 'MySecureVM';
      $aadClientID = 'My-AAD-client-ID';
      $aadClientSecret = 'My-AAD-client-secret';
      $KeyVaultName = 'MySecureVault';
      $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
      $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
      $KeyVaultResourceId = $KeyVault.ResourceId;
      $sequenceVersion = [Guid]::NewGuid();
  
      Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $vmName -AadClientID $aadClientID -AadClientSecret $aadClientSecret -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType 'data' –SequenceVersion $sequenceVersion;
  

• Šifrování spuštěného virtuálního počítače pomocí klíče KEK k zabalení tajného klíče klienta: Azure Disk Encryption umožňuje zadat existující klíč v trezoru klíčů pro zabalení tajných kódů šifrování disku, které byly generovány při povolování šifrování. Pokud je zadán klíč pro šifrování klíčů, Azure Disk Encryption použije tento klíč k zabalení šifrovacích tajemství před jejich uložením do trezoru klíčů. Parametr -VolumeType je nastavený na datové disky, nikoli na disk s operačním systémem. Pokud byl virtuální počítač dříve šifrovaný pomocí typu operačního systému nebo "Vše", měl by být parametr -VolumeType změněn na Vše, aby byl zahrnutý operační systém i nový datový disk.

      $KVRGname = 'MyKeyVaultResourceGroup';
      $VMRGName = 'MyVirtualMachineResourceGroup';
      $vmName = 'MyExtraSecureVM';
      $aadClientID = 'My-AAD-client-ID';
      $aadClientSecret = 'My-AAD-client-secret';
      $KeyVaultName = 'MySecureVault';
      $keyEncryptionKeyName = 'MyKeyEncryptionKey';
      $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
      $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
      $KeyVaultResourceId = $KeyVault.ResourceId;
      $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
      $sequenceVersion = [Guid]::NewGuid();
  
      Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $vmName -AadClientID $aadClientID -AadClientSecret $aadClientSecret -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType 'data' –SequenceVersion $sequenceVersion;
  

Poznámka:

Syntaxe pro hodnotu parametru disk-encryption-keyvault je řetězec úplného identifikátoru: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name].

Syntaxe pro hodnotu parametru key-encryption-key je úplná URI adresa KEK klíče, jako například: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id].

Zakázání šifrování pro virtuální počítače s Linuxem

Šifrování můžete zakázat pomocí Azure PowerShellu, Azure CLI nebo šablony Resource Manageru.

Důležité

Zakázání šifrování pomocí služby Azure Disk Encryption na virtuálních počítačích s Linuxem se podporuje jenom u datových svazků. Pokud je svazek operačního systému zašifrovaný, nepodporuje se to u datových ani systémových svazků.

• Zakázání šifrování disků pomocí Azure PowerShellu: Pokud chcete zakázat šifrování, použijte rutinu Disable-AzureRmVMDiskEncryption .

      Disable-AzVMDiskEncryption -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM' [--volume-type {ALL, DATA, OS}]
  

• Zákaz šifrování pomocí Azure CLI: Pokud chcete zakázat šifrování, použijte příkaz az vm encryption disable .

      az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type [ALL, DATA, OS]
  

• Zakázat šifrování pomocí šablony Resource Manager: Pokud chcete zakázat šifrování, použijte šablonu Zakázat šifrování na spuštěném Linux VM.

  1. Vyberte Nasadit do Azure.
  2. Vyberte předplatné, skupinu prostředků, umístění, virtuální počítač, právní podmínky a smlouvu.
  3. Výběrem možnosti Koupit zakážete šifrování disků na spuštěném virtuálním počítači s Windows.

Další kroky

• Přehled služby Azure Disk Encryption pro Linux
• Vytvoření a konfigurace trezoru klíčů pro Azure Disk Encryption s ID Microsoft Entra (předchozí verze)