Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: ✔️ Linux-VMs ✔️ Flexible Skalierungsgruppen
In diesem Artikel wird beschrieben, wie der Verschlüsselungsstatus eines virtuellen Computers mit verschiedenen Methoden überprüft wird: Azure-Portal, PowerShell, Azure CLI oder Betriebssystem des virtuellen Computers (VM).
Sie können den Verschlüsselungsstatus entweder während oder nach der Verschlüsselung überprüfen, indem Sie wie folgt vorgehen:
- Überprüfen der Datenträger, die an einen bestimmten virtuellen Computer angefügt sind
- Abfragen der Verschlüsselungseinstellungen auf jedem einzelnen Datenträger, um zu ermitteln, ob er angefügt oder nicht angefügt ist
Dieses Szenario gilt für Azure Disk Encryption-Erweiterungen mit einem und zwei Durchläufen. Linux-Distributionen sind die einzig mögliche Umgebung für dieses Szenario.
Hinweis
Im gesamten Artikel werden Variablen verwendet. Ersetzen Sie die Werte entsprechend.
Portal
Wählen Sie im Azure-Portal im Abschnitt Erweiterungen in der Liste die Azure Disk Encryption-Erweiterung aus. In den Informationen der Statusmeldung ist der aktuelle Verschlüsselungsstatus angegeben:
In der Liste mit den Erweiterungen wird die entsprechende Version der Azure Disk Encryption-Erweiterung angezeigt. Version 0.x entspricht Azure Disk Encryption mit zwei Durchläufen, und Version 1.x entspricht Azure Disk Encryption mit einem Durchlauf.
Weitere Details erhalten Sie, indem Sie die Erweiterung und dann die Option Detaillierten Status anzeigen auswählen. Der ausführliche Status des Verschlüsselungsprozesses wird im JSON-Format angezeigt.
Eine weitere Möglichkeit zum Überprüfen des Verschlüsselungsstatus ist das Anzeigen des Abschnitts mit den Datenträgereinstellungen.
Hinweis
Mit diesem Status wird angegeben, dass die Datenträger über gestempelte Verschlüsselungseinstellungen verfügen. Es bedeutet nicht, dass sie tatsächlich auf der Betriebssystemebene verschlüsselt wurden.
Die Datenträger werden standardmäßig erst gestempelt und dann später verschlüsselt. Wenn der Verschlüsselungsprozess fehlschlägt, werden die Datenträger womöglich gestempelt, aber nicht verschlüsselt.
Sie können die Verschlüsselung der Datenträger auf der Betriebssystemebene wiederholt prüfen, um sicherzustellen, dass die Datenträger wirklich verschlüsselt wurden.
PowerShell
Sie können den allgemeinen Verschlüsselungsstatus einer verschlüsselten VM mit den folgenden PowerShell-Befehlen überprüfen:
$VMNAME="VMNAME"
$RGNAME="RGNAME"
Get-AzVmDiskEncryptionStatus -ResourceGroupName ${RGNAME} -VMName ${VMNAME}
Sie können die Verschlüsselungseinstellungen jedes Datenträgers mit den folgenden PowerShell-Befehlen erfassen.
Einzeldurchlauf
Bei nur einem Durchlauf werden die Verschlüsselungseinstellungen auf jeden Datenträger (Betriebssystem und Daten) gestempelt. Sie können die Verschlüsselungseinstellungen für einen Betriebssystemdatenträger wie folgt mit einem einzelnen Durchlauf erfassen:
$RGNAME = "RGNAME"
$VMNAME = "VMNAME"
$VM = Get-AzVM -Name ${VMNAME} -ResourceGroupName ${RGNAME}
$Sourcedisk = Get-AzDisk -ResourceGroupName ${RGNAME} -DiskName $VM.StorageProfile.OsDisk.Name
Write-Host "============================================================================================================================================================="
Write-Host "Encryption Settings:"
Write-Host "============================================================================================================================================================="
Write-Host "Enabled:" $Sourcedisk.EncryptionSettingsCollection.Enabled
Write-Host "Version:" $Sourcedisk.EncryptionSettingsCollection.EncryptionSettingsVersion
Write-Host "Source Vault:" $Sourcedisk.EncryptionSettingsCollection.EncryptionSettings.DiskEncryptionKey.SourceVault.Id
Write-Host "Secret URL:" $Sourcedisk.EncryptionSettingsCollection.EncryptionSettings.DiskEncryptionKey.SecretUrl
Write-Host "Key URL:" $Sourcedisk.EncryptionSettingsCollection.EncryptionSettings.KeyEncryptionKey.KeyUrl
Write-Host "============================================================================================================================================================="
Wenn der Datenträger über keine gestempelten Verschlüsselungseinstellungen verfügt, ist die Ausgabe leer:
Verwenden Sie die folgenden Befehle, um die Verschlüsselungseinstellungen für reguläre Datenträger zu erfassen:
$RGNAME = "RGNAME"
$VMNAME = "VMNAME"
$VM = Get-AzVM -Name ${VMNAME} -ResourceGroupName ${RGNAME}
clear
foreach ($i in $VM.StorageProfile.DataDisks|ForEach-Object{$_.Name})
{
Write-Host "============================================================================================================================================================="
Write-Host "Encryption Settings:"
Write-Host "============================================================================================================================================================="
Write-Host "Checking Disk:" $i
$Disk=(Get-AzDisk -ResourceGroupName ${RGNAME} -DiskName $i)
Write-Host "Encryption Enable: " $Sourcedisk.EncryptionSettingsCollection.Enabled
Write-Host "Encryption KeyEncryptionKey: " $Sourcedisk.EncryptionSettingsCollection.EncryptionSettings.KeyEncryptionKey.KeyUrl;
Write-Host "Encryption DiskEncryptionKey: " $Sourcedisk.EncryptionSettingsCollection.EncryptionSettings.DiskEncryptionKey.SecretUrl;
Write-Host "============================================================================================================================================================="
}
Zwei Durchläufe
Bei einem Vorgang mit zwei Durchläufen werden die Verschlüsselungseinstellungen nicht auf jedem einzelnen Datenträger, sondern im VM-Modell gestempelt.
Sie können mit den folgenden Befehlen überprüfen, ob die Verschlüsselungseinstellungen bei einem Vorgang mit zwei Durchläufen gestempelt wurden:
$RGNAME = "RGNAME"
$VMNAME = "VMNAME"
$vm = Get-AzVm -ResourceGroupName ${RGNAME} -Name ${VMNAME};
$Sourcedisk = Get-AzDisk -ResourceGroupName ${RGNAME} -DiskName $VM.StorageProfile.OsDisk.Name
clear
Write-Host "============================================================================================================================================================="
Write-Host "Encryption Settings:"
Write-Host "============================================================================================================================================================="
Write-Host "Enabled:" $Sourcedisk.EncryptionSettingsCollection.Enabled
Write-Host "Version:" $Sourcedisk.EncryptionSettingsCollection.EncryptionSettingsVersion
Write-Host "Source Vault:" $Sourcedisk.EncryptionSettingsCollection.EncryptionSettings.DiskEncryptionKey.SourceVault.Id
Write-Host "Secret URL:" $Sourcedisk.EncryptionSettingsCollection.EncryptionSettings.DiskEncryptionKey.SecretUrl
Write-Host "Key URL:" $Sourcedisk.EncryptionSettingsCollection.EncryptionSettings.KeyEncryptionKey.KeyUrl
Write-Host "============================================================================================================================================================="
Nicht angefügte Datenträger
Überprüfen Sie die Verschlüsselungseinstellungen von Datenträgern, die nicht an eine VM angefügt sind.
Verwaltete Datenträger
$Sourcedisk = Get-AzDisk -ResourceGroupName ${RGNAME} -DiskName ${TARGETDISKNAME}
Write-Host "============================================================================================================================================================="
Write-Host "Encryption Settings:"
Write-Host "============================================================================================================================================================="
Write-Host "Enabled:" $Sourcedisk.EncryptionSettingsCollection.Enabled
Write-Host "Version:" $Sourcedisk.EncryptionSettingsCollection.EncryptionSettingsVersion
Write-Host "Source Vault:" $Sourcedisk.EncryptionSettingsCollection.EncryptionSettings.DiskEncryptionKey.SourceVault.Id
Write-Host "Secret URL:" $Sourcedisk.EncryptionSettingsCollection.EncryptionSettings.DiskEncryptionKey.SecretUrl
Write-Host "Key URL:" $Sourcedisk.EncryptionSettingsCollection.EncryptionSettings.KeyEncryptionKey.KeyUrl
Write-Host "============================================================================================================================================================="
Azure CLI
Sie können den allgemeinen Verschlüsselungsstatus einer verschlüsselten VM mit den folgenden Azure CLI-Befehlen überprüfen:
VMNAME="VMNAME"
RGNAME="RGNAME"
az vm encryption show --name ${VMNAME} --resource-group ${RGNAME} --query "substatus"
Einzeldurchlauf
Sie können die Verschlüsselungseinstellungen für jeden Datenträger überprüfen, indem Sie die folgenden Azure CLI-Befehle verwenden:
az vm encryption show -g ${RGNAME} -n ${VMNAME} --query "disks[*].[name, statuses[*].displayStatus]" -o table
Wichtig
Falls der Datenträger nicht über gestempelte Verschlüsselungseinstellungen verfügt, wird der Text Datenträger ist nicht verschlüsselt angezeigt.
Verwenden Sie die folgenden Befehle, um den detaillierten Status und die Verschlüsselungseinstellungen abzurufen.
Betriebssystemdatenträger:
RGNAME="RGNAME"
VMNAME="VNAME"
disk=`az vm show -g ${RGNAME} -n ${VMNAME} --query storageProfile.osDisk.name -o tsv`
for disk in $disk; do \
echo "============================================================================================================================================================="
echo -ne "Disk Name: "; az disk show -g ${RGNAME} -n ${disk} --query name -o tsv; \
echo -ne "Encryption Enabled: "; az disk show -g ${RGNAME} -n ${disk} --query encryptionSettingsCollection.enabled -o tsv; \
echo -ne "Version: "; az disk show -g ${RGNAME} -n ${TARGETDISKNAME} --query encryptionSettingsCollection.encryptionSettingsVersion -o tsv; \
echo -ne "Disk Encryption Key: "; az disk show -g ${RGNAME} -n ${disk} --query encryptionSettingsCollection.encryptionSettings[].diskEncryptionKey.secretUrl -o tsv; \
echo -ne "key Encryption Key: "; az disk show -g ${RGNAME} -n ${disk} --query encryptionSettingsCollection.encryptionSettings[].keyEncryptionKey.keyUrl -o tsv; \
echo "============================================================================================================================================================="
done
Reguläre Datenträger:
RGNAME="RGNAME"
VMNAME="VMNAME"
az vm encryption show --name ${VMNAME} --resource-group ${RGNAME} --query "substatus"
for disk in `az vm show -g ${RGNAME} -n ${VMNAME} --query storageProfile.dataDisks[].name -o tsv`; do \
echo "============================================================================================================================================================="; \
echo -ne "Disk Name: "; az disk show -g ${RGNAME} -n ${disk} --query name -o tsv; \
echo -ne "Encryption Enabled: "; az disk show -g ${RGNAME} -n ${disk} --query encryptionSettingsCollection.enabled -o tsv; \
echo -ne "Version: "; az disk show -g ${RGNAME} -n ${TARGETDISKNAME} --query encryptionSettingsCollection.encryptionSettingsVersion -o tsv; \
echo -ne "Disk Encryption Key: "; az disk show -g ${RGNAME} -n ${disk} --query encryptionSettingsCollection.encryptionSettings[].diskEncryptionKey.secretUrl -o tsv; \
echo -ne "key Encryption Key: "; az disk show -g ${RGNAME} -n ${disk} --query encryptionSettingsCollection.encryptionSettings[].keyEncryptionKey.keyUrl -o tsv; \
echo "============================================================================================================================================================="
done
Zwei Durchläufe
az vm encryption show --name ${VMNAME} --resource-group ${RGNAME} -o table
Sie können die Verschlüsselungseinstellungen auch im Speicherprofil des VM-Modells auf dem Betriebssystemdatenträger überprüfen:
disk=`az vm show -g ${RGNAME} -n ${VMNAME} --query storageProfile.osDisk.name -o tsv`
for disk in $disk; do \
echo "============================================================================================================================================================="; \
echo -ne "Disk Name: "; az disk show -g ${RGNAME} -n ${disk} --query name -o tsv; \
echo -ne "Encryption Enabled: "; az disk show -g ${RGNAME} -n ${disk} --query encryptionSettingsCollection.enabled -o tsv; \
echo -ne "Version: "; az disk show -g ${RGNAME} -n ${TARGETDISKNAME} --query encryptionSettingsCollection.encryptionSettingsVersion -o tsv; \
echo -ne "Disk Encryption Key: "; az disk show -g ${RGNAME} -n ${disk} --query encryptionSettingsCollection.encryptionSettings[].diskEncryptionKey.secretUrl -o tsv; \
echo -ne "key Encryption Key: "; az disk show -g ${RGNAME} -n ${disk} --query encryptionSettingsCollection.encryptionSettings[].keyEncryptionKey.keyUrl -o tsv; \
echo "============================================================================================================================================================="
done
Nicht angefügte Datenträger
Überprüfen Sie die Verschlüsselungseinstellungen von Datenträgern, die nicht an eine VM angefügt sind.
Verwaltete Datenträger
RGNAME="RGNAME"
TARGETDISKNAME="DISKNAME"
echo "============================================================================================================================================================="
echo -ne "Disk Name: "; az disk show -g ${RGNAME} -n ${TARGETDISKNAME} --query name -o tsv; \
echo -ne "Encryption Enabled: "; az disk show -g ${RGNAME} -n ${TARGETDISKNAME} --query encryptionSettingsCollection.enabled -o tsv; \
echo -ne "Version: "; az disk show -g ${RGNAME} -n ${TARGETDISKNAME} --query encryptionSettingsCollection.encryptionSettingsVersion -o tsv; \
echo -ne "Disk Encryption Key: "; az disk show -g ${RGNAME} -n ${TARGETDISKNAME} --query encryptionSettingsCollection.encryptionSettings[].diskEncryptionKey.secretUrl -o tsv; \
echo -ne "key Encryption Key: "; az disk show -g ${RGNAME} -n ${TARGETDISKNAME} --query encryptionSettingsCollection.encryptionSettings[].keyEncryptionKey.keyUrl -o tsv; \
echo "============================================================================================================================================================="
Nicht verwaltete Datenträger
Nicht verwaltete Datenträger sind VHD-Dateien, die als Seitenblobs in Azure-Speicherkonten gespeichert sind.
Sie müssen Folgendes angeben, um die Details zu einem spezifischen Datenträger abzurufen:
- Die ID des Speicherkontos, das den Datenträger enthält
- Eine Verbindungszeichenfolge für das spezifische Speicherkonto
- Der Name des Containers, in dem der Datenträger gespeichert wird
- Der Name des Datenträgers
Mit dem folgenden Befehl werden alle IDs für all Ihre Speicherkonten aufgeführt:
az storage account list --query [].[id] -o tsv
Die Speicherkonto-IDs werden im folgenden Format aufgeführt:
/subscriptions/<Abonnement-ID>/resourceGroups/<Name der Ressourcengruppe>/providers/Microsoft.Storage/storageAccounts/<Name des Speicherkontos>
Wählen Sie die entsprechende ID aus, und speichern Sie sie in einer Variable:
id="/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/<storage account name>"
Mit dem folgenden Befehl wird die Verbindungszeichenfolge für ein bestimmtes Speicherkonto abgerufen und in einer Variable gespeichert:
ConnectionString=$(az storage account show-connection-string --ids $id --query connectionString -o tsv)
Mit dem folgenden Befehl werden alle Container in einem Speicherkonto aufgeführt:
az storage container list --connection-string $ConnectionString --query [].[name] -o tsv
Der Container, der für Datenträger verwendet wird, hat normalerweise den Namen „vhds“.
Speichern Sie den Containernamen in einer Variablen:
ContainerName="name of the container"
Verwenden Sie den folgenden Befehl, um alle Blobs eines bestimmten Containers aufzuführen:
az storage blob list -c ${ContainerName} --connection-string $ConnectionString --query [].[name] -o tsv
Wählen Sie den abzufragenden Datenträger aus, und speichern Sie seinen Namen in einer Variablen:
DiskName="diskname.vhd"
Fragen Sie die Verschlüsselungseinstellungen des Datenträgers ab:
az storage blob show -c ${ContainerName} --connection-string ${ConnectionString} -n ${DiskName} --query metadata.DiskEncryptionSettings
Betriebssystem
Überprüfen Sie, ob die Datenträgerpartitionen verschlüsselt sind (und der Betriebssystemdatenträger nicht).
Wenn eine Partition oder ein Datenträger verschlüsselt ist, wird als Typ crypt angezeigt. Wenn keine Verschlüsselung durchgeführt wurde, wird als Typ part/disk angezeigt.
sudo lsblk
Mit der folgenden Variante des Befehls lsblk können Sie weitere Details abrufen.
Daraufhin wird die Ebene des Typs crypt angezeigt, die von der Erweiterung eingebunden wird. Im folgenden Beispiel werden logische Volumes und reguläre Datenträger mit crypto_LUKS FSTYPE veranschaulicht.
sudo lsblk -o NAME,TYPE,FSTYPE,LABEL,SIZE,RO,MOUNTPOINT
Sie können in einem zusätzlichen Schritt überprüfen, ob der Datenträger über geladene Schlüssel verfügt:
sudo cryptsetup luksDump /dev/VGNAME/LVNAME
sudo cryptsetup luksDump /dev/sdd1
Darüber hinaus können Sie überprüfen, welche dm-Geräte als crypt aufgeführt sind:
sudo dmsetup ls --target crypt