Scenari di Crittografia dischi di Azure nelle macchine virtuali Linux

Si applica a: ✔️ Set di scalabilità flessibili di macchine virtuali ✔️ Linux

Crittografia dischi di Azure per macchine virtuali Linux usa la funzionalità DM-Crypt di Linux per offrire la crittografia completa del disco del sistema operativo e dei dischi dati. Offre inoltre la crittografia del disco temporaneo quando si usa la funzionalità EncryptFormatAll.

Crittografia dischi di Azure è integrato con Azure Key Vault per consentire il controllo e la gestione dei segreti e delle chiavi di crittografia dei dischi. Per una panoramica del servizio, vedere Crittografia dischi di Azure per macchine virtuali Linux.

Prerequisiti

È possibile applicare la crittografia del disco solo alle macchine virtuali con dimensioni e sistemi operativi supportati. È anche necessario soddisfare i prerequisiti seguenti:

• Requisiti aggiuntivi per le macchine virtuali
• Requisiti di rete
• Requisiti di archiviazione delle chiavi di crittografia

In tutti i casi, è consigliabile creare uno snapshot e/o un backup prima che i dischi vengano crittografati. I backup garantiscono la disponibilità di un'opzione di ripristino nel caso si verifichi un errore imprevisto durante la crittografia. Le macchine virtuali con dischi gestiti richiedono il backup prima della crittografia. Dopo aver eseguito un backup, è possibile usare il cmdlet Set-AzVMDiskEncryptionExtension per crittografare i dischi gestiti specificando il parametro -skipVmBackup. Per altre informazioni su come eseguire il backup e il ripristino di macchine virtuali crittografate, vedere l'articolo Backup di Azure.

Limitazioni

Se in precedenza è stato usato Crittografia dischi di Azure con Microsoft Entra ID per crittografare una macchina virtuale, è necessario continuare a usare questa opzione per crittografare la macchina virtuale. Per informazioni dettagliate, vedere Crittografia dischi di Azure con Microsoft Entra ID (versione precedente).

Durante la crittografia dei volumi del sistema operativo Linux, la macchina virtuale deve essere considerata non disponibile. È consigliabile evitare accessi SSH mentre è in corso la crittografia per evitare che eventuali file aperti a cui è necessario accedere durante il processo di crittografia risultino bloccati. Per controllare lo stato di avanzamento, usare il cmdlet Get-AzVMDiskEncryptionStatus di PowerShell o il comando vm encryption show cli. Questo processo può richiedere alcune ore per un volume di sistema operativo da 30 GB, più un tempo aggiuntivo per la crittografia dei volumi di dati. Il tempo per la crittografia del volume di dati è proporzionale alla dimensione e quantità dei volumi di dati a meno che non venga usata l'opzione "encrypt format all".

La disabilitazione della crittografia nelle macchine virtuali Linux è supportata solo per i volumi di dati. Non è supportata nei dati o nei volumi del sistema operativo, se il volume del sistema operativo è stato crittografato.

Crittografia dischi di Azure non funziona per gli scenari, le funzionalità e la tecnologia Linux seguenti:

• Crittografia di una macchina virtuale o di macchine virtuali di livello Basic create tramite il metodo di creazione classico.
• Disabilitazione della crittografia in un'unità del sistema operativo o un'unità dati di una macchina virtuale Linux quando l'unità del sistema operativo è crittografata.
• Crittografia dell'unità del sistema operativo per linux set di scalabilità di macchine virtuali.
• Crittografia di immagini personalizzate in macchine virtuali Linux.
• Integrazione con un sistema di gestione delle chiavi locale.
• File di Azure (file system condiviso).
• NFS (Network File System).
• Volumi dinamici.
• Dischi del sistema operativo temporanei.
• Crittografia di file system condivisi/distribuiti, ad esempio (ma non solo): DFS, GFS, DRDB e CephFS.
• Spostamento di una macchina virtuale crittografata in un'altra sottoscrizione o area.
• Creazione di un'immagine o di uno snapshot di una macchina virtuale crittografata e di usarla per distribuire macchine virtuali aggiuntive.
• Dump di arresto anomalo del kernel (kdump).
• Oracle ACFS (file system cluster ASM).
• Dischi NVMe, ad esempio quelli in macchine virtuali con prestazioni elevate o Archiviazione dimensioni ottimizzate delle macchine virtuali.
• Una macchina virtuale con "punti di montaggio nidificati", ovvero con più punti di montaggio in un singolo percorso, ad esempio "/1stmountpoint/data/2stmountpoint".
• Una macchina virtuale con un'unità dati montata sopra una cartella del sistema operativo.
• Macchina virtuale in cui è stato esteso un volume logico radice (disco del sistema operativo) usando un disco dati.
• Macchine virtuali serie M con dischi dell'acceleratore di scrittura.
• Applicazione di Active Directory a una macchina virtuale con dischi crittografati con crittografia in host o crittografia lato server con chiavi gestite dal cliente (S edizione Standard + CMK). L'applicazione di S edizione Standard + CMK a un disco dati o l'aggiunta di un disco dati con S edizione Standard + CMK configurato per una macchina virtuale crittografata con AdE è anche uno scenario non supportato.
• Migrazione di una macchina virtuale crittografata con ADE o mai crittografata con AdE, alla crittografia in host o crittografia lato server con chiavi gestite dal cliente.
• Crittografia delle macchine virtuali nei cluster di failover.
• Crittografia dei dischi Ultra di Azure.
• Crittografia dei dischi SSD Premium v2.
• La crittografia delle macchine virtuali nelle sottoscrizioni con segreti deve avere il criterio di validità massimo specificato abilitato con l'effetto DENY.

Installare gli strumenti e connettersi ad Azure

La funzionalità Crittografia dischi di Azure può essere abilitata e gestita tramite l'interfaccia della riga di comando di Azure e Azure PowerShell. A tale scopo, è necessario installare gli strumenti in locale e connettersi alla sottoscrizione di Azure.

Interfaccia della riga di comando di Azure

L'interfaccia della riga di comando di Azure 2.0 è uno strumento da riga di comando per la gestione delle risorse di Azure. L'interfaccia della riga di comando è progettata per eseguire query sui dati in modo flessibile, supportare operazioni a esecuzione prolungata come processi non bloccanti e semplificare la creazione di script. È possibile installarla in locale seguendo i passaggi descritti in Installare l'interfaccia della riga di comando di Azure..

Per accedere all'account di Azure con l'interfaccia della riga di comando di Azure, usare il comando az login.

az login

Per selezionare un tenant per l'accesso, usare:

az login --tenant <tenant>

In caso di più sottoscrizioni, per specificarne una in particolare è necessario ottenere l'elenco di sottoscrizioni tramite az account list (elenco account di accesso di AZ) e specificarla da az account set (imposta account di accesso di AZ).

az account list
az account set --subscription "<subscription name or ID>"

Per altre informazioni, vedere Azure Service Fabric e interfaccia della riga di comando di Azure 2.0.

Azure PowerShell

Il modulo az di Azure PowerShell offre un set di cmdlet che usano il modello Azure Resource Manager per la gestione delle risorse di Azure. È possibile usarlo nel browser con Azure Cloud Shell oppure installarlo nel computer locale seguendo le istruzioni disponibili in Installare il modulo Azure PowerShell.

Se è già installato in locale, assicurarsi di usare la versione più recente di Azure PowerShell SDK per configurare Crittografia dischi di Azure. Scaricare la versione più recente di Azure PowerShell.

Per accedere all'account di Azure con Azure PowerShell, usare il cmdlet Connect-AzAccount.

Connect-AzAccount

Se si hanno più sottoscrizioni e si vuole specificarne una, usare il cmdlet Get-AzSubscription per elencarle, seguito dal cmdlet Set-AzContext:

Set-AzContext -Subscription <SubscriptionId>

L'esecuzione del cmdlet Get-AzContext verifica la selezione della sottoscrizione corretta.

Per controllare che i cmdlet di Crittografia dischi di Azure siano installati, usare il cmdlet Get-command:

Get-command *diskencryption*

Per altre informazioni, vedere Introduzione ad Azure PowerShell.

Abilitare la crittografia in una macchina virtuale Linux esistente o in esecuzione

In questo scenario è possibile abilitare la crittografia usando il modello di Resource Manager, i cmdlet di PowerShell o i comandi dell'interfaccia della riga di comando. Per informazioni sullo schema dell'estensione della macchina virtuale, leggere l'articolo Crittografia dischi di Azure per Linux.

Importante

È obbligatorio catturare uno snapshot e/o eseguire il backup di un'istanza di macchina virtuale basata su un disco gestito all'esterno di Crittografia dischi di Azure e prima di abilitarla. È possibile creare uno snapshot del disco gestito dal portale o tramite Backup di Azure. I backup garantiscono la disponibilità di un'opzione di ripristino nel caso si verifichi un errore imprevisto durante la crittografia. Dopo aver creato un backup, è possibile usare il cmdlet Set-AzVMDiskEncryptionExtension per crittografare i dischi gestiti specificando il parametro -skipVmBackup. Il comando Set-AzVMDiskEncryptionExtension non riesce sulle macchine virtuali basate su disco gestito finché non viene creato un backup e non viene specificato questo parametro.

La crittografia o la disabilitazione della crittografia può causare il riavvio della macchina virtuale.

Per disabilitare la crittografia, vedere Disabilitare la crittografia e rimuovere l'estensione di crittografia.

Utilizzare l'interfaccia della riga di comando di Azure

È possibile abilitare la crittografia dischi nel disco rigido virtuale crittografato installando e usando lo strumento di interfaccia della riga di comando di Azure. È possibile usarlo nel browser con Azure Cloud Shell oppure installarlo nel computer locale e usarlo in una sessione di PowerShell. Per abilitare la crittografia in macchine virtuali Linux esistenti o in esecuzione in Azure, usare i comandi dell'interfaccia della riga di comando seguenti:

Usare il comando az vm encryption enable per abilitare la crittografia in una macchina virtuale in esecuzione in Azure.

• Crittografare una macchina virtuale in esecuzione:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type [All|OS|Data]
  

• Crittografare una macchina virtuale in esecuzione usando una chiave di crittografia della chiave:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type [All|OS|Data]
  

  Nota

  La sintassi per il valore del parametro disk-encryption-keyvault è la stringa di identificatore completa: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  La sintassi per il valore del parametro key-encryption-key è l'URI completo della chiave kek come in: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• Verificare che i dischi siano crittografati: per verificare lo stato di crittografia di una macchina virtuale, usare il comando az vm encryption show .

  az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"
  

Per disabilitare la crittografia, vedere Disabilitare la crittografia e rimuovere l'estensione di crittografia.

Con PowerShell

Usare il cmdlet Set-AzVMDiskEncryptionExtension per abilitare la crittografia in una macchina virtuale in esecuzione in Azure. Creare uno snapshot e/o un backup della macchina virtuale con Backup di Azure prima di crittografare i dischi. Il parametro -skipVmBackup è già specificato negli script di PowerShell per crittografare una macchina virtuale Linux in esecuzione.

• Crittografare una macchina virtuale in esecuzione: lo script seguente inizializza le variabili ed esegue il cmdlet Set-AzVMDiskEncryptionExtension. Il gruppo di risorse, la macchina virtuale e l'insieme di credenziali delle chiavi sono stati creati come prerequisiti. Sostituire MyVirtualMachineResourceGroup, MySecureVM e MySecureVault con i propri valori. Modificare il parametro -VolumeType per specificare i dischi da crittografare.

   $KVRGname = 'MyKeyVaultResourceGroup';
   $VMRGName = 'MyVirtualMachineResourceGroup';
   $vmName = 'MySecureVM';
   $KeyVaultName = 'MySecureVault';
   $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
   $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
   $KeyVaultResourceId = $KeyVault.ResourceId;
   $sequenceVersion = [Guid]::NewGuid();
  
   Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType '[All|OS|Data]' -SequenceVersion $sequenceVersion -skipVmBackup;
  

• Crittografare una macchina virtuale in esecuzione usando una chiave di crittografia della chiave: se si esegue la crittografia dei dischi dati e non del disco del sistema operativo, può essere necessario aggiungere il parametro -VolumeType.

   $KVRGname = 'MyKeyVaultResourceGroup';
   $VMRGName = 'MyVirtualMachineResourceGroup';
   $vmName = 'MyExtraSecureVM';
   $KeyVaultName = 'MySecureVault';
   $keyEncryptionKeyName = 'MyKeyEncryptionKey';
   $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
   $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
   $KeyVaultResourceId = $KeyVault.ResourceId;
   $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
   $sequenceVersion = [Guid]::NewGuid();
  
   Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType '[All|OS|Data]' -SequenceVersion $sequenceVersion -skipVmBackup;
  

  Nota

  La sintassi per il valore del parametro disk-encryption-keyvault è la stringa di identificatore completa: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  La sintassi per il valore del parametro key-encryption-key è l'URI completo della chiave kek come in: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• Verificare che i dischi siano crittografati: per verificare lo stato di crittografia di una macchina virtuale, usare il cmdlet Get-AzVmDiskEncryptionStatus .

  Get-AzVmDiskEncryptionStatus -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
  

Per disabilitare la crittografia, vedere Disabilitare la crittografia e rimuovere l'estensione di crittografia.

Uso di un modello di Resource Manager

È possibile abilitare la crittografia dei dischi in una macchina virtuale Linux esistente o in esecuzione tramite il modello di Resource Manager.

1. Fare clic su Distribuisci in Azure nel modello di avvio rapido di Azure.

2. Selezionare la sottoscrizione, il gruppo di risorse, la posizione del gruppo di risorse, i parametri, i termini legali e il contratto. Fare clic su Crea per abilitare la crittografia nella macchina virtuale esistente o in esecuzione.

La tabella seguente elenca i parametri del modello di Resource Manager per macchine virtuali esistenti o in esecuzione:

Parametro	Descrizione
vmName	Nome della macchina virtuale per eseguire l'operazione di crittografia.
keyVaultName	Nome dell'insieme di credenziali delle chiavi in cui dovrà essere caricata la chiave di crittografia. È possibile ottenerlo usando il cmdlet (Get-AzKeyVault -ResourceGroupName <MyKeyVaultResourceGroupName>). Vaultname o il comando dell'interfaccia della riga di comando di Azure az keyvault list --resource-group "MyKeyVaultResourceGroupName".
keyVaultResourceGroup	Nome del gruppo di risorse contenente l'insieme di credenziali delle chiavi.
keyEncryptionKeyURL	URL della chiave di crittografia della chiave usata per crittografare la chiave di crittografia. Questo parametro è facoltativo se si seleziona nokek dall'elenco a discesa UseExistingKek. Se si seleziona kek dall'elenco a discesa UseExistingKek, è necessario immettere il valore keyEncryptionKeyURL.
volumeType	Tipo del volume in cui viene eseguita l'operazione di crittografia. I valori validi sono OS, Data e All.
forceUpdateTag	Ogni volta che è necessario forzare l'esecuzione dell'operazione, passare un valore univoco, ad esempio un GUID.
posizione	Località per tutte le risorse.

Per altre informazioni sulla configurazione del modello di crittografia del disco delle macchine virtuali Linux, vedere Crittografia dischi di Azure per Linux.

Per disabilitare la crittografia, vedere Disabilitare la crittografia e rimuovere l'estensione di crittografia.

Usare la funzionalità EncryptFormatAll per i dischi dati nelle macchine virtuali Linux

Il parametro EncryptFormatAll riduce la durata per la crittografia dei dischi dati Linux. Le partizioni che soddisfano determinati criteri verranno formattate, insieme ai relativi file system correnti, quindi rimontate nella posizione in cui si trovavano prima dell'esecuzione del comando. Se si desidera escludere un disco dati che soddisfa i criteri, è possibile smontarlo prima di eseguire il comando.

Dopo l'esecuzione di questo comando, le unità montate in precedenza verranno formattate e il livello di crittografia verrà avviato al di sopra dell'unità ora vuota. Quando questa opzione è selezionata, verrà crittografato anche il disco temporaneo collegato alla macchina virtuale. Se viene reimpostato, il disco temporaneo verrà riformattato e di nuovo crittografato per la macchina virtuale dalla soluzione Crittografia dischi di Azure alla successiva opportunità. Dopo che il disco risorse è stato crittografato, l'agente Linux di Microsoft Azure non è in grado di gestirlo e di abilitare il file di scambio che, tuttavia, può essere configurato manualmente.

Avviso

EncryptFormatAll non deve essere usato quando i volumi di dati di una macchina virtuale contengono dati necessari. Per escludere i dischi dalla crittografia, è possibile smontarli. È innanzitutto necessario provare EncryptFormatAll in una macchina virtuale di test, poi comprendere il parametro della funzione e la sua implicazione prima di provarlo nella macchina virtuale di produzione. L'opzione EncryptFormatAll formatta il disco dati e tutti i dati che contiene andranno persi. Prima di procedere, verificare che i dischi da escludere siano smontati correttamente.

Se si imposta questo parametro durante l'aggiornamento delle impostazioni di crittografia, potrebbe verificarsi un riavvio prima della crittografia effettiva. In questo caso, è anche consigliabile rimuovere il disco che non si vuole formattare dal file fstab. Analogamente, è necessario aggiungere al file fstab la partizione che si desidera formattare con crittografia e poi avviare l'operazione di crittografia.

Criteri EncryptFormatAll

Il parametro passa attraverso tutte le partizioni e le crittografa purché soddisfino tutti i criteri seguenti:

• Non è una partizione di avvio/del sistema operativo/radice
• Non è già stata crittografata
• Non è un volume BEK
• Non è un volume RAID
• Non è un volume LVM
• È montata

Crittografare i dischi che compongono il volume RAID o LVM anziché il volume stesso.

Usare il parametro EncryptFormatAll con l'interfaccia della riga di comando di Azure

Usare il comando az vm encryption enable per abilitare la crittografia in una macchina virtuale in esecuzione in Azure.

• Crittografare una macchina virtuale in esecuzione usando EncryptFormatAll:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type "data" --encrypt-format-all
  

Usare il parametro EncryptFormatAll con un cmdlet di PowerShell

Usare il cmdlet Set-AzVMDiskEncryptionExtension con il parametro EncryptFormatAll.

Crittografare una macchina virtuale in esecuzione usando EncryptFormatAll: ad esempio, lo script seguente inizializza le variabili ed esegue il cmdlet Set-AzVMDiskEncryptionExtension con il parametro EncryptFormatAll. Il gruppo di risorse, la macchina virtuale e l'insieme di credenziali delle chiavi sono stati creati come prerequisiti. Sostituire MyVirtualMachineResourceGroup, MySecureVM e MySecureVault con i propri valori.

$KVRGname = 'MyKeyVaultResourceGroup';
$VMRGName = 'MyVirtualMachineResourceGroup';
$vmName = 'MySecureVM';
$KeyVaultName = 'MySecureVault';
$KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
$diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
$KeyVaultResourceId = $KeyVault.ResourceId;

Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "data" -EncryptFormatAll

Usare il parametro EncryptFormatAll con Logical Volume Manager (LVM)

È consigliabile usare una configurazione LVM-on-crypt. Per istruzioni dettagliate sulla LVM nella configurazione della crittografia, vedere Configurare LVM e RAID nei dispositivi crittografati di Azure.

Nuove macchine virtuali create da chiavi di crittografia e dischi rigidi virtuali crittografati dal cliente

In questo scenario è possibile abilitare la crittografia usando i cmdlet di PowerShell o i comandi dell'interfaccia della riga di comando.

Usare le istruzioni disponibili negli stessi script di Crittografia dischi di Azure per la preparazione di immagini pre-crittografate da usare in Azure. Dopo aver creato l'immagine, è possibile usare i passaggi della sezione successiva per creare una VM di Azure crittografata.

• Preparare un disco rigido virtuale Linux pre-crittografato

Importante

È obbligatorio catturare uno snapshot e/o eseguire il backup di un'istanza di macchina virtuale basata su un disco gestito all'esterno di Crittografia dischi di Azure e prima di abilitarla. È possibile catturare uno snapshot del disco gestito dal portale o tramite Backup di Azure. I backup garantiscono la disponibilità di un'opzione di ripristino nel caso si verifichi un errore imprevisto durante la crittografia. Dopo aver creato un backup, è possibile usare il cmdlet Set-AzVMDiskEncryptionExtension per crittografare i dischi gestiti specificando il parametro -skipVmBackup. Il comando Set-AzVMDiskEncryptionExtension non riesce sulle macchine virtuali basate su disco gestito finché non viene creato un backup e non viene specificato questo parametro.

La crittografia o la disabilitazione della crittografia può causare il riavvio della macchina virtuale.

Usare Azure PowerShell per crittografare le macchine virtuali con dischi rigidi virtuali pre-crittografati

È possibile abilitare la crittografia del disco nel disco rigido virtuale crittografato usando il cmdlet Set-AzVMOSDisk di PowerShell. L'esempio seguente offre alcuni parametri comuni.

$VirtualMachine = New-AzVMConfig -VMName "MySecureVM" -VMSize "Standard_A1"
$VirtualMachine = Set-AzVMOSDisk -VM $VirtualMachine -Name "SecureOSDisk" -VhdUri "os.vhd" Caching ReadWrite -Linux -CreateOption "Attach" -DiskEncryptionKeyUrl "https://mytestvault.vault.azure.net/secrets/Test1/514ceb769c984379a7e0230bddaaaaaa" -DiskEncryptionKeyVaultId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myresourcegroup/providers/Microsoft.KeyVault/vaults/mytestvault"
New-AzVM -VM $VirtualMachine -ResourceGroupName "MyVirtualMachineResourceGroup"

Abilitare la crittografia in un disco dati appena aggiunto

È possibile aggiungere un nuovo disco dati usando az vm disk attach o tramite il portale di Azure. Prima che sia possibile eseguire la crittografia, è necessario montare il disco appena collegato. È necessario richiedere la crittografia del disco dati poiché l'unità non sarà utilizzabile mentre la crittografia è in corso.

Utilizzare l'interfaccia della riga di comando di Azure

Se la macchina virtuale è stata precedentemente crittografata con "All", il parametro --volume-type deve rimanere "All". Tale parametro include il disco del sistema operativo e il disco dati. Se la macchina virtuale è stata precedentemente crittografata con il tipo di volume "OS", impostare il parametro --volume-type su "All", in modo da includere il disco del sistema operativo e il nuovo disco dati. Se la macchina virtuale è stata crittografata solo con il tipo di volume "Data", è possibile lasciare invariato il parametro "Data", come illustrato di seguito. L'aggiunta e il collegamento di un nuovo disco dati a una macchina virtuale non sono condizioni sufficienti alla preparazione per la crittografia. Il disco appena collegato deve anche essere formattato e montato in modo corretto nella macchina virtuale prima dell'abilitazione della crittografia. In Linux il disco deve essere montato in /etc/fstab con un nome del dispositivo a blocchi permanente.

A differenza della sintassi di PowerShell, l'interfaccia della riga di comando non richiede all'utente di specificare una versione di sequenza univoca quando si abilita la crittografia. L'interfaccia della riga di comando genera e usa automaticamente uno specifico valore di versione di sequenza univoco.

• Crittografare i volumi di dati di una macchina virtuale in esecuzione:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type "Data"
  

• Crittografare i volumi di dati di una macchina virtuale in esecuzione tramite una chiave di crittografia della chiave:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type "Data"
  

Uso di Azure PowerShell

Quando si usa PowerShell per crittografare un nuovo disco per Linux, è necessario specificare una nuova versione della sequenza. La versione della sequenza deve essere univoca. Lo script seguente genera un GUID per la versione della sequenza. Creare uno snapshot e/o un backup della macchina virtuale con Backup di Azure prima di crittografare i dischi. Il parametro -skipVmBackup è già specificato negli script di PowerShell per crittografare un disco dati appena aggiunto.

• Crittografare i volumi di dati di una macchina virtuale in esecuzione: lo script seguente inizializza le variabili ed esegue il cmdlet Set-AzVMDiskEncryptionExtension. Il gruppo di risorse, la macchina virtuale e l'insieme di credenziali delle chiavi dovrebbero essere già stati creati come prerequisiti. Sostituire MyVirtualMachineResourceGroup, MySecureVM e MySecureVault con i propri valori. I valori accettabili per il parametro -VolumeType sono All, OS e Data. Se la macchina virtuale è stata precedentemente crittografata con il tipo di volume "OS" o "All", il parametro -VolumeType deve essere impostato su "All", in modo da includere il disco del sistema operativo e il nuovo disco dati.

  $KVRGname = 'MyKeyVaultResourceGroup';
  $VMRGName = 'MyVirtualMachineResourceGroup';
  $vmName = 'MySecureVM';
  $KeyVaultName = 'MySecureVault';
  $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
  $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
  $KeyVaultResourceId = $KeyVault.ResourceId;
  $sequenceVersion = [Guid]::NewGuid();
  
  Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType 'data' –SequenceVersion $sequenceVersion -skipVmBackup;
  

• Crittografare i volumi di dati di una macchina virtuale in esecuzione tramite una chiave di crittografia della chiave: i valori accettabili per il parametro -VolumeType sono All, OS e Data. Se la macchina virtuale è stata precedentemente crittografata con un tipo di volume "OS" o "All", il parametro -VolumeType deve essere modificato in All, in modo che vengano inclusi sia il disco del sistema operativo sia il nuovo disco dati.

   $KVRGname = 'MyKeyVaultResourceGroup';
   $VMRGName = 'MyVirtualMachineResourceGroup';
   $vmName = 'MyExtraSecureVM';
   $KeyVaultName = 'MySecureVault';
   $keyEncryptionKeyName = 'MyKeyEncryptionKey';
   $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
   $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
   $KeyVaultResourceId = $KeyVault.ResourceId;
   $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
   $sequenceVersion = [Guid]::NewGuid();
  
   Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGName -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType 'data' –SequenceVersion $sequenceVersion -skipVmBackup;
  

  Nota

  La sintassi per il valore del parametro disk-encryption-keyvault è la stringa dell'identificatore completo: /subscriptions/[subscription-id-guid]/resourceGroups/[KVresource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  La sintassi per il valore del parametro key-encryption-key è l'URI completo della chiave kek come in: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

Disabilitare la crittografia e rimuovere l'estensione di crittografia

È possibile disabilitare l'estensione crittografia dischi di Azure ed è possibile rimuovere l'estensione di crittografia dischi di Azure. Si tratta di due operazioni distinte.

Per rimuovere Ade, è consigliabile disabilitare prima la crittografia e quindi rimuovere l'estensione. Se si rimuove l'estensione di crittografia senza disabilitarla, i dischi verranno comunque crittografati. Se si disabilita la crittografia dopo la rimozione dell'estensione, l'estensione verrà reinstallata (per eseguire l'operazione di decrittografia) e dovrà essere rimossa una seconda volta.

Avviso

Non è possibile disabilitare la crittografia se il disco del sistema operativo è crittografato. I dischi del sistema operativo vengono crittografati quando l'operazione di crittografia originale specifica volumeType=ALL o volumeType=OS.

La disabilitazione della crittografia funziona solo quando i dischi dati sono crittografati, ma il disco del sistema operativo non è.

Disabilitare la crittografia

È possibile disabilitare la crittografia usando Azure PowerShell, l'interfaccia della riga di comando di Azure oppure un modello di Resource Manager. La disabilitazione della crittografia non rimuove l'estensione (vedere Rimuovere l'estensione di crittografia).

• Disabilitare la crittografia del disco con Azure PowerShell: per disabilitare la crittografia, usare il cmdlet Disable-AzVMDiskEncryption .

  Disable-AzVMDiskEncryption -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM" -VolumeType "data"
  

• Disabilitare la crittografia con l'interfaccia della riga di comando di Azure: per disabilitare la crittografia, usare il comando az vm encryption disable.

  az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type "data"
  

• Disabilitare la crittografia con un modello di Resource Manager:

  1. Fare clic su Deploy to Azure (Distribuisci in Azure ) dal modello Disable disk encryption on running Linux VM (Disabilitare la crittografia del disco nell'esecuzione di una macchina virtuale Linux).
  2. Selezionare la sottoscrizione, il gruppo di risorse, la posizione, la macchina virtuale, il tipo di volume, i termini legali e il contratto.
  3. Fare clic su Acquista per disabilitare la crittografia del disco in una macchina virtuale Linux in esecuzione.

Rimuovere l'estensione di crittografia

Per decrittografare i dischi e rimuovere l'estensione di crittografia, è necessario disabilitare la crittografia prima di rimuovere l'estensione. Vedere Disabilitare la crittografia.

È possibile rimuovere l'estensione di crittografia usando Azure PowerShell o l'interfaccia della riga di comando di Azure.

• Disabilitare la crittografia del disco con Azure PowerShell: per rimuovere la crittografia, usare il cmdlet Remove-AzVMDiskEncryptionExtension .

  Remove-AzVMDiskEncryptionExtension -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM"
  

• Disabilitare la crittografia con l'interfaccia della riga di comando di Azure: per rimuovere la crittografia, usare il comando az vm extension delete .

  az vm extension delete -g "MyVirtualMachineResourceGroup" --vm-name "MySecureVM" -n "AzureDiskEncryptionForLinux"
  

Passaggi successivi

• Informazioni su Crittografia dischi di Azure
• Script di esempio per la crittografia dischi di Azure
• Guida alla risoluzione dei problemi di crittografia dischi di Azure