クイックスタート: Azure PowerShell を使用して Azure で Linux VM を作成、暗号化する

  • [アーティクル]

適用対象: ✔️ Linux VM ✔️ フレキシブルなスケール セット

Azure PowerShell モジュールは、PowerShell コマンド ラインやスクリプトで Azure リソースを作成および管理するために使用します。 このクイックスタートでは、Azure PowerShell モジュールを使用して Linux 仮想マシン (VM) を作成し、暗号化キーを格納するためのキー コンテナーを作成し、VM を暗号化する方法を説明します。 このクイックスタートでは、Canonical の Ubuntu 16.04 LTS マーケットプレース イメージと VM Standard_D2S_V3 サイズを使用します。 ただし、ADE でサポートされている Linux イメージ バージョンは、Ubuntu VM の代わりに使用できます。

Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。

リソース グループを作成する

New-AzResourceGroup を使用して Azure リソース グループを作成します。 リソース グループとは、Azure リソースの展開と管理に使用する論理コンテナーです。

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

仮想マシンの作成

New-AzVM を使用して Azure 仮想マシンを作成し、それに前の手順で作成した VM 構成オブジェクトを渡します。

$cred = Get-Credential

New-AzVM -Name MyVm -Credential $cred -ResourceGroupName MyResourceGroup -Image Canonical:UbuntuServer:18.04-LTS:latest -Size Standard_D2S_V3

VM がデプロイされるまでに数分かかります。

暗号化キー用に構成されたキー コンテナーの作成

Azure Disk Encryption では、その暗号化キーは Azure キー コンテナーに格納されます。 New-AzKeyvault を使用して、キー コンテナーを作成します。 キー コンテナーで暗号化キーを格納できるようにするには、-EnabledForDiskEncryption パラメーターを使用します。

重要

すべてのキー コンテナーに、Azure 全体で一意の名前を付ける必要があります。 次の例の <your-unique-keyvault-name> は、任意の名前に置き換えてください。

New-AzKeyvault -name "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup" -Location EastUS -EnabledForDiskEncryption

仮想マシンを暗号化する

Set-AzVmDiskEncryptionExtension を使用して、VM を暗号化します。

Set-AzVmDiskEncryptionExtension では、Key Vault オブジェクトのいくつかの値が必要です。 これらの値を取得するには、Get-AzKeyvault にキー コンテナーの一意の名前を渡します。

$KeyVault = Get-AzKeyVault -VaultName "<your-unique-keyvault-name>" -ResourceGroupName "MyResourceGroup"

Set-AzVMDiskEncryptionExtension -ResourceGroupName MyResourceGroup -VMName "MyVM" -DiskEncryptionKeyVaultUrl $KeyVault.VaultUri -DiskEncryptionKeyVaultId $KeyVault.ResourceId -SkipVmBackup -VolumeType All

数分後に、プロセスから次の内容が返されます。

RequestId IsSuccessStatusCode StatusCode ReasonPhrase
--------- ------------------- ---------- ------------
                         True         OK OK

暗号化プロセスを検証するには、Get-AzVmDiskEncryptionStatus を実行します。

Get-AzVmDiskEncryptionStatus -VMName MyVM -ResourceGroupName MyResourceGroup

暗号化が有効な場合、返された出力には以下が表示されます。

OsVolumeEncrypted          : EncryptionInProgress
DataVolumesEncrypted       : NotMounted
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage            : OS disk encryption started

リソースをクリーンアップする

必要がなくなったら、Remove-AzResourceGroup コマンドレットを使用して、リソース グループ、VM、およびすべての関連リソースを削除できます。

Remove-AzResourceGroup -Name "myResourceGroup"

次のステップ

このクイックスタートでは、仮想マシンを作成し、暗号化キー用に有効にされたキー コンテナーを作成し、VM を暗号化しました。 次の記事に進み、Linux VM に対する Azure Disk Encryption について詳しく学習してください。

Azure Disk Encryption の概要