クイックスタート: Azure portal を使用して Azure Compute Gallery イメージから機密 VM をデプロイする

Azure 機密仮想マシンは、Azure Compute Gallery を使用したカスタム イメージの作成と共有をサポートしています。 イメージのセキュリティの種類に基づいて、2 種類のイメージを作成できます。

• 機密 VM (ConfidentialVM) イメージは、ソースに VM ゲスト状態情報が既にあるイメージです。 このイメージの種類では、機密ディスク暗号化が有効になっている場合もあります。
• 機密 VM でサポートされる (ConfidentialVMSupported) イメージは、ソースに VM ゲスト状態情報がなく、機密ディスク暗号化が有効になっていないイメージです。

機密 VM イメージ

次のイメージ ソースの場合、イメージ ソースに既に VM ゲスト状態情報があり、機密ディスク暗号化が有効になっている可能性もあるため、イメージの定義でセキュリティの種類が ConfidentialVM に設定されているはずです。

• 機密 VM キャプチャ
• マネージド OS ディスク
• マネージド OS ディスク スナップショット

結果のイメージ バージョンは、機密 VM の作成にのみ使用できます。

このイメージ バージョンはソース リージョン内ではレプリケートできますが、異なるリージョンへはレプリケートできず、現時点ではサブスクリプション間でもレプリケートできません。

Note

プラットフォーム マネージド キーまたはカスタマー マネージド キーを使って機密コンピューティング ディスク暗号化が有効になっている Windows 機密 VM からイメージを作成する場合は、特殊化されたイメージのみを作成できます。 この制限は、一般化ツール (sysprep) が暗号化されたイメージ ソースを一般化できない可能性があるために存在します。 この制限は、Windows 機密 VM と共に暗黙的に作成される OS ディスクと、この OS ディスクから作成されたスナップショットに適用されます。

機密 VM キャプチャを使用して機密 VM の種類のイメージを作成する

1. Azure portal にサインインします。
2. [仮想マシン] サービスに移動します。
3. イメージ ソースとして使用する機密 VM を開きます。
4. 一般化されたイメージを作成する場合は、イメージを作成する前にマシン固有の情報を削除します。
5. [キャプチャ] を選択します。
6. [イメージの作成] ページが開いたら、イメージの定義とバージョンを作成します。
   1. イメージが VM イメージ バージョンとして Azure Compute Gallery に共有されるのを許可します。 マネージド イメージは、機密 VM ではサポートされていません。
   2. 新しいギャラリーを作成するか、既存のギャラリーを選びます。
   3. [オペレーティング システムの状態] では、ユース ケースに応じて [一般化] または [特殊化] を選びます。
   4. 名前、発行元、オファー、SKU の詳細を指定して、イメージ定義を作成します。 セキュリティの種類が [社外秘] に設定されていることを確認します。
   5. イメージのバージョン番号を指定します。
   6. [レプリケーション] の場合は、必要に応じてレプリカの数を変更します。
   7. [確認および作成] を選択します。
   8. イメージの検証が成功したら、[作成] を選んでイメージの作成を完了します。
7. イメージ バージョンを選んで、リソースに直接移動します。 または、イメージ定義からイメージ バージョンに移動することもできます。 イメージ定義には暗号化の種類も表示されるため、イメージとソース VM が一致することを確認できます。
8. イメージ バージョンのページで、[VM の作成] を選びます。

これで、カスタム イメージから機密 VM を作成することができます。

マネージド ディスクまたはスナップショットから機密 VM の種類のイメージを作成する

1. Azure portal にサインインします。
2. 一般化されたイメージを作成する場合は、イメージを作成する前に、ディスクまたはスナップショットに対するマシン固有の情報を削除します。
3. 検索バーで "VM イメージ バージョン" を検索して選びます。
4. [作成]
5. [VM イメージ バージョンの作成] ページの [基本] タブで、次の操作を行います。
   1. Azure サブスクリプションを選択します。
   2. 既存のリソース グループを選ぶか、新しいリソース グループを作成します。
   3. Azure リージョンを選択します。
   4. イメージのバージョン番号を入力します。
   5. [ソース] で、[ディスクやスナップショット] を選びます。
   6. [OS ディスク] で、マネージド ディスクまたはマネージド ディスク スナップショットを選びます。
   7. [ターゲット Azure コンピュート ギャラリー] で、イメージを共有するギャラリーを選ぶか作成します。
   8. [オペレーティング システムの状態] では、ユース ケースに応じて [一般化] または [特殊化] を選びます。
   9. [ターゲット VM イメージ定義] で、[新規作成] を選びます。
   10. [VM イメージ定義の作成] ペインで、定義の名前を入力します。 [セキュリティの種類] が [社外秘] であることを確認します。 発行元、オファー、SKU の情報を入力します。 次に、[OK] を選びます。
6. [暗号化] タブで、[機密コンピューティングの暗号化の種類] がソース ディスクまたはスナップショットの種類と一致することを確認します。
7. [確認と作成] を選んで、設定を確認します。
8. 設定を確認したら、[作成] を選んでイメージ バージョンの作成を完了します。
9. イメージ バージョンが正常に作成されたら、[VM の作成] を選びます。

これで、カスタム イメージから機密 VM を作成することができます。

機密 VM でサポートされるイメージ

次のイメージ ソースの場合、イメージ ソースにVM ゲスト状態情報も機密ディスク暗号化もないため、イメージの定義でセキュリティの種類が ConfidentialVMSupported に設定されているはずです。

• OS ディスク VHD
• Gen2 マネージド イメージ

結果のイメージ バージョンを使って、Azure Gen2 VM または機密 VM を作成できます。

このイメージは、ソース リージョン内および異なるターゲット リージョンにレプリケートできます。

Note

OS ディスク VHD またはマネージド イメージは、機密 VM と互換性のあるイメージから作成する必要があります。 VHD またはマネージド イメージのサイズは、32 GB 未満である必要があります

機密 VM でサポートされる種類のイメージを作成する

1. Azure portal にサインインします。
2. 検索バーで "VM イメージ バージョン" を検索して選びます
3. [VM イメージ バージョン] ページで、[作成] を選びます。
4. [VM イメージ バージョンの作成] ページの [基本] タブで、次のようにします。
   1. Azure サブスクリプションを選択します。
   2. 既存のリソース グループを選択するか、新しいリソース グループを作成します。
   3. Azure リージョンを選択します。
   4. イメージのバージョン番号を入力します。
   5. [ソース] で、[Storage Blobs (VHD)] (ストレージ BLOB (VHD)) または [マネージド イメージ] を選びます。
   6. [Storage Blobs (VHD)] (ストレージ BLOB (VHD)) を選んだ場合は、OS ディスク VHD (VM ゲスト状態なし) を入力します。 Gen 2 VHD を使っていることを確認します。
   7. [マネージド イメージ] を選んだ場合は、Gen 2 VM の既存のマネージド イメージを選びます。
   8. [ターゲット Azure コンピュート ギャラリー] で、イメージを共有するギャラリーを選ぶか作成します。
   9. [オペレーティング システムの状態] では、ユース ケースに応じて [一般化] または [特殊化] を選びます。 ソースとしてマネージド イメージを使っている場合は、常に [一般化] を選びます。 ストレージ BLOB (VHD) を使っていて、[一般化] を選びたい場合は、続ける前に、手順に従って Linux VHD を一般化するか、、Windows VHD を一般化します。
   10. [ターゲット VM イメージ定義] で、[新規作成] を選びます。
   11. [VM イメージ定義の作成] ペインで、定義の名前を入力します。 セキュリティの種類が [機密がサポートされています] に設定されていることを確認します。 発行元、オファー、SKU の情報を入力します。 次に、[OK] を選びます。
5. 必要に応じて、[レプリケーション] タブで、イメージ レプリケーションのレプリカ数とターゲット リージョンを入力します。
6. [暗号化] タブで、必要に応じて SSE 暗号化関連の情報を入力します。
7. [確認および作成] を選択します。
8. 構成を確認して問題がなければ、[作成] を選んでイメージの作成を完了します。
9. イメージ バージョンが作成されたら、[VM の作成] を選びます。

ギャラリー イメージから機密 VM を作成する

イメージが正常に作成されたので、そのイメージを使って機密 VM を作成できます。

1. [仮想マシンの作成] ページで、[基本] タブを構成します。
   1. [プロジェクトの詳細] の [リソース グループ] で、新しいリソース グループを作るか、既存のリソース グループを選びます。
   2. [インスタンスの詳細] で、VM の名前を入力し、機密 VM をサポートしているリージョンを選びます。 詳しくは、リージョン別の利用可能な VM 製品に関するページの表で、機密 VM シリーズを探してください。
   3. "機密" イメージを使っている場合、セキュリティの種類は [機密の仮想マシン] に設定されていて、変更することはできません。 "機密がサポートされてる" イメージを使っている場合は、セキュリティの種類を [Standard] から [機密の仮想マシン] として選ぶ必要があります。
   4. vTPM は既定で有効になっており、変更することはできません。
   5. セキュア ブートは既定で有効になっています。 設定を変更するには、"セキュリティの構成機能" を使います。 機密コンピューティング暗号化を使うには、セキュア ブートが必要です。
2. [ディスク] タブで、必要に応じて暗号化の設定を構成します。
   1. "機密" イメージを使っている場合、機密コンピューティング暗号化と機密ディスク暗号化セット (カスタマー マネージド キーを使っている場合) は、選んだイメージ バージョンに基づいて設定され、変更することはできません。
   2. "機密がサポートされてる" イメージを使っている場合は、必要に応じて機密コンピューティング暗号化を選択できます。 次に、カスタマー マネージド キーを使う場合は、機密ディスク暗号化セットを指定します。
3. 管理者アカウント情報を入力します。
4. インバウンド ポート規則を構成します。
5. [確認および作成] を選択します。
6. 検証ページで、VM の詳細を確認します。
7. 検証で問題がなければ、[作成] を選んで VM の作成を完了します。

次の手順

コンフィデンシャル コンピューティングについて詳しくは、コンフィデンシャル コンピューティングの概要に関するページをご覧ください。