Azure 機密 VM のカスタムイメージを作成する方法

適用対象: ✔️ Linux VM

この "方法" では、Azure Command-Line インターフェイス (Azure CLI) を使用して、Azure で機密仮想マシン (機密 VM) 用のカスタムイメージを作成する方法を示します。 Azure CLI は、コマンドラインまたはスクリプトで Azure リソースを作成および管理するために使用します。

カスタムイメージを作成すると、要件を満たす特定のソフトウェア、設定、セキュリティ対策を使用して機密 VM を事前構成できます。機密 VM と互換性のない Ubuntu イメージを持ち込む場合は、次の手順に従って、イメージの最小要件を確認できます。

前提条件

Azure サブスクリプションをお持ちでない場合は、開始する前に無料の Azure アカウントを作成してください。

Azure Cloud Shell を起動する

Azure Cloud Shell は無料のインタラクティブシェルです。この記事の手順は、Azure Cloud Shell を使って実行することができます。一般的な Azure ツールが事前にインストールされており、アカウントで使用できるように構成されています。

Cloud Shell を開くには、コードブロックの右上隅にある [使ってみる] を選択します。 https://shell.azure.com/bashに移動して、別のブラウザータブで Cloud Shell を開くこともできます。 [コピー] を選択してコードのブロックをコピーし、Cloud Shell に貼り付けてから、 [入力] を選択して実行します。

CLI をローカルにインストールして使用する場合、このクイックスタートでは、Azure CLI バージョン 2.0.30 以降が必要です。バージョンを確認するには、az --version を実行します。インストールまたはアップグレードする必要がある場合は、Azure CLI のインストールに関するページを参照してください。

リソースグループを作成する

az group create コマンドを使用して、リソースグループを作成します。 Azure リソースグループとは、Azure リソースのデプロイと管理に使用する論理コンテナーです。

注

機密 VM は、すべての場所で使用できるわけではありません。現在サポートされている場所については、Azure リージョンで利用できる VM 製品を参照してください。

az group create --name $resourceGroupName --location eastus

Azure 機密 VM のカスタムイメージを作成する

Azure でサポートされているイメージの一覧から、選択した Ubuntu イメージを使用して仮想マシンを作成します。
カーネルのバージョンが 5.15.0-1037-azure 以上であることを確認します。 VM に接続した後、"uname -r" を使用してカーネルのバージョンを確認できます。ここでは、必要に応じてイメージに変更を追加できます。

仮想マシンの割り当てを解除します。

az vm deallocate --name $vmname --resource-group $resourceGroupName

OS ディスクの共有アクセストークン (SAS トークン) を作成し、変数に格納します。この OS ディスクは、機密 VM と同じリソースグループ内にある必要はありません。

disk_name=$(az vm show --name $vmname --resource-group $resourceGroupName | jq -r .storageProfile.osDisk.name)
disk_url=$(az disk grant-access --duration-in-seconds 3600 --name $disk_name --resource-group $resourceGroupName | jq -r .accessSas)

エクスポートされたディスクを格納するストレージアカウントを作成する

ストレージアカウントを作成します。

az storage account create --resource-group ${resourceGroupName} --name ${storageAccountName} --location $region --sku "Standard_LRS"

ストレージアカウント内にコンテナーを作成します。

az storage container create --name $storageContainerName --account-name $storageAccountName --resource-group $resourceGroupName

ストレージコンテナーへの読み取り共有アクセストークン (SAS トークン) を生成し、変数に保存します。

container_sas=$(az storage container generate-sas --name $storageContainerName --account-name $storageAccountName --auth-mode key --expiry 2024-01-01 --https-only --permissions dlrw -o tsv)

azcopy を使用して、OS ディスクをストレージコンテナーにコピーします。

 blob_url="https://${storageAccountName}.blob.core.windows.net/$storageContainerName/$referenceVHD"
 azcopy copy "$disk_url" "${blob_url}?${container_sas}"

サポートされている機密イメージを作成する

共有イメージギャラリーを作成します。

az sig create --resource-group $resourceGroupName --gallery-name $galleryName

サポートされている共有イメージギャラリー (SIG) 定義の機密 VM を作成します。ギャラリーイメージ定義、SIG パブリッシャー、SKU の新しい名前を設定します。

az sig image-definition create --resource-group  $resourceGroupName --location $region --gallery-name $galleryName --gallery-image-definition $imageDefinitionName --publisher $sigPublisherName --offer ubuntu --sku $sigSkuName --os-type Linux --os-state specialized --hyper-v-generation V2  --features SecurityType=ConfidentialVMSupported

ストレージアカウント ID を取得します。

storageAccountId=$(az storage account show --name $storageAccountName --resource-group $resourceGroupName | jq -r .id)

SIG イメージバージョンを作成します。

az sig image-version create --resource-group $resourceGroupName --gallery-name $galleryName --gallery-image-definition $imageDefinitionName --gallery-image-version $galleryImageVersion --os-vhd-storage-account $storageAccountId --os-vhd-uri $blob_url

前の手順で作成した SIG イメージバージョンの ID を格納します。

galleryImageId=$(az sig image-version show --gallery-image-definition $imageDefinitionName --gallery-image-version $galleryImageVersion --gallery-name $galleryName --resource-group $resourceGroupName | jq -r .id)

機密 VM を作成する

az vm create コマンドで VM を作成します。詳細については、セキュアブートと vTPM に関するページを参照してください。ディスク暗号化の詳細については、機密 OS ディスクの暗号化に関するページを参照してください。現在、機密 VM は DC シリーズと EC シリーズの VM サイズをサポートしています。
```
az vm create \
--resource-group $resourceGroupName \
--name $cvmname \
--size Standard_DC4as_v5 \
--enable-vtpm true \
--enable-secure-boot true \
--image $galleryImageId \
--public-ip-sku Standard \
--security-type ConfidentialVM \
--os-disk-security-encryption-type VMGuestStateOnly \
--specialized
```

次のステップ

Microsoft Azure 構成証明サンプルアプリを使用して CVM に接続して構成証明する

フィードバック

このページはお役に立ちましたか?

Last updated on 2025-04-09