クイックスタート: Azure portal で機密 VM を作成する

  • [アーティクル]

Azure portal を利用し、Azure Marketplace イメージをベースに機密 VM をすばやく作成できます。 AMD SEV-SNP および Intel TDX テクノロジによる機密 VM オプションが AMD と Intel には複数あります。

前提条件

  • Azure サブスクリプション。 無料試用版アカウントでは、このチュートリアルで使用されている VM にアクセスできません。 1 つの選択肢として、従量課金制サブスクリプションを使用する方法があります。

  • Linux ベースの機密 VM を使用している場合は、SSH に BASH シェルを使用するか、PuTTY などの SSH クライアントをインストールします。

  • カスタマー マネージド キーを使用した機密ディスク暗号化が必要な場合は、次のコマンドを実行して、テナントにサービス プリンシパル Confidential VM Orchestrator をオプトインしてください。 Microsoft Graph SDK をインストールし、次のコマンドを実行します。

    Connect-Graph -Tenant "your tenant ID" Application.ReadWrite.All
New-MgServicePrincipal -AppId bf7b6499-ff71-4aa2-97a4-f372087be7f0 -DisplayName "Confidential VM Orchestrator"

機密 VM を作成する

Azure Marketplace イメージを使用して Azure portal に機密 VM を作成するには、次のようにします。

  1. Azure portal にサインインします。

  2. [仮想マシン] を選択または検索します。

  3. [仮想マシン] ページで、[作成]>[仮想マシン] を選択します。

  4. [基本] タブで次の設定を構成します。

    a. [プロジェクトの詳細][サブスクリプション] で、前提条件を満たしている Azure サブスクリプションを選択します。

    b. [リソース グループ] で、[新規作成] を選択して新しい リソース グループを作成します。 名前を入力し、[OK] を選択します。

    c. [インスタンスの詳細][仮想マシン名] に、新しい VM の名前を入力します。

    d. [リージョン] で、VM をデプロイする Azure リージョンを選択します。

    Note

    機密 VM は、すべての場所で使用できるわけではありません。 現在サポートされている場所については、Azure リージョンで利用できる VM 製品を参照してください。

    e. 可用性オプションについては、単数の VM の場合は [インフラストラクチャ冗長は必要ありません] を、複数の VM の場合は [仮想マシン スケール セット] を選択します。

    f. [セキュリティの種類][機密仮想マシン] を選択します。

    g. [イメージ] で、VM に使用する OS イメージを選択します。 [すべてのイメージを表示] を選んで Azure Marketplace を開きます。 [セキュリティの種類]>[機密] のフィルターを選択して、使用可能なすべての機密 VM イメージを表示します。

    h. 第 2 世代イメージを切り替えます。 機密 VM は第 2 世代のイメージでのみ実行されます。 確認するには、[イメージ][VM の世代の構成] を選択します。 [VM の世代の構成] ウィンドウで、[VM の生成][第 2 世代] を選択します。 次に、[適用] を選択します。

    i. [サイズ] で、VM サイズを選択します。 詳細については、サポートされている機密 VM ファミリに関する記事を参照してください。

    j. Linux VM を作成する場合、認証の種類には [SSH 公開キー] を選択します。 まだ SSH キーを持っていない場合は、Linux VM 用の SSH キーを作成します

    k. [管理者アカウント][ユーザー名] に、VM の管理者名を入力します。

    l. 該当する場合は、[SSH 公開キー] に RSA 公開キーを入力します。

    m. [パスワード][パスワードの確認] (該当する場合) に管理者パスワードを入力します。

    n. [受信ポートの規則][パブリック受信ポート] で、 [選択したポートを許可する] を選択します。

    o. [受信ポートを選択] で、ドロップダウン メニューから受信ポートを選択します。 Windows VM の場合は、[HTTP (80)][RDP (3389)] を選択します。 Linux VM の場合は、[SSH (22)][HTTP (80)] を選択します。

    Note

    運用環境のデプロイでは、RDP または SSH ポートを許可しないことをお勧めします。

  5. [ディスク] タブで、次の設定を構成します。

    1. 作成時に VM の OS ディスクを暗号化する場合は、[ディスクのオプション] で、[機密 OS ディスクの暗号化] を有効にします。

    2. [キー管理] には、使用するキーの種類を選択します。

    3. [カスタマー マネージド キーを使用した機密ディスク暗号化] が選択されている場合は、機密 VM を作成する前に機密ディスク暗号化セットを作成します。

    4. VM の一時ディスクを暗号化する場合は、以下のドキュメントを参照してください。

  6. (省略可能) 必要に応じて、次のように機密ディスク暗号化セットを作成します。

    1. HSM によりサポートされるキーを含む Premium 価格レベルを選択して Azure Key Vault を作成し、消去保護を有効にします。 また、Azure Key Vault のマネージド ハードウェア セキュリティ モジュール (HSM) を作成することもできます。

    2. Azure portal 上で、[ディスク暗号化セット] を検索して選択します。

    3. [作成] を選択します

    4. [サブスクリプション] で、使用する Azure サブスクリプションを選択します。

    5. [リソース グループ] で、使用する新しいリソース グループを選択するか、作成します。

    6. [ディスク暗号化セット名] に、セットの名前を入力します。

    7. [リージョン] で、使用できる Azure リージョンを選択します。

    8. [暗号化の種類] で、[カスタマー マネージド キーを使用した機密ディスク暗号化] を選択します。

    9. [キー コンテナー] で、既に作成しているキー コンテナーを選択します。

    10. [キー コンテナー] で、[新規作成] を選択して、新しいキーを作成します。

      Note

      以前に Azure マネージド HSM を選択した場合は、代わりに PowerShell または Azure CLI を使用して、新しいキーを作成します

    11. [名前] に、キーの名前を入力します。

    12. キーの種類として [RSA-HSM] を選択します

    13. キー サイズを選択します

    n. [機密キー オプション] で [エクスポート可能] を選択し、機密操作ポリシーを CVM 機密操作ポリシーとして設定します。

    o. [作成] を選択して、キーの作成を完了します。

    p. [確認と作成] を選択して、新しいディスク暗号化セットを作成します。 リソースの作成が正常に完了するのを待ちます。

    q。 Azure portal でディスク暗号化セット リソースに移動します。

    r. ピンク色のバナーを選択して、Azure Key Vault にアクセス許可を付与します。

    重要

    機密 VM を正常に作成するには、この手順を行う必要があります。

  7. 必要に応じて、[ネットワーク][管理][ゲスト構成][タグ] の各タブにある設定を変更します。

  8. [確認および作成] を選択して構成を検証します。

  9. 検証の完了を待ちます。 必要に応じて、検証の問題を修正し、[レビューと作成] をもう一度選択します。

  10. [確認および作成] ウィンドウで、 [作成] を選択します。

機密 VM への接続

Windows 機密 VMLinux 機密 VM に接続するには、さまざまな方法があります。

Windows VM への接続

Windows OS を使用して機密 VM に接続する方法については、「Windows を実行している Azure 仮想マシンに接続してサインオンする方法」を参照してください。

Linux VM への接続

Linux OS を使用して機密 VM に接続するには、コンピューターの OS の手順を参照してください。

開始する前に、VM にパブリック IP アドレスがあることを確認します。 IP アドレスを確認するには:

  1. Azure portal にサインインします。

  2. [仮想マシン] を選択または検索します。

  3. [仮想マシン] ページで、自分の機密 VM を選択します。

  4. 機密 VM の [概要] ページで、パブリック IP アドレスをコピーします。

    Linux VM への接続の詳細については、「クイックスタート: Azure portal で Linux 仮想マシンを作成する」を参照してください。

  5. PuTTY などの SSH クライアントを開きます。

  6. 機密 VM のパブリック IP アドレスを入力します。

  7. VM に接続します PuTTY で、[開く] を選択します。

  8. VM 管理者のユーザー名とパスワードを入力します。

    Note

    PuTTY を使用している場合、サーバーのホスト キーがレジストリにキャッシュされていないというセキュリティの警告が表示されることがあります。 このホストを信頼する場合は、[はい] を選択して PuTTY のキャッシュにキーを追加し、接続を続行します。 キーを追加せずに 1 回だけ接続するには、[いいえ] を選択します。 このホストを信頼しない場合は、[キャンセル] を選択して接続を破棄します。

リソースをクリーンアップする

クイックスタートが完了したら、機密 VM、リソース グループ、その他の関連リソースをクリーンアップできます。

  1. Azure portal にサインインします。

  2. リソース グループを選択または検索します。

  3. [リソース グループ] ページ で、このクイックスタート用に作成したリソース グループを選択します。

  4. リソース グループのメニューで、[リソース グループの削除] を選択します。

  5. [警告] ウィンドウで、リソース グループの名前を入力して削除を確認します。

  6. [削除] を選択します。

次のステップ

ARM テンプレートを使用して機密 VM を作成する