重要
現在、Data Box Disk のハードウェア暗号化サポートは、米国、ヨーロッパ、日本内のリージョンで利用できます。
ハードウェア暗号化を使用する Azure Data Box ディスクには、SATA III 接続が必要です。 USB を含む他のすべての接続はサポートされていません。
注意事項
この記事では、サービス終了 (EOL) 状態となっている Linux ディストリビューションである CentOS について説明します。 適宜、使用と計画を検討してください。 詳細については、「CentOS のサポート終了に関するガイダンス」を参照してください。
このチュートリアルでは、Azure Data Box Disk の開梱、接続、ロック解除の方法について説明します。
このチュートリアルでは、以下の内容を学習します。
- Data Box Disk を開梱する
- ディスクに接続してパスキーを取得する
- Windows クライアントでディスクのロックを解除する
- Linux クライアントでディスクのロックを解除する
Azure Data Box Disk の開梱、接続、ロック解除
前提条件
開始する前に次の点を確認します。
- チュートリアル:Azure Data Box Disk を注文する」を参照してください。
- ディスクの受け取りが済んでいて、ポータルでジョブの状態が [配信済み] に更新されていること。
- Data Box Disk のロック解除ツールをインストールするクライアント コンピューターがあること。 クライアント コンピューターの要件は以下のとおりです。
ディスクをアンパックする
次の手順に従ってディスクを開梱します。
Data Box Disk は、小さな梱包箱に入って郵送されます。 箱を開けて内容物を取り出します。 1 台から 5 台の SSD (Solid State Disk) と各ディスクにつき 1 本の USB 接続ケーブルが同梱されていることを確認してください。 箱を調べて、改ざんの痕跡や、その他明らかな損傷がないか確認します。
梱包箱が改ざんされていたり、ひどく破損している場合は、箱を開けないでください。 Microsoft サポートに問い合わせて、ディスクが正常に使用できる状態にあるかどうか、また交換ディスクを発送してもらう必要があるかどうかを評価してください。
返送用の配送先住所ラベルが入った透明な袋が (現在のラベルの下に) 同梱されていることを確認します。 このラベルが紛失するか破損した場合は、いつでも Azure portal から新しいラベルをダウンロードして印刷することができます。
箱と梱包材は、ディスクを返送するときのために保管しておいてください。
ディスクを接続する
重要
ハードウェア暗号化を備えた Azure Data Box ディスクは、Linux ベースのオペレーティング システムでのみサポートおよびテストされます。 Windows OS ベースのデバイスを使用してディスクにアクセスするには、Data Box Disk ツールセットをダウンロードし、Data Box Disk SED ロック解除ツールを実行します。
パスキーを取得する
Azure portal で [Data Box Disk の注文] に移動します。 [全般] > [すべてのリソース] の順に移動して Data Box Disk を検索し、[Data Box Disk の注文] を選択します。 コピー アイコンを使用してパスキーをコピーします。 このパスキーは、ディスクのロック解除に使用されます。
Data Box Disk のロック解除パスキー
接続先が Windows クライアントまたは Linux クライアントのどちらであるかに応じて、ディスクのロックを解除する手順は異なります。
ディスクをロック解除する
ディスクを接続し、ロックを解除するには、次の手順を実行します。
ディスクを接続し、ロックを解除するには、次の手順を実行します。
Azure portal で [Data Box Disk の注文] に移動します。 [全般] > [すべてのリソース] の順に移動して Data Box Disk を検索し、[Data Box Disk の注文] を選択します。
Windows クライアントに対応する Data Box Disk ツールセットをダウンロードします。 このツールセットには、Data Box Disk ロック解除ツール、Data Box Disk 検証ツール、および Data Box Disk 分割コピー ツールの 3 つが含まれています。
Note
PowerShell ISE は Data Box Disk Tools ではサポートされていません
この手順では、Data Box Disk ロック解除ツールのみが必要です。 残りのツールは、以降の手順で使用されます。
データのコピーに使用するのと同じコンピューターでツールセットを抽出します。
同じコンピューターで、管理者として Windows PowerShell を実行するかコマンド プロンプト ウィンドウを開きます。
クライアント コンピューターが Data Box ロック解除ツールのオペレーティング システム要件を満たしていることを確認します。 次の例に示すように、抽出された Data Box Disk ツールセット を含むフォルダーでシステム チェックを実行します。
.\DataBoxDiskUnlock.exe /SystemCheck
次の出力例は、クライアント コンピューターがオペレーティング システムの要件を満たしていることを確認します。
「パスキーを取得する」セクションで取得したパスキーを指定して DataBoxDiskUnlock.exe を実行します。 パスキーは、次の 例に示すように Passkey パラメーター値として送信されます。
.\DataBoxDiskUnlock.exe /Passkey:<testPasskey>
成功した応答には、次の出力例に示すように、ディスクに割り当てられたドライブ文字が含まれます。
今後ディスクを再挿入するたびにロック解除の手順を繰り返します。 Data Box Disk のロック解除ツールに関するヘルプが必要な場合は、次のサンプル コードと出力例に示すように help コマンドを使用します。
.\DataBoxDiskUnlock.exe /help
![Data Box ロック解除ツールの [ヘルプ] コマンドの出力を示すスクリーンショット。](media/data-box-disk-deploy-set-up/disk-unlock-help.png)
ディスクのロックが解除されたら、ディスクの内容を表示することができます。
Note
ディスクの内容または既存のファイル構造をフォーマットしたり変更したりすることは避けてください。
ディスクのロックを解除中に問題が発生した場合は、ロック解除に関する問題のトラブルシューティングを行う方法をご覧ください。
Linux ベースのマシンでハードウェアで暗号化された Data Box ディスクに接続してロックを解除するには、次の手順を実行します。
トラステッド プラットフォーム モジュール (TPM) は、SATA ベースのドライブの Linux システムで有効にする必要があります。 TPM を有効にするには、次の ディストリビューション固有の例に示すように GRUB 構成を編集して libata.allow_tpm を 1 に設定します。 詳細については、https://github.com/Drive-Trust-Alliance/sedutil/wiki にある、Drive-Trust-Alliance のパブリック Wiki を参照してください。
警告
デバイスで TPM を有効にするには、再起動が必要な場合があります。
次の例には、reboot コマンドが含まれています。 スクリプトを実行する前にデータが失われないようにしてください。
次のコマンドを使用して、CentOS の TPM を有効にします。
sudo nano /etc/default/grub
次に、 grub コマンド ライン引数に "libata.allow_tpm=1" を手動で追加します。
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"
BIOS ベースのシステムの場合: grub2-mkconfig -o /boot/grub2/grub.cfg
UEFI ベースのシステムの場合: grub2-mkconfig -o /boot/efi/EFI/centos/grub.cfg
reboot
最後に、ブート イメージを確認して、TPM 設定が正しく設定されていることを確認します。
cat /proc/cmdline
次のコマンドを使用して、Ubuntu/Debian の TPM を有効にします。
sudo nano /etc/default/grub
次に、grub コマンド ライン引数に "libata.allow_tpm=1" を手動で追加します。
GRUB_CMDLINE_LINUX_DEFAULT="quiet splash libata.allow_tpm=1"
GRUB を更新して再起動します。
sudo update-grub
reboot
最後に、ブート イメージを確認して、TPM 設定が正しく構成されていることを確認します。
cat /proc/cmdline
---
Data Box Disk ツールセットをダウンロードします。 Data Box Disk ロック解除ユーティリティを抽出し、コンピューター上のローカル パスにコピーします。
SEDUtil をダウンロードします。 詳細については、Drive-Trust-Alliance のパブリック Wiki を参照 してください。
重要
SEDUtil は、自己暗号化ドライブ用の外部ユーティリティです。 これは Microsoft によって管理されていません。 このユーティリティのライセンス情報を含む詳細については、https://sedutil.com/ を参照してください。
次の例を使用して、コンピューター上のローカル パスに SEDUtil を抽出し、ユーティリティ パスへのシンボリック リンクを作成します。 または、PATH 環境変数にユーティリティ パスを追加することもできます。
chmod +x /path/to/sedutil-cli
#add a symbolic link to the extracted sedutil tool
sudo ln -s /path/to/sedutil-cli /usr/bin/sedutil-cli
sedutil-cli –scan コマンドは、サーバーに接続されているすべてのドライブを一覧表示します。 このコマンドはディストリビューションに依存しません。
sudo sedutil-cli --scan
次の出力例は、検証が正常に完了したことを確認します。
Azure ディスクは、次のコマンドを使用して識別できます。 次のコマンドを使用して、ボリュームのディスク シリアル番号を確認できます。
sedutil-cli --query <volume>
前の手順で抽出した Linux ツールセットから Data Box Disk ロック解除ユーティリティを実行します。 [ディスクへの接続] セクションから取得した、Azure portal からのパスキーを指定します。 必要に応じて、BitLocker で暗号化されたボリュームの一覧を指定してロックを解除します。 パスキーとボリュームの一覧は、次の例に示すように一重引用符で囲んで指定する必要があります。
chmod +x DataBoxDiskUnlock
#add a symbolic link to the downloaded DataBoxDiskUnlock tool
sudo ln -s /path/to/DataBoxDiskUnlock /usr/bin/DataBoxDiskUnlock
sudo ./DataBoxDiskUnlock /Passkey:<'passkey'> /SerialNumbers:<'serialNumber1,serialNumber2'> /SED
次の出力例は、ボリュームのロックが正常に解除されたことを示しています。 データをコピーできるボリュームのマウント ポイントも表示されます。
重要
今後ディスクを再挿入するには、この手順を繰り返してディスクのロックを解除します。
次の例に示すように、Data Box Disk ロック解除ユーティリティに関する追加のサポートが必要な場合は、ヘルプ スイッチを使用できます。
sudo ./DataBoxDiskUnlock /Help
次の画像は、サンプル出力を示しています。
ディスクのロックが解除されたら、マウント ポイントに移動して、ディスクの内容を表示することができます。 これで、目的のコピー先データ型に基づいてデータをフォルダーにコピーする準備ができました。
ディスクへのデータのコピーが完了したら、次のコマンドを使用して、ディスクのマウントを解除して安全に取り外してください。
sudo ./DataBoxDiskUnlock /SerialNumbers:<'serialNumber1,serialNumber2'>
/Unmount /SED
次の出力例は、ボリュームが正常にマウント解除されたことを確認します。
サポートされているオペレーティング システムの Windows ベースのコンピューターに接続することで、ディスク上のデータを検証できます。 ディスクをローカル コンピューターに接続する前に、Windows ベースのオペレーティング システムの OS 要件を確認してください。
Windows ベースのマシンを使用して自己暗号化ディスクのロックを解除するには、次の手順を実行します。
Windows クライアント用の Data Box Disk ツールセットをダウンロードし、同じコンピューターに展開します。 ツールセットには 4 つのツールが含まれていますが、ハードウェア暗号化されたディスクには Data Box SED ロック解除ツールのみが使用されます。
Windows ベースのコンピューター上の使用可能な SATA 3 接続に Data Box Disk を接続します。
コマンド プロンプトまたは PowerShell を使用して、次のコマンドを実行して、自己暗号化ディスクのロックを解除します。
DataBoxDiskUnlock /Passkey:<> /SerialNumbers:<listOfSerialNumbers>
次の出力例は、ディスクのロックが正常に解除されたことを確認します。
ドライブを取り出す前に、ドライブを安全に取り外してください。
ディスクのロック解除中に問題が発生した場合は、ロック解除の問題のトラブルシューティングに関する記事を参照してください。
Linux ベースのマシンでソフトウェアで暗号化された Data Box Disk に接続してロックを解除するには、次の手順を実行します。
Azure portal で [全般] > [デバイスの詳細] に移動します。
Data Box Disk ツールセットをダウンロードします。 Data Box Disk ロック解除ユーティリティを抽出し、コンピューター上のローカル パスにコピーします。
Data Box Disk ツールセットを含むフォルダーに移動します。 Linux クライアントでターミナル ウィンドウを開き、次のサンプルに示すような実行ができるようにファイルのアクセス許可を変更します。
chmod +x DataBoxDiskUnlock
chmod +x DataBoxDiskUnlock_Prep.sh
chmod コマンドが実行されたら、次のサンプル出力に示すように ls コマンドを実行して、ファイルのアクセス許可が変更されていることを確認します。
[user@localhost Downloads]$ chmod +x DataBoxDiskUnlock
[user@localhost Downloads]$ chmod +x DataBoxDiskUnlock_Prep.sh
[user@localhost Downloads]$ ls -l
-rwxrwxr-x. 1 user user 1152664 Aug 10 17:26 DataBoxDiskUnlock
-rwxrwxr-x. 1 user user 795 Aug 5 23:26 DataBoxDiskUnlock_Prep.sh
Data Box Disk ロック解除バイナリをインストールするには、次のスクリプトを実行します。 sudo を使用して、root としてコマンドを実行します。 正常にインストールされたことを通知する受信確認がターミナルに表示されます。
sudo ./DataBoxDiskUnlock_Prep.sh
このスクリプトは、サンプル出力に示すように、クライアント コンピューターがサポートされているオペレーティング システムを実行していることを検証します。
[user@localhost Documents]$ sudo ./DataBoxDiskUnlock_Prep.sh
OS = CentOS Version = 6.9
Release = CentOS release 6.9 (Final)
Architecture = x64
The script will install the following packages and dependencies.
epel-release
dislocker
ntfs-3g
fuse-dislocker
Do you wish to continue? y|n :|
「y」を入力してインストールを続行します。 スクリプトで、次のパッケージをインストールします。
epel-release - 次の 3 つのパッケージを含むリポジトリ。
dislocker と fuse-dislocker - BitLocker で暗号化されたディスクを復号化するためのユーティリティ。
ntfs-3g - NTFS ボリュームのマウントに役立つパッケージ。
パッケージが正常にインストールされたことを通知する通知がターミナルに表示されます。
Dependency Installed: compat-readline5.x86 64 0:5.2-17.I.el6 dislocker-libs.x86 64 0:0.7.1-8.el6 mbedtls.x86 64 0:2.7.4-l.el6 ruby.x86 64 0:1.8.7.374-5.el6
ruby-libs.x86 64 0:1.8.7.374-5.el6
Complete!
Loaded plugins: fastestmirror, refresh-packagekit, security
Setting up Remove Process
Resolving Dependencies
Running transaction check
Package epel-release.noarch 0:6-8 will be erased Finished Dependency Resolution
Dependencies Resolved
Package Architecture Version Repository Size
Removing: epel-release noarch 6-8 @extras 22 k
Transaction Summary
Remove 1 Package(s)
Installed size: 22 k
Downloading Packages:
Running rpmcheckdebug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
Erasing : epel-release-6-8.noarch
Verifying : epel-release-6-8.noarch
Removed:
epel-release.noarch 0:6-8
Complete!
Dislocker is installed by the script.
OpenSSL is already installed.
Azure portal から取得したパスキーを指定して、Data Box Disk ロック解除ツールを実行します。 必要に応じて、ロックを解除する BitLocker で暗号化されたシリアル番号の一覧を指定します。 パスキーとシリアル番号は、次に示すように単一引用符で囲む必要があります。
sudo ./DataBoxDiskUnlock /PassKey:'<Passkey from Azure portal>'
/SerialNumbers: '22183820683A;221838206839'
次の出力例は、ボリュームのロックが正常に解除されたことを確認します。 データをコピーできるボリュームのマウント ポイントも表示されます。
今後ディスクを再挿入するたびにロック解除の手順を繰り返します。 Data Box Disk のロック解除ツールに関する追加のサポートには help コマンドを使用します。
sudo //DataBoxDiskUnlock /Help
出力のサンプルを次に示します。
[user@localhost Downloads]$ DataBoxDiskUnlock /Help
START: Wed Apr 10 12:35:21 2024
DataBoxDiskUnlock is an utility managed by Microsoft which provides a convenient way to unlock BitLocker
and self-encrypted Data Box disks ordered through Azure portal.
More details available at https://learn.microsoft.com/en-us/azure/databox/data-box-disk-deploy-set-up
-----------------------------------------------------
USAGE:
Example: sudo DataBoxDiskUnlock /PassKey:'passkey'
Example: sudo DataBoxDiskUnlock /PassKey:'passkey' /Volumes:'/dev/sdb;/dev/sdc'
Example: sudo DataBoxDiskUnlock /PassKey:'passkey' /SerialNumbers:'20032613084B'
Example: sudo DataBoxDiskUnlock /PassKey:'passkey' /Volumes:'/dev/sdb' /SED
Example: sudo DataBoxDiskUnlock /PassKey:'passkey' /SerialNumbers:'20032613084B;214633033214' /SED
Example: sudo DataBoxDiskUnlock /Help
Example: sudo DataBoxDiskUnlock /Unmount
Example: sudo DataBoxDiskUnlock /Rescan /Volumes:'/dev/sdb;/dev/sdc'
/PassKey : This option takes a passkey as input and unlocks all of your disks.
Get the passkey from your Data Box Disk order in Azure portal.
/Volumes : This option is used to input a list of volumes.
/SerialNumbers : This option is used to input a list of serial numbers.
/Sed : This option is used to unlock or unmount Self-Encrypted drives (hardware encryption).
Volumes or Serial Numbers is a mandatory field when /SED flag is used.
/Help : This option provides help on the tool usage and examples.
/Unmount : This option unmounts all the volumes mounted by this tool.
/Rescan : Perform SATA controller reset to repair the SATA link speed for specific volumes.
-----------------------------------------------------
ディスクのロックが解除されたら、マウント ポイントに移動して、ディスクの内容を表示することができます。 これで、データを BlockBlob フォルダーまたは PageBlob フォルダーにコピーする準備が整いました。
Note
ディスクの内容または既存のファイル構造をフォーマットしたり変更したりすることは避けてください。
必要なデータがディスクにコピーされたら、次のコマンドを使用して、ディスクのマウントを解除して安全に取り外してください。
sudo ./DataBoxDiskUnlock /unmount /SerialNumbers: 'serialNumber1;serialNumber2'
次の出力例は、ボリュームが正常にマウント解除されたことを確認します。
ディスクを開梱し、同梱されているケーブルを使用してディスクをクライアント コンピューターに接続します。
データのコピーに使用するのと同じコンピューター上で、Data Box Disk ツールセットをダウンロードし、展開します。
or
Windows クライアント上でディスクのロックを解除するには、同じコンピューター上で管理者としてコマンド プロンプト ウィンドウを開くか、Windows PowerShell を実行します。
Linux クライアント上でディスクのロックを解除するには、ターミナルを開きます。 ソフトウェアをダウンロードしたフォルダーに移動します。 以下のコマンドを入力し、これらのファイルを実行できるように、ファイルのアクセス許可を変更します。
chmod +x DataBoxDiskUnlock
chmod +x DataBoxDiskUnlock_Prep.sh
スクリプトを実行し、必要なすべてのバイナリをインストールします。
sudo ./DataBoxDiskUnlock_Prep.sh
Data Box Disk ロック解除ツールを実行します。 Azure portal の [全般] > [デバイスの詳細] でパスキーを取得し、ここで指定します。 オプションで、ロックを解除する、BitLocker で暗号化されたボリュームの一覧を単一引用符で囲んで指定します。
sudo ./DataBoxDiskUnlock /PassKey:'<passkey>'
今後ディスクを再挿入するたびにロック解除の手順を繰り返します。 Data Box Disk ロック解除ツールでわからないことがある場合は、help コマンドを使用してください。
ディスクのロックが解除されたら、ディスクの内容を表示することができます。
ディスクの設定とロック解除の方法の詳細については、Data Box Disk の設定に関するページに移動してください。
次のステップ
このチュートリアルでは、Azure Data Box Disk に関する次のようなトピックについて説明しました。
- Data Box Disk を開梱する
- ディスクに接続してパスキーを取得する
- Windows クライアントでディスクのロックを解除する
- Linux クライアントでディスクのロックを解除する
次のチュートリアルに進み、Data Box Disk にデータをコピーする方法を学習してください。
![Data Box ロック解除ツールの [ヘルプ] コマンドの出力を示すスクリーンショット。](media/data-box-disk-deploy-set-up/disk-unlock-help-lrg.png#lightbox)
