Share via

Azure DevTest Labs でカスタマー マネージド キーを使用してディスクを暗号化する

  • [アーティクル]

サーバー側暗号化 (SSE) によってデータが保護され、組織のセキュリティおよびコンプライアンス コミットメントを満たすのに役立ちます。 SSE では、Azure のマネージド ディスク (OS およびデータ ディスク) に格納されているお使いのデータをクラウドに永続化するときに、既定で保存時に自動的に暗号化されます。 Azure でのディスク暗号化について確認してください。

DevTest Labs では、ラボの一部として作成されたすべての OS ディスクとデータ ディスクが、プラットフォームで管理されるキーを使用して暗号化されます。 ただし、ラボの所有者である場合、独自のキーを使用してラボの仮想マシンのディスクを暗号化することを選択できます。 独自のキーを使用して暗号化を管理する場合は、ラボのディスク内のデータの暗号化に使用するカスタマー マネージド キーを指定できます。 カスタマー マネージド キーを使用したサーバー側暗号化 (SSE) と、その他のマネージド ディスクの暗号化の種類の詳細については、「カスタマー マネージド キー」を参照してください。 また、カスタマー マネージド キーを使用する場合の制限に関するページも参照してください。

注意

  • この設定は、ラボで新しく作成されたディスクに適用されます。 ある時点でディスク暗号化セットを変更することを選択した場合、ラボ内の古いディスクは以前のディスク暗号化セットを使用して引き続き暗号化されたままになります。

次の項では、ラボ所有者がカスタマー マネージド キーを使用して暗号化を設定する方法について説明します。

前提条件

  1. ディスク暗号化が設定されていない場合は、この記事の手順に従って、Key Vault とディスク暗号化セットを設定します。 ディスク暗号化セットの次の要件に注意してください。

    • ディスク暗号化セットは、ラボと同じリージョンおよびサブスクリプションにある必要があります。
    • ラボのディスクの暗号化に使用するディスク暗号化セットに対して、あなた (ラボ所有者) が少なくとも閲覧者レベルのアクセス許可を持っていることを確認します。

  2. 2020 年 8 月 1 日より前に作成されたラボの場合、ラボ所有者はラボのシステム割り当て ID が有効になっていることを確認する必要があります。 これを行うには、ラボ所有者は自分のラボに移動して、 [構成とポリシー] をクリックし、 [ID (プレビュー)] ブレードをクリックし、システム割り当て ID の [状態][オン] に変更して、 [保存] をクリックします。 2020 年 8 月 1 日以降に作成された新しいラボの場合、ラボのシステム割り当て ID は既定で有効になります。

    マネージド キー

  3. ラボですべてのラボのディスクの暗号化を処理するには、ラボ所有者はディスク暗号化セットに対する閲覧者ロールと基になる Azure サブスクリプションに対する仮想マシン共同作成者ロールをラボのシステム割り当て ID に明示的に付与する必要があります。 ラボ所有者は、次の手順を完了することで、これを行うことができます。

    1. Azure リソースへのユーザー アクセスを管理できるように、Azure のサブスクリプション レベルでユーザー アクセス管理者ロールのメンバーになっていることを確認します。

    2. "ディスク暗号化セット" ページで、ディスク暗号化セットが使用されるラボ名に、少なくとも閲覧者ロールを割り当てます。

      詳細な手順については、「Azure portal を使用して Azure ロールを割り当てる」を参照してください。

    3. Azure Portal の [サブスクリプション] ページに移動します。

    4. ラボ名 (ラボのシステム割り当て ID) に仮想マシン共同作成者ロールを割り当てます。

カスタマー マネージド キーを使用してラボの OS ディスクを暗号化する

  1. Azure portal のラボのホーム ページで、左側のメニューから [構成とポリシー] を選択します。

  2. [構成とポリシー] ページで、 [暗号化] セクションの [ディスク (プレビュー)] を選択します。 既定では、 [暗号化の種類] には [プラットフォームで管理されたキーを使用した保存時の暗号化] が設定されます。

    [構成とポリシー] ページの [ディスク] タブ

  3. [暗号化の種類] で、ドロップダウン リストから [カスタマー マネージド キーを使用した保存時の暗号化] を選択します。

  4. [ディスク暗号化セット] で、前の手順で作成したディスク暗号化セットを選択します。 これは、ラボのシステム割り当て ID がアクセスできるディスク暗号化セットと同じです。

  5. ツールバーの [保存] を選択します。

    カスタマー マネージド キーによる暗号化を有効にする

  6. メッセージ ボックス (「この設定は、ラボで新しく作成されたマシンに適用されます。古い OS ディスクは、古いディスク暗号化設定で暗号化されたままになります」というテキストが表示されます) で、 [OK] を選択します。

    構成が完了すると、ラボのディスクは、ディスク暗号化セットを使用して取得されたカスタマー マネージド キーで暗号化されます。

ディスクが暗号化されているかどうかを検証する方法

  1. ラボでカスタマー マネージド キーを使用してディスク暗号化を有効にした後に作成されたラボ仮想マシンにアクセスします。

    ディスク暗号化が有効になっている VM

  2. VM のリソース グループをクリックし、OS ディスクをクリックします。

    VM リソース グループ

  3. [暗号化] に移動し、選択した [ディスク暗号化セット] で暗号化が [カスタマー マネージド キー] に設定されているかどうかを確認します。

    暗号化を検証する

次のステップ

次の記事をご覧ください。