Azure portal を使用して、ホストでの暗号化を使用したエンドツーエンドの暗号化を有効にする

  • [アーティクル]

適用対象: ✔️ Linux VM ✔️ Windows VM

ホストでの暗号化を有効にすると、VM ホスト上の格納データは、保存時に暗号化され、暗号化された状態でストレージ サービスに送られます。 ホストでの暗号化とその他のマネージド ディスクの暗号化の概要については、「ホストでの暗号化 - ご利用の VM データのエンドツーエンド暗号化」を参照してください。

エンドツーエンド暗号化を有効にすると、一時ディスクとエフェメラル OS ディスクは保存時に、プラットフォーム マネージド キーを使用して暗号化されます。 OS とデータ ディスクのキャッシュは、ディスクの暗号化の種類として選択したものに応じて、カスタマー マネージド キーまたはプラットフォーム マネージド キーのいずれかを使用して保存時に暗号化されます。 たとえば、ディスクがカスタマー マネージド キーで暗号化されている場合、そのディスクのキャッシュはカスタマー マネージド キーで暗号化されます。ディスクがプラットフォーム マネージド キーで暗号化されている場合、そのディスクのキャッシュはプラットフォーム マネージド キーで暗号化されます。

制限

  • 4k セクター サイズの Ultra Disks および Premium SSD v2 でサポートされています。
  • 2023 年 5 月 13 日以降に作成された場合は、512e セクター サイズの Ultra Disks および Premium SSD v2 でのみサポートされています。
  • 現在または以前に Azure Disk Encryption が有効になっている仮想マシン (VM) または仮想マシン スケール セットでは有効にできません。
  • ホストでの暗号化が有効になっているディスクで Azure Disk Encryption を有効にすることはできません。
  • 暗号化は、既存の仮想マシン スケール セットで有効にすることができます。 しかし、暗号化を有効にした後に作成された新しい VM のみが自動的に暗号化されます。
  • 暗号化するには、既存の VM の割り当てを解除して再割り当てする必要があります。

リージョン別の提供状況

ホストでの暗号化は、すべてのディスクの種類についてすべてのリージョンで使用できます。

サポートされる VM のサイズ

レガシ VM のサイズはサポートされていません。 サポートされている VM サイズの一覧を確認するには、Azure PowerShell モジュールまたは Azure CLI を使用します。

前提条件

VM または仮想マシン スケール セットのホストで暗号化を使用するには、事前にサブスクリプションの機能を有効にする必要があります。 下の手順に従って、サブスクリプションに対して機能を有効にしてください。

  1. Azure ポータル:Azure portal から Cloud Shell アイコンを選択します。

    Azure portal から Cloud Shell を起動するアイコンのスクリーンショット。

  2. 次のコマンドを実行して、サブスクリプションに対して機能を登録します

    Register-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"

  3. この機能を試す前に、次のコマンドを使用して、登録状態が Registered であることを確認してください (登録には数分かかる場合があります)。

    Get-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace "Microsoft.Compute"

プラットフォーム マネージド キーを使用して VM をデプロイする

  1. Azure portal にサインインします。

  2. Virtual Machines」で検索し、[+ 作成] を選択して、VM を作成します。

  3. 適切なリージョンとサポートされている VM サイズを選択します。

  4. 必要に応じて [基本] ペインで他の値を入力した後、[ディスク] ペインに進みます。

    [仮想マシンの作成] の [基本] ペインのスクリーンショット、リージョンと VM サイズが強調されています。

  5. [ディスク] ペインで [ホストでの暗号化] を選択します。

  6. 必要に応じて、残りの選択を行います。

    [仮想マシンの作成] の [ディスク] ペインのスクリーンショット。[ホストでの暗号化] が強調されています。

  7. VM デプロイ プロセスの残りの部分については、お使いの環境に合った選択を行い、デプロイを完了します。

ホストでの暗号化を有効にした VM をデプロイしたので、ディスクのキャッシュはプラットフォーム マネージド キーを使用して暗号化されます。

カスタマー マネージド キーを使用して VM をデプロイする

あるいは、カスタマー マネージド キーを使用してディスク キャッシュを暗号化することもできます。

Azure Key Vault とディスク暗号化セットを作成する

機能が有効になったら、Azure Key Vault とディスク暗号化セットを設定する必要があります (まだ行っていない場合)。

ディスクにカスタマー マネージド キーを設定する作業を初めて実行するときは、特定の順序でリソースを作成する必要があります。 最初に、Azure Key Vault の作成と設定を行う必要があります。

Azure Key Vault のセットアップ

  1. Azure portal にサインインします。

  2. **[キー コンテナー]** を検索して選択します。

    検索ダイアログ ボックスが展開されている Azure portal のスクリーンショット。

    重要

    デプロイを成功させるには、ディスク暗号化セット、VM、ディスク、スナップショットがすべて同じリージョンとサブスクリプションに存在している必要があります。 Azure Key Vault は異なるサブスクリプションから使用できますが、リージョンとテナントをディスク暗号化セットと同じにする必要があります。

  3. **[+ 作成]** を選択して、新しいキー コンテナーを作成します。

  4. 新しいリソース グループを作成します。

  5. キー コンテナー名を入力し、リージョンを選択して、価格レベルを選択します。

    Note

    Key Vault インスタンスを作成する場合、論理的な削除と消去保護を有効にする必要があります。 論理的な削除では、Key Vault は削除されたキーを特定の保持期間 (既定では90日) にわたって保持します。 消去保護では、保持期間が経過するまで、削除されたキーを完全に削除できないようになります。 これらの設定は、誤って削除したためにデータが失われるのを防ぎます。 これらの設定は、Key Vault を使用してマネージド ディスクを暗号化する場合は必須です。

  6. **[確認および作成]** を選択し、選択内容を確認してから、 **[作成]** を選択します。

    Azure Key Vault の作成エクスペリエンスのスクリーンショット。作成する個々の値が表示されています。

  7. キー コンテナーのデプロイが完了したら、それを選択します。

  8. [オブジェクト][キー] を選択します。

  9. [Generate/Import](生成/インポート) を選択します。

    Key Vault のリソース設定ペインのスクリーンショット。設定内で [生成/インポート] ボタンが表示されています。

  10. **[キーの種類]****[RSA]****[RSA キー サイズ]****[2048]** に設定されているので、どちらもそのままにしておきます。

  11. 必要に応じて残りの選択項目を入力したら、 **[作成]** を選択します。

    [生成/インポート] ボタンを選択すると表示される [キーの作成] ペインのスクリーンショット。

Azure RBAC ロールを追加する

Azure キー コンテナーとキーを作成したら、Azure RBAC ロールを追加して、ディスク暗号化セットで Azure キー コンテナーを使用できるようにする必要があります。

  1. **[アクセス制御 (IAM)]** を選択し、ロールを追加します。
  2. **Key Vault Administrator(キー コンテナー管理者)****所有者**、または **共同作成者** のいずれかのロールを追加します。

ディスク暗号化セットを設定する

  1. **ディスク暗号化セット**を検索して選択します。

  2. [ディスク暗号化セット] ペインで、[+ 作成] を選択します。

  3. リソース グループを選択し、暗号化セットに名前を付け、キー コンテナーと同じリージョンを選択します。

  4. [暗号化の種類] で、 [カスタマー マネージド キーを使用した保存時の暗号化] を選択します。

    Note

    特定の種類の暗号化を使用してディスク暗号化セットを作成すると、そのセットを変更することはできません。 別の種類の暗号化を使用したい場合は、新しいディスク暗号化セットを作成する必要があります。

  5. [Azure キー コンテナーとキーの選択] が選択されていることを確認します。

  6. 以前に作成したキー コンテナーとキー、およびバージョンを選択します。

  7. [カスタマー マネージド キーの自動ローテーション](../articles/virtual-machines/disk-encryption.md#automatic-key-rotation-of-customer-managed-keys)を有効にする場合は、 **[Auto key rotation (自動キー ローテーション)]** を選択します。

  8. [確認および作成][作成] の順に選択します。

    ディスク暗号化作成ペインのスクリーンショット。サブスクリプション、リソース グループ、ディスク暗号化セット名、リージョン、キー コンテナーとキーのセレクターが表示されています。

  9. デプロイされたディスク暗号化セットに移動し、表示されたアラートを選択します。

    ユーザーが [このディスク暗号化セットにディスク、イメージ、またはスナップショットを関連付けるには、キー コンテナーにアクセス許可を付与する必要があります] アラートを選択するスクリーンショット。

  10. これにより、キー コンテナーのアクセス許可がディスク暗号化セットに付与されます。

    アクセス許可が付与されたことを確認するスクリーンショット。

VM をデプロイする

これで Azure Key Vault とディスク暗号化セットが設定できたので、VM をデプロイすると、それがホストで暗号化を実行します。

  1. Azure portal にサインインします。

  2. Virtual Machines」で検索し、 [+ 追加] を選択して、VM を作成します。

  3. 新しい仮想マシンを作成し、適切なリージョンとサポートされている VM サイズを選択します。

  4. 必要に応じて [基本] ペインで他の値を入力した後、 [ディスク] ペインに進みます。

    [仮想マシンの作成] の [基本] ペインのスクリーンショット、リージョンと VM サイズが強調されています。

  5. [ディスク] ペインで [ホストでの暗号化] を選択します。

  6. [キー管理] を選択し、カスタマー マネージド キーのいずれかを選択します。

  7. 必要に応じて、残りの選択を行います。

    [仮想マシンの作成] の [ディスク] ブレードのスクリーンショット、[ホストでの暗号化] が強調され、カスタマー マネージド キーが選択されています。

  8. VM デプロイ プロセスの残りの部分については、お使いの環境に合った選択を行い、デプロイを完了します。

これで、カスタマー マネージド キーを使用してホストで暗号化が有効になっている VM がデプロイされました。

ホスト ベースの暗号化を無効にする

最初に VM の割り当てを解除します。VM の割り当てが解除されない限り、ホストでの暗号化を無効にすることはできません。

  1. VM で [ディスク] を選択し、 [追加の設定] を選択します。

    VM の [ディスク] ペインのスクリーンショット、[追加の設定] が強調されています。

  2. [ホストでの暗号化][いいえ] を選択して、 [保存] を選択します。

次のステップ

Azure Resource Manager テンプレートのサンプル