この記事では、Linux 仮想マシン (VM) に対する Azure Disk Encryption についてよく寄せられる質問 (FAQ) への回答を示します。 このサービスの詳細については、「Azure Disk Encryption の概要」をご覧ください。
Linux Virtual Machines 用 Azure Disk Encryption とはどのようなものですか?
Linux Virtual Machines 用 Azure Disk Encryption では、Linux の DM-Crypt 機能を使って、OS ディスク*とデータ ディスクの完全なディスク暗号化が提供されます。 また、EncryptFormatAll 機能を使用すると、一時的なディスクの暗号化を行うことができます。 コンテンツは、カスタマー マネージド キーを使って VM からストレージ バックエンドまで暗号化された状態でフローします。
「サポートされている VM とオペレーティング システム」をご覧ください。
Azure Disk Encryption はどこで一般公開 (GA) されていますか。
Linux Virtual Machines 用 Azure Disk Encryption は、すべての Azure パブリック リージョンで一般提供になっています。
Azure Disk Encryption では、どのようなユーザー エクスペリエンスを利用できますか。
Azure Disk Encryption GA は、Azure Resource Manager テンプレート、Azure PowerShell、および Azure CLI をサポートしています。 異なるユーザー エクスペリエンスによって柔軟性が得られます。 仮想マシンのディスク暗号化を有効にするには 3 つのオプションがあります。 Azure Disk Encryption で利用可能なユーザー エクスペリエンスとステップ バイ ステップ ガイダンスの詳細については、Linux の Azure Disk Encryption シナリオを参照してください。
Azure Disk Encryption の価格はどれくらいですか。
Azure Disk Encryption を使用して VM ディスクを暗号化するための料金は発生しませんが、Azure Key Vault の使用に関連する料金が発生します。 Azure Key Vault のコストの詳細については、「Key Vault の価格」ページを参照してください。
Azure Disk Encryption の使用を開始するにはどうすればよいですか。
最初に、Azure Disk Encryption の概要をお読みください。
Azure Disk Encryption がサポートされる VM サイズとオペレーティングシステムを教えてください。
Azure Disk Encryption の概要の記事には、Azure Disk Encryption をサポートする VM のサイズと VM オペレーティング システムの一覧が記載されています。
Azure Disk Encryption でブート ボリュームとデータ ボリュームの両方を暗号化できますか。
はい。ブート ボリュームとデータ ボリュームの両方を暗号化できます。または、先に OS ボリュームを暗号化しなくても、データを暗号化できます。
OS ボリュームを暗号化した後で OS ボリュームの暗号化を無効にすることはできません。 スケール セット内の Linux Virtual Machines の場合は、データ ボリュームのみを暗号化できます。
Azure Disk Encryption を使用して、マウント解除されたボリュームを暗号化することはできますか。
いいえ、Azure Disk Encryption で暗号化されるのは、マウントされたボリュームのみになります。
Storage のサーバー側の暗号化とはなんですか。
Storage のサーバー側の暗号化では、Azure Storage で Azure Managed Disks が暗号化されます。 マネージド ディスクは既定で、プラットフォーム マネージド キーを使用したサーバー側の暗号化 (2017 年6 月 10 日以降) で暗号化されます。 カスタマー マネージド キーを指定することによって、独自のキーを使用してマネージド ディスクの暗号化を管理できます。 詳細情報Azure Managed Disks のサーバー側暗号化。
Azure Disk Encryption は他のディスク暗号化ソリューションとどのように異なり、各ソリューションはどのようなときに使う必要がありますか?
「マネージド ディスク暗号化オプションの概要」をご覧ください。
シークレットまたは暗号化キーを切り替えるにはどうすればいいですか。
シークレットを切り替えるには、別のキー コンテナーを指定して、最初に使用したのと同じコマンドを呼び出してディスクの暗号化を有効にするだけです。 キーの暗号化キーを切り替えるには、新しいキーの暗号化を指定して、最初に使用したのと同じコマンドを呼び出してディスク暗号化を有効にします。
警告
- これまで、Microsoft Entra の資格情報を指定して Microsoft Entra アプリで Azure Disk Encryption を使ってこの VM を暗号化していた場合は、引き続きこのオプションを使って VM を暗号化する必要があります。 この暗号化された VM に対して Azure Disk Encryption を使用することはできません。これはサポートされていないシナリオであり、この暗号化された VM 用の Microsoft Entra アプリケーションからの切り替えはまだサポートされていないためです。
最初にキー暗号化キーを使用していなかった場合は、どのようにしてキー暗号化キーを追加または削除すればいいですか。
キー暗号化キーを追加するには、キー暗号化キーのパラメーターを渡して、有効化コマンドをもう一度呼び出します。 キー暗号化キーを削除するには、キー暗号化キーのパラメーターを指定せずに、有効化コマンドをもう一度呼び出します。
Azure Disk Encryption では、Bring Your Own Key (BYOK) を実施できますか。
はい。独自のキー暗号化キーを指定できます。 これらのキーは、Azure Disk Encryption のキー ストアである Azure Key Vault で保護されます。 キー暗号化キーのサポート シナリオの詳細については、「Azure Disk Encryption 用のキー コンテナーの作成と構成」を参照してください。
Azure によって作成されたキー暗号化キーを使用できますか。
はい。Azure Key Vault を使用して、Azure Disk Encryption で使用するキー暗号化キーを生成できます。 これらのキーは、Azure Disk Encryption のキー ストアである Azure Key Vault で保護されます。 キー暗号化キーの詳細については、「Azure Disk Encryption 用のキー コンテナーの作成と構成」を参照してください。
オンプレミスのキー管理サービスまたは HSM を使用して暗号化キーを保護できますか。
Azure Disk Encryption では、オンプレミスのキー管理サービスまたは HSM を使用して暗号化キーを保護することはできません。 暗号化キーを保護するために使用できるのは、Azure Key Vault サービスのみです。 キー暗号化キーのサポート シナリオの詳細については、「Azure Disk Encryption 用のキー コンテナーの作成と構成」を参照してください。
Azure Disk Encryption を構成するための前提条件は何ですか。
Azure Disk Encryption の前提条件があります。 新しいキー コンテナーを作成するか、既存のキー コンテナーを暗号化できるようにディスク暗号化アクセス用に設定して、シークレットとキーを保護するには、「Azure Disk Encryption 用のキー コンテナーの作成と構成」の記事を参照してください。 キー暗号化キーのサポート シナリオの詳細については、「Azure Disk Encryption 用のキー コンテナーの作成と構成」を参照してください。
Microsoft Entra アプリ (以前のリリース) で Azure Disk Encryption を構成するための前提条件は何ですか。
Azure Disk Encryption の前提条件があります。 Microsoft Entra アプリケーションを作成するか、新しいキー コンテナーを作成するか、既存のキー コンテナーをディスク暗号化アクセス用に設定してシークレットとキーの暗号化と保護を実行できるようにするには、「Microsoft Entra ID を使用した Azure Disk Encryption」を参照してください。 キー暗号化キーのサポート シナリオの詳細については、「Microsoft Entra ID を使用した Azure Disk Encryption 用のキー コンテナーの作成と構成」を参照してください。
Microsoft Entra アプリ (以前のリリース) を使用した Azure Disk Encryption は、まだサポートされていますか。
はい。 Microsoft Entra アプリを使用したディスク暗号化は、まだサポートされています。 一方、新しい仮想マシンを暗号化するときは、Microsoft Entra アプリで暗号化するのではなく、新しい方法を使うことをお勧めします。
Microsoft Entra アプリを使って暗号化されていた仮想マシンを、Microsoft Entra アプリを使わない暗号化に移行することはできますか?
現時点では、Microsoft Entra アプリで暗号化されたマシンを、Microsoft Entra アプリなしでの暗号化に直接移行するパスはありません。 また、Microsoft Entra アプリなしでの暗号化から AD アプリによる暗号化への直接的なパスはありません。
Azure Disk Encryption は、どのバージョンの Azure PowerShell をサポートしていますか。
Azure Disk Encryption を構成するには、最新バージョンの Azure PowerShell SDK を使用してください。 Azure PowerShell の最新バージョンをダウンロードしてください。 Azure Disk Encryption は、Azure SDK Version 1.1.0 ではサポートされていません。
Note
Linux 用 Azure Disk Encryption プレビューの拡張機能 "Microsoft.OSTCExtension.AzureDiskEncryptionForLinux" は非推奨となっています。 この拡張機能は、Azure Disk Encryption プレビュー リリース向けに公開されたものです。 テスト環境や運用環境のデプロイでプレビュー バージョンの拡張機能を使用することは避けてください。
Azure Resource Manager (ARM) などのデプロイ シナリオで、Linux IaaS VM の暗号化を有効にするために Linux VM 用の Azure Disk Encryption 拡張機能をデプロイする必要がある場合、Azure Disk Encryption の運用環境に対応した拡張機能 "Microsoft.Azure.Security.AzureDiskEncryptionForLinux" を使用する必要があります。
カスタム Linux イメージに対して Azure Disk Encryption を適用できますか。
カスタム Linux イメージに対して Azure Disk Encryption を適用することはできません。 前述したサポート対象のディストリビューションのギャラリー Linux イメージのみがサポートされます。 カスタム Linux イメージは現時点ではサポートされていません。
yum update を使用する Linux Red Hat VM に更新プログラムを適用できますか。
はい。Red Hat Linux VM に対して yum update を実行できます。 詳細については、分離されたネットワークでの Azure Disk Encryption に関する記事を参照してください。
Linux で推奨される Azure Disk Encryption ワークフローは何ですか。
Linux で最適な結果を得るには、次のワークフローが推奨されます。
- 必要な OS ディストリビューションとバージョンに対応する、変更されていないストック ギャラリー イメージを使用して開始します
- 暗号化するマウント済みのドライブをバックアップします。 このバックアップによって、暗号化が完了する前に VM が再起動された場合など、障害発生時の復旧が可能になります。
- 暗号化 (VM の特性や、接続されているデータ ディスクのサイズによっては、数時間から数日かかることがあります)
- 必要に応じて、イメージをカスタマイズし、イメージにソフトウェアを追加します。
このワークフローが可能でない場合は、DM-Crypt を使用したディスク全体の暗号化に代わる方法として、プラットフォームのストレージ アカウント レイヤーで Storage Service Encryption (SSE) を使用することができます。
ディスク "Bek ボリューム" または "/mnt/azure_bek_disk" とは何ですか。
"Bek ボリューム" は、暗号化された Azure Virtual Machines の暗号化キーを安全に格納するローカル データ ボリュームです。
Note
このディスクのコンテンツの削除や編集はしないでください。 IaaS VM 上のすべての暗号化操作に暗号化キーが必要なため、ディスクのマウントを解除しないでください。
Azure Disk Encryption はどのような暗号化方法を使用しますか。
Azure Disk Encryption では、暗号化解除の既定値である 256 ビット ボリューム マスター キーの aes-xts-plain64 が使用されます。
EncryptFormatAll を使用して、すべてのボリュームの種類を指定した場合、既に暗号化したデータ ドライブ上のデータは消去されますか。
いいえ、Azure Disk Encryption を使用して既に暗号化されているデータ ドライブのデータは消去されません。 EncryptFormatAll で、OS ドライブが再暗号化されなかったのと同様に、既に暗号化されているデータ ドライブは再暗号化されません。 詳細については、「EncryptFormatAll 条件」を参照してください。
XFS ファイルシステムはサポートされていますか。
XFS OS ディスクの暗号化がサポートされています。
XFS データ ディスクの暗号化は、EncryptFormatAll パラメーターが使用されている場合にのみサポートされます。 このオプションは、ボリュームを再フォーマットし、それまでそこにあったすべてのデータを消去します。 詳細については、「EncryptFormatAll 条件」を参照してください。
OS パーティションのサイズは変更できますか?
Azure Disk Encryption で暗号化された OS ディスクのサイズ変更はサポートされていません。
暗号化された VM をバックアップおよび復元することはできますか。
Azure Backup には、同じサブスクリプションおよびリージョン内の暗号化された VM をバックアップおよび復元するメカニズムが用意されています。 手順については、「暗号化された仮想マシンを Azure Backup でバックアップおよび復元する」をご覧ください。 暗号化された VM を別のリージョンに復元することは、現在サポートされていません。
質問したり、フィードバックを提供したりするにはどこに移動すればよいですか。
ご質問やフィードバックは、Azure Disk Encryption についての Microsoft Q&A 質問ページに投稿してください。
次のステップ
このドキュメントでは、Azure Disk Encryption に関して最もよく寄せられるご質問について説明しました。 このサービスの詳細については、以下の記事を参照してください。