この記事では、Linux 仮想マシン (VM) に対する Azure Disk Encryption についてよく寄せられる質問 (FAQ) への回答を示します。 このサービスの詳細については、「Azure Disk Encryption の概要」をご覧ください。
Linux Virtual Machines 用 Azure Disk Encryption では、Linux の DM-Crypt 機能を使って、OS ディスク*とデータ ディスクの完全なディスク暗号化が提供されます。 また、EncryptFormatAll 機能を使用すると、一時的なディスクの暗号化を行うことができます。 コンテンツは、カスタマー マネージド キーを使って VM からストレージ バックエンドまで暗号化された状態でフローします。
「サポートされている VM とオペレーティング システム」をご覧ください。
Linux Virtual Machines 用 Azure Disk Encryption は、すべての Azure パブリック リージョンで一般提供になっています。
Azure Disk Encryption GA は、Azure Resource Manager テンプレート、Azure PowerShell、および Azure CLI をサポートしています。 異なるユーザー エクスペリエンスによって柔軟性が得られます。 仮想マシンのディスク暗号化を有効にするには 3 つのオプションがあります。 Azure Disk Encryption で利用可能なユーザー エクスペリエンスとステップ バイ ステップ ガイダンスの詳細については、Linux の Azure Disk Encryption シナリオを参照してください。
Azure Disk Encryption を使用して VM ディスクを暗号化するための料金は発生しませんが、Azure Key Vault の使用に関連する料金が発生します。 Azure Key Vault のコストの詳細については、「Key Vault の価格」ページを参照してください。
最初に、Azure Disk Encryption の概要をお読みください。
Azure Disk Encryption の概要の記事には、Azure Disk Encryption をサポートする VM のサイズと VM オペレーティング システムの一覧が記載されています。
はい。ブート ボリュームとデータ ボリュームの両方を暗号化できます。または、先に OS ボリュームを暗号化しなくても、データを暗号化できます。
OS ボリュームを暗号化した後で OS ボリュームの暗号化を無効にすることはできません。 スケール セット内の Linux Virtual Machines の場合は、データ ボリュームのみを暗号化できます。
いいえ、Azure Disk Encryption で暗号化されるのは、マウントされたボリュームのみになります。
Storage のサーバー側の暗号化では、Azure Storage で Azure Managed Disks が暗号化されます。 マネージド ディスクは既定で、プラットフォーム マネージド キーを使用したサーバー側の暗号化 (2017 年6 月 10 日以降) で暗号化されます。 カスタマー マネージド キーを指定することによって、独自のキーを使用してマネージド ディスクの暗号化を管理できます。 詳細情報Azure Managed Disks のサーバー側暗号化。
「マネージド ディスク暗号化オプションの概要」をご覧ください。
シークレットを切り替えるには、別のキー コンテナーを指定して、最初に使用したのと同じコマンドを呼び出してディスクの暗号化を有効にするだけです。 キーの暗号化キーを切り替えるには、新しいキーの暗号化を指定して、最初に使用したのと同じコマンドを呼び出してディスク暗号化を有効にします。
警告
- これまで、Microsoft Entra の資格情報を指定して Microsoft Entra アプリで Azure Disk Encryption を使ってこの VM を暗号化していた場合は、引き続きこのオプションを使って VM を暗号化する必要があります。 この暗号化された VM に対して Azure Disk Encryption を使用することはできません。これはサポートされていないシナリオであり、この暗号化された VM 用の Microsoft Entra アプリケーションからの切り替えはまだサポートされていないためです。
キー暗号化キーを追加するには、キー暗号化キーのパラメーターを渡して、有効化コマンドをもう一度呼び出します。 キー暗号化キーを削除するには、キー暗号化キーのパラメーターを指定せずに、有効化コマンドをもう一度呼び出します。
はい。独自のキー暗号化キーを指定できます。 これらのキーは、Azure Disk Encryption のキー ストアである Azure Key Vault で保護されます。 キー暗号化キーのサポート シナリオの詳細については、「Azure Disk Encryption 用のキー コンテナーの作成と構成」を参照してください。
はい。Azure Key Vault を使用して、Azure Disk Encryption で使用するキー暗号化キーを生成できます。 これらのキーは、Azure Disk Encryption のキー ストアである Azure Key Vault で保護されます。 キー暗号化キーの詳細については、「Azure Disk Encryption 用のキー コンテナーの作成と構成」を参照してください。
Azure Disk Encryption では、オンプレミスのキー管理サービスまたは HSM を使用して暗号化キーを保護することはできません。 暗号化キーを保護するために使用できるのは、Azure Key Vault サービスのみです。 キー暗号化キーのサポート シナリオの詳細については、「Azure Disk Encryption 用のキー コンテナーの作成と構成」を参照してください。
Azure Disk Encryption の前提条件があります。 新しいキー コンテナーを作成するか、既存のキー コンテナーを暗号化できるようにディスク暗号化アクセス用に設定して、シークレットとキーを保護するには、「Azure Disk Encryption 用のキー コンテナーの作成と構成」の記事を参照してください。 キー暗号化キーのサポート シナリオの詳細については、「Azure Disk Encryption 用のキー コンテナーの作成と構成」を参照してください。
Azure Disk Encryption の前提条件があります。 Microsoft Entra アプリケーションを作成するか、新しいキー コンテナーを作成するか、既存のキー コンテナーをディスク暗号化アクセス用に設定してシークレットとキーの暗号化と保護を実行できるようにするには、「Microsoft Entra ID を使用した Azure Disk Encryption」を参照してください。 キー暗号化キーのサポート シナリオの詳細については、「Microsoft Entra ID を使用した Azure Disk Encryption 用のキー コンテナーの作成と構成」を参照してください。
はい。 Microsoft Entra アプリを使用したディスク暗号化は、まだサポートされています。 一方、新しい仮想マシンを暗号化するときは、Microsoft Entra アプリで暗号化するのではなく、新しい方法を使うことをお勧めします。
現時点では、Microsoft Entra アプリで暗号化されたマシンを、Microsoft Entra アプリなしでの暗号化に直接移行するパスはありません。 また、Microsoft Entra アプリなしでの暗号化から AD アプリによる暗号化への直接的なパスはありません。
Azure Disk Encryption を構成するには、最新バージョンの Azure PowerShell SDK を使用してください。 Azure PowerShell の最新バージョンをダウンロードしてください。 Azure Disk Encryption は、Azure SDK Version 1.1.0 ではサポートされていません。
注意
Linux 用 Azure Disk Encryption プレビューの拡張機能 "Microsoft.OSTCExtension.AzureDiskEncryptionForLinux" は非推奨となっています。 この拡張機能は、Azure Disk Encryption プレビュー リリース向けに公開されたものです。 テスト環境や運用環境のデプロイでプレビュー バージョンの拡張機能を使用することは避けてください。
Azure Resource Manager (ARM) などのデプロイ シナリオで、Linux IaaS VM の暗号化を有効にするために Linux VM 用の Azure Disk Encryption 拡張機能をデプロイする必要がある場合、Azure Disk Encryption の運用環境に対応した拡張機能 "Microsoft.Azure.Security.AzureDiskEncryptionForLinux" を使用する必要があります。
カスタム Linux イメージに対して Azure Disk Encryption を適用することはできません。 前述したサポート対象のディストリビューションのギャラリー Linux イメージのみがサポートされます。 カスタム Linux イメージは現時点ではサポートされていません。
はい。Red Hat Linux VM に対して yum update を実行できます。 詳細については、分離されたネットワークでの Azure Disk Encryption に関する記事を参照してください。
Linux で最適な結果を得るには、次のワークフローが推奨されます。
- 必要な OS ディストリビューションとバージョンに対応する、変更されていないストック ギャラリー イメージを使用して開始します
- 暗号化するマウント済みのドライブをバックアップします。 このバックアップによって、暗号化が完了する前に VM が再起動された場合など、障害発生時の復旧が可能になります。
- 暗号化 (VM の特性や、接続されているデータ ディスクのサイズによっては、数時間から数日かかることがあります)
- 必要に応じて、イメージをカスタマイズし、イメージにソフトウェアを追加します。
このワークフローが可能でない場合は、DM-Crypt を使用したディスク全体の暗号化に代わる方法として、プラットフォームのストレージ アカウント レイヤーで Storage Service Encryption (SSE) を使用することができます。
"Bek ボリューム" は、暗号化された Azure Virtual Machines の暗号化キーを安全に格納するローカル データ ボリュームです。
注意
このディスクのコンテンツの削除や編集はしないでください。 IaaS VM 上のすべての暗号化操作に暗号化キーが必要なため、ディスクのマウントを解除しないでください。
Azure Disk Encryption では、暗号化解除の既定値である 256 ビット ボリューム マスター キーの aes-xts-plain64 が使用されます。
いいえ、Azure Disk Encryption を使用して既に暗号化されているデータ ドライブのデータは消去されません。 EncryptFormatAll で、OS ドライブが再暗号化されなかったのと同様に、既に暗号化されているデータ ドライブは再暗号化されません。 詳細については、「EncryptFormatAll 条件」を参照してください。
XFS OS ディスクの暗号化がサポートされています。
XFS データ ディスクの暗号化は、EncryptFormatAll パラメーターが使用されている場合にのみサポートされます。 このオプションは、ボリュームを再フォーマットし、それまでそこにあったすべてのデータを消去します。 詳細については、「EncryptFormatAll 条件」を参照してください。
Azure Disk Encryption で暗号化された OS ディスクのサイズ変更はサポートされていません。
Azure Backup には、同じサブスクリプションおよびリージョン内の暗号化された VM をバックアップおよび復元するメカニズムが用意されています。 手順については、「暗号化された仮想マシンを Azure Backup でバックアップおよび復元する」をご覧ください。 暗号化された VM を別のリージョンに復元することは、現在サポートされていません。
ご質問やフィードバックは、Azure Disk Encryption についての Microsoft Q&A 質問ページに投稿してください。
このドキュメントでは、Azure Disk Encryption に関して最もよく寄せられるご質問について説明しました。 このサービスの詳細については、以下の記事を参照してください。