重要
Azure Disk Encryption は、 2028 年 9 月 15 日に廃止される予定です。 その日まで、中断することなく Azure Disk Encryption を引き続き使用できます。 2028 年 9 月 15 日に、ADE 対応ワークロードは引き続き実行されますが、暗号化されたディスクは VM の再起動後にロック解除に失敗し、サービスが中断されます。
新しい VM の ホストで暗号化 を使用します。 サービスの中断を回避するために、すべての ADE 対応 VM (バックアップを含む) を提供終了日より前にホストで暗号化に移行する必要があります。 詳細については、「 Azure Disk Encryption からホストでの暗号化への移行 」を参照してください。
適用対象: ✔️ Linux VM ✔️ フレキシブルなスケール セット
Azure PowerShell モジュールは、PowerShell コマンド ラインやスクリプトで Azure リソースを作成および管理するために使用します。 このクイックスタートでは、Azure PowerShell モジュールを使用して Linux 仮想マシン (VM) を作成し、暗号化キーを格納するためのキー コンテナーを作成し、VM を暗号化する方法を説明します。 このクイックスタートでは、Canonical の Ubuntu 16.04 LTS マーケットプレース イメージと VM Standard_D2S_V3 サイズを使用します。 ただし、ADE でサポートされている Linux イメージ バージョンは、Ubuntu VM の代わりに使用できます。
Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。
リソース グループを作成する
New-AzResourceGroup を使用して Azure リソース グループを作成します。 リソース グループとは、Azure リソースの展開と管理に使用する論理コンテナーです。
New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"
仮想マシンの作成
New-AzVM を使用して Azure 仮想マシンを作成し、前の手順で作成した VM 構成オブジェクトに渡します。
$cred = Get-Credential
New-AzVM -Name MyVm -Credential $cred -ResourceGroupName MyResourceGroup -Image Canonical:UbuntuServer:18.04-LTS:latest -Size Standard_D2S_V3
VM がデプロイされるまでに数分かかります。
暗号化キー用に構成されたキー コンテナーの作成
Azure Disk Encryption では、その暗号化キーは Azure キー コンテナーに格納されます。 New-AzKeyvault を使用して、キー コンテナーを作成します。 キー コンテナーで暗号化キーを格納できるようにするには、-EnabledForDiskEncryption パラメーターを使用します。
重要
すべてのキー コンテナーに、Azure 全体で一意の名前を付ける必要があります。 次の例の <your-unique-keyvault-name> は、任意の名前に置き換えてください。
New-AzKeyvault -name "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup" -Location EastUS -EnabledForDiskEncryption
仮想マシンを暗号化する
Set-AzVmDiskEncryptionExtension を使用して、VM を暗号化します。
Set-AzVmDiskEncryptionExtension では、Key Vault オブジェクトのいくつかの値が必要です。 これらの値を取得するには、Get-AzKeyvault にキー コンテナーの一意の名前を渡します。
$KeyVault = Get-AzKeyVault -VaultName "<your-unique-keyvault-name>" -ResourceGroupName "MyResourceGroup"
Set-AzVMDiskEncryptionExtension -ResourceGroupName MyResourceGroup -VMName "MyVM" -DiskEncryptionKeyVaultUrl $KeyVault.VaultUri -DiskEncryptionKeyVaultId $KeyVault.ResourceId -SkipVmBackup -VolumeType All
数分後、プロセスは以下を返します。
RequestId IsSuccessStatusCode StatusCode ReasonPhrase
--------- ------------------- ---------- ------------
True OK OK
暗号化プロセスを検証するには、Get-AzVmDiskEncryptionStatus を実行します。
Get-AzVmDiskEncryptionStatus -VMName MyVM -ResourceGroupName MyResourceGroup
暗号化が有効になっている場合、返される出力に次の情報が表示されます。
OsVolumeEncrypted : EncryptionInProgress
DataVolumesEncrypted : NotMounted
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage : OS disk encryption started
リソースをクリーンアップする
必要がなくなったら、Remove-AzResourceGroup コマンドレットを使用して、リソース グループ、VM、およびすべての関連リソースを削除できます。
Remove-AzResourceGroup -Name "myResourceGroup"
次のステップ
このクイック スタートでは、仮想マシンを作成し、暗号化キーを有効にした Key Vault を作成し、VM を暗号化しました。 次の記事に進み、Linux VM に対する Azure Disk Encryption について詳しく学習してください。