Scenariusze usługi Azure Disk Encryption na maszynach wirtualnych z systemem Windows
Dotyczy: ✔️ Maszyny wirtualne z systemem Windows — elastyczne zestawy skalowania ✔️
Usługa Azure Disk Encryption dla maszyn wirtualnych z systemem Windows używa funkcji BitLocker systemu Windows w celu zapewnienia pełnego szyfrowania dysku systemu operacyjnego i dysku danych. Ponadto zapewnia szyfrowanie dysku tymczasowego, gdy parametr VolumeType (Typ woluminu) ma wartość All (Wszystkie).
Usługa Azure Disk Encryption jest zintegrowana z usługą Azure Key Vault , aby ułatwić kontrolowanie kluczy i wpisów tajnych szyfrowania dysków oraz zarządzanie nimi. Aby zapoznać się z omówieniem usługi, zobacz Usługa Azure Disk Encryption dla maszyn wirtualnych z systemem Windows.
Wymagania wstępne
Szyfrowanie dysków można stosować tylko do maszyn wirtualnych z obsługiwanymi rozmiarami maszyn wirtualnych i systemami operacyjnymi. Należy również spełnić następujące wymagania wstępne:
- Wymagania dotyczące sieci
- Wymagania dotyczące zasad grupy
- Wymagania dotyczące magazynu kluczy szyfrowania
Ograniczenia
Jeśli wcześniej maszynę wirtualną zaszyfrowano za pomocą usługi Azure Disk Encryption z usługą Microsoft Entra ID, należy nadal używać tej opcji do szyfrowania maszyny wirtualnej. Zobacz Usługa Azure Disk Encryption z aplikacją usługi Microsoft Entra ID (wcześniejsza wersja), aby poznać szczegóły.
Przed zaszyfrowaniem dysków należy utworzyć migawkę i/lub utworzyć kopię zapasową. Kopie zapasowe zapewniają, że opcja odzyskiwania jest możliwa w przypadku wystąpienia nieoczekiwanego błędu podczas szyfrowania. Maszyny wirtualne z dyskami zarządzanymi wymagają utworzenia kopii zapasowej przed przeprowadzeniem szyfrowania. Po utworzeniu kopii zapasowej można użyć polecenia cmdlet Set-AzVMDiskEncryptionExtension do szyfrowania dysków zarządzanych, określając parametr -skipVmBackup. Aby uzyskać więcej informacji na temat tworzenia kopii zapasowych i przywracania zaszyfrowanych maszyn wirtualnych, zobacz Tworzenie kopii zapasowych i przywracanie zaszyfrowanej maszyny wirtualnej platformy Azure.
Szyfrowanie lub wyłączanie szyfrowania może spowodować ponowne uruchomienie maszyny wirtualnej.
Usługa Azure Disk Encryption nie działa w przypadku następujących scenariuszy, funkcji i technologii:
- Szyfrowanie maszyny wirtualnej warstwy podstawowej lub maszyn wirtualnych utworzonych za pomocą klasycznej metody tworzenia maszyn wirtualnch.
- Wszystkie wymagania i ograniczenia funkcji BitLocker, takie jak wymaganie systemu plików NTFS. Aby uzyskać więcej informacji, zobacz Omówienie funkcji BitLocker.
- Szyfrowanie maszyn wirtualnych skonfigurowanych za pomocą programowych systemów RAID.
- Szyfrowanie maszyn wirtualnych skonfigurowanych przy użyciu Miejsca do magazynowania Direct (S2D) lub wersji systemu Windows Server przed 2016 r. skonfigurowanych przy użyciu Miejsca do magazynowania systemu Windows.
- Integracja z lokalnym systemem zarządzania kluczami.
- Azure Files (udostępniony system plików).
- System plików sieciowych (NFS).
- Woluminy dynamiczne.
- Kontenery systemu Windows Server, które tworzą woluminy dynamiczne dla każdego kontenera.
- Efemeryczne dyski systemu operacyjnego.
- Dyski iSCSI.
- Szyfrowanie udostępnionych/rozproszonych systemów plików, takich jak (ale nie tylko) systemu plików DFS, GFS, DRDB i CephFS.
- Przenoszenie zaszyfrowanej maszyny wirtualnej do innej subskrypcji lub regionu.
- Tworzenie obrazu lub migawki zaszyfrowanej maszyny wirtualnej i używanie ich do wdrażania dodatkowych maszyn wirtualnych.
- Maszyny wirtualne serii M z dyskami akceleratora zapisu.
- Stosowanie programu ADE do maszyny wirtualnej, która ma dyski zaszyfrowane za pomocą szyfrowania na hoście lub po stronie serwera z kluczami zarządzanymi przez klienta (SSE + CMK). Zastosowanie szyfrowania SSE + CMK do dysku danych lub dodanie dysku danych z skonfigurowanym szyfrowaniem SSE + CMK do maszyny wirtualnej zaszyfrowanej ADE jest również nieobsługiwanym scenariuszem.
- Migrowanie maszyny wirtualnej zaszyfrowanej za pomocą usługi ADE lub kiedykolwiek zostało zaszyfrowane za pomocą usługi ADE do szyfrowania na hoście lub po stronie serwera przy użyciu kluczy zarządzanych przez klienta.
- Szyfrowanie maszyn wirtualnych w klastrach trybu failover.
- Szyfrowanie dysków w warstwie Ultra platformy Azure.
- Szyfrowanie dysków SSD w wersji 2 w warstwie Premium.
- Szyfrowanie maszyn wirtualnych w subskrypcjach, które mają
Secrets should have the specified maximum validity period
włączone zasady z efektem DENY. - Szyfrowanie maszyn wirtualnych w subskrypcjach, które mają
Key Vault secrets should have an expiration date
włączone zasady z efektem DENY
Instalowanie narzędzi i nawiązywanie połączenia z platformą Azure
Usługę Azure Disk Encryption można włączyć i zarządzać za pomocą interfejsu wiersza polecenia platformy Azure i programu Azure PowerShell. W tym celu należy zainstalować narzędzia lokalnie i połączyć się z subskrypcją platformy Azure.
Interfejs wiersza polecenia platformy Azure
Interfejs wiersza polecenia platformy Azure 2.0 to narzędzie wiersza polecenia do zarządzania zasobami platformy Azure. Interfejs wiersza polecenia został zaprojektowany tak, aby elastycznie wykonywać zapytania o dane, obsługiwać długotrwałe operacje jako procesy nieblokujące i ułatwiać wykonywanie skryptów. Możesz zainstalować ją lokalnie, wykonując kroki opisane w temacie Instalowanie interfejsu wiersza polecenia platformy Azure.
Aby zalogować się do konta platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure, użyj polecenia az login .
az login
Jeśli chcesz wybrać dzierżawę do zalogowania się w obszarze, użyj:
az login --tenant <tenant>
Jeśli masz wiele subskrypcji i chcesz określić określoną, pobierz listę subskrypcji za pomocą polecenia az account list i określ polecenie az account set.
az account list
az account set --subscription "<subscription name or ID>"
Aby uzyskać więcej informacji, zobacz Wprowadzenie do interfejsu wiersza polecenia platformy Azure w wersji 2.0.
Azure PowerShell
Moduł az programu Azure PowerShell zawiera zestaw poleceń cmdlet, które używają modelu usługi Azure Resource Manager do zarządzania zasobami platformy Azure. Możesz użyć jej w przeglądarce za pomocą usługi Azure Cloud Shell lub zainstalować ją na komputerze lokalnym, korzystając z instrukcji w module Instalowanie programu Azure PowerShell.
Jeśli masz już zainstalowaną lokalnie, upewnij się, że używasz najnowszej wersji zestawu Azure PowerShell SDK do skonfigurowania usługi Azure Disk Encryption. Pobierz najnowszą wersję programu Azure PowerShell.
Aby zalogować się do konta platformy Azure przy użyciu programu Azure PowerShell, użyj polecenia cmdlet Connect-AzAccount .
Connect-AzAccount
Jeśli masz wiele subskrypcji i chcesz je określić, użyj polecenia cmdlet Get-AzSubscription , aby je wyświetlić, a następnie polecenia cmdlet Set-AzContext :
Set-AzContext -Subscription <SubscriptionId>
Uruchomienie polecenia cmdlet Get-AzContext spowoduje sprawdzenie, czy została wybrana poprawna subskrypcja.
Aby potwierdzić, że polecenia cmdlet usługi Azure Disk Encryption są zainstalowane, użyj polecenia cmdlet Get-command :
Get-command *diskencryption*
Aby uzyskać więcej informacji, zobacz Wprowadzenie do programu Azure PowerShell.
Włączanie szyfrowania na istniejącej lub uruchomionej maszynie wirtualnej z systemem Windows
W tym scenariuszu można włączyć szyfrowanie przy użyciu szablonu usługi Resource Manager, poleceń cmdlet programu PowerShell lub poleceń interfejsu wiersza polecenia. Jeśli potrzebujesz informacji o schemacie rozszerzenia maszyny wirtualnej, zobacz artykuł Azure Disk Encryption for Windows extension (Szyfrowanie dysków platformy Azure dla systemu Windows).
Włączanie szyfrowania na istniejących lub uruchomionych maszynach wirtualnych za pomocą programu Azure PowerShell
Użyj polecenia cmdlet Set-AzVMDiskEncryptionExtension, aby włączyć szyfrowanie na uruchomionej maszynie wirtualnej IaaS na platformie Azure.
Szyfruj uruchomioną maszynę wirtualną: poniższy skrypt inicjuje zmienne i uruchamia polecenie cmdlet Set-AzVMDiskEncryptionExtension. Grupa zasobów, maszyna wirtualna i magazyn kluczy powinny już zostać utworzone jako wymagania wstępne. Zastąp wartości MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM i MySecureVault.
$KVRGname = 'MyKeyVaultResourceGroup'; $VMRGName = 'MyVirtualMachineResourceGroup'; $vmName = 'MySecureVM'; $KeyVaultName = 'MySecureVault'; $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname; $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri; $KeyVaultResourceId = $KeyVault.ResourceId; Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId;
Szyfrowanie uruchomionej maszyny wirtualnej przy użyciu klucza KEK:
$KVRGname = 'MyKeyVaultResourceGroup'; $VMRGName = 'MyVirtualMachineResourceGroup'; $vmName = 'MyExtraSecureVM'; $KeyVaultName = 'MySecureVault'; $keyEncryptionKeyName = 'MyKeyEncryptionKey'; $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname; $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri; $KeyVaultResourceId = $KeyVault.ResourceId; $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid; Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId;
Uwaga
Składnia wartości parametru disk-encryption-keyvault jest pełnym ciągiem identyfikatora: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault--name]
Składnia wartości parametru key-encryption-key jest pełnym identyfikatorem URI klucza KEK w następujący sposób: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]Sprawdź, czy dyski są szyfrowane: aby sprawdzić stan szyfrowania maszyny wirtualnej IaaS, użyj polecenia cmdlet Get-AzVmDiskEncryptionStatus .
Get-AzVmDiskEncryptionStatus -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
Aby wyłączyć szyfrowanie, zobacz Wyłączanie szyfrowania i usuwanie rozszerzenia szyfrowania.
Włączanie szyfrowania na istniejących lub uruchomionych maszynach wirtualnych za pomocą interfejsu wiersza polecenia platformy Azure
Użyj polecenia az vm encryption enable, aby włączyć szyfrowanie na uruchomionej maszynie wirtualnej IaaS na platformie Azure.
Szyfrowanie uruchomionej maszyny wirtualnej:
az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type [All|OS|Data]
Szyfrowanie uruchomionej maszyny wirtualnej przy użyciu klucza KEK:
az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type [All|OS|Data]
Uwaga
Składnia wartości parametru disk-encryption-keyvault jest pełnym ciągiem identyfikatora: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault--name]
Składnia wartości parametru key-encryption-key jest pełnym identyfikatorem URI klucza SZYFROWANIA, jak w artykule: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]Sprawdź, czy dyski są szyfrowane: aby sprawdzić stan szyfrowania maszyny wirtualnej IaaS, użyj polecenia az vm encryption show .
az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"
Aby wyłączyć szyfrowanie, zobacz Wyłączanie szyfrowania i usuwanie rozszerzenia szyfrowania.
Korzystanie z szablonu usługi Resource Manager
Szyfrowanie dysków można włączyć na istniejących lub uruchomionych maszynach wirtualnych z systemem Windows IaaS na platformie Azure przy użyciu szablonu usługi Resource Manager w celu zaszyfrowania uruchomionej maszyny wirtualnej z systemem Windows.
W szablonie Szybkiego startu platformy Azure kliknij pozycję Wdróż na platformie Azure.
Wybierz subskrypcję, grupę zasobów, lokalizację, ustawienia, postanowienia prawne i umowę. Kliknij przycisk Kup , aby włączyć szyfrowanie na istniejącej lub uruchomionej maszynie wirtualnej IaaS.
W poniższej tabeli wymieniono parametry szablonu usługi Resource Manager dla istniejących lub uruchomionych maszyn wirtualnych:
Parametr | Opis |
---|---|
vmName | Nazwa maszyny wirtualnej do uruchomienia operacji szyfrowania. |
keyVaultName | Nazwa magazynu kluczy, do którego należy przekazać klucz funkcji BitLocker. Możesz go pobrać za pomocą polecenia cmdlet (Get-AzKeyVault -ResourceGroupName <MyKeyVaultResourceGroupName>). Vaultname lub polecenia interfejsu wiersza polecenia platformy Azure az keyvault list --resource-group "MyKeyVaultResourceGroup" |
keyVaultResourceGroup | Nazwa grupy zasobów zawierającej magazyn kluczy |
keyEncryptionKeyURL | Adres URL klucza szyfrowania klucza w formacie https://< keyvault-name.vault.azure.net/key/>< key-name>. Jeśli nie chcesz używać klucza KEK, pozostaw to pole puste. |
volumeType | Typ woluminu wykonywanego przez operację szyfrowania. Prawidłowe wartości to system operacyjny, dane i wszystkie. |
forceUpdateTag | Przekaż unikatową wartość, na przykład identyfikator GUID za każdym razem, gdy operacja musi zostać wymusić uruchomienie. |
resizeOSDisk | Jeśli rozmiar partycji systemu operacyjnego ma zostać zmieniony tak, aby zajmował pełny dysk VHD systemu operacyjnego przed podzieleniem woluminu systemowego. |
lokalizacja | Lokalizacja dla wszystkich zasobów. |
Włączanie szyfrowania na dyskach NVMe dla maszyn wirtualnych Lsv2
W tym scenariuszu opisano włączanie usługi Azure Disk Encryption na dyskach NVMe dla maszyn wirtualnych serii Lsv2. Seria Lsv2 zawiera lokalny magazyn NVMe. Lokalne dyski NVMe są tymczasowe i dane zostaną utracone na tych dyskach, jeśli zatrzymasz/cofniesz przydział maszyny wirtualnej (zobacz: seria Lsv2).
Aby włączyć szyfrowanie na dyskach NVMe:
- Zainicjuj dyski NVMe i utwórz woluminy NTFS.
- Włącz szyfrowanie na maszynie wirtualnej przy użyciu parametru VolumeType ustawionego na wartość Wszystkie. Umożliwi to szyfrowanie wszystkich dysków systemu operacyjnego i danych, w tym woluminów wspieranych przez dyski NVMe. Aby uzyskać informacje, zobacz Włączanie szyfrowania na istniejącej lub uruchomionej maszynie wirtualnej z systemem Windows.
Szyfrowanie będzie utrwalane na dyskach NVMe w następujących scenariuszach:
- Ponowne uruchomienie maszyny wirtualnej
- Reimage zestawu skalowania maszyn wirtualnych
- Wymiana systemu operacyjnego
Dyski NVMe zostaną niezainicjowane w następujących scenariuszach:
- Uruchamianie maszyny wirtualnej po cofnięciu przydziału
- Naprawa usługi
- Wykonywanie kopii zapasowej
W tych scenariuszach dyski NVMe muszą zostać zainicjowane po uruchomieniu maszyny wirtualnej. Aby włączyć szyfrowanie na dyskach NVMe, uruchom polecenie , aby ponownie włączyć usługę Azure Disk Encryption po zainicjowaniu dysków NVMe.
Oprócz scenariuszy wymienionych w sekcji Ograniczenia szyfrowanie dysków NVMe nie jest obsługiwane w następujących przypadkach:
- Maszyny wirtualne zaszyfrowane za pomocą usługi Azure Disk Encryption z identyfikatorem Entra firmy Microsoft (poprzednia wersja)
- Dyski NVMe z miejscami do magazynowania
- Usługa Azure Site Recovery jednostek SKU z dyskami NVMe (zobacz Macierz obsługi odzyskiwania po awarii maszyn wirtualnych platformy Azure między regionami platformy Azure: Replikowane maszyny — magazyn).
Nowe maszyny wirtualne IaaS utworzone na podstawie zaszyfrowanego przez klienta wirtualnego dysku twardego i kluczy szyfrowania
W tym scenariuszu można utworzyć nową maszynę wirtualną na podstawie wstępnie zaszyfrowanego dysku VHD i skojarzonych kluczy szyfrowania przy użyciu poleceń cmdlet programu PowerShell lub poleceń interfejsu wiersza polecenia.
Skorzystaj z instrukcji w artykule Przygotowywanie wstępnie zaszyfrowanego wirtualnego dysku twardego systemu Windows. Po utworzeniu obrazu możesz użyć kroków w następnej sekcji, aby utworzyć zaszyfrowaną maszynę wirtualną platformy Azure.
Szyfrowanie maszyn wirtualnych przy użyciu wstępnie zaszyfrowanych dysków VHD za pomocą programu Azure PowerShell
Szyfrowanie dysków na zaszyfrowanym dysku VHD można włączyć przy użyciu polecenia cmdlet programu PowerShell Set-AzVMOSDisk. W poniższym przykładzie przedstawiono kilka typowych parametrów.
$VirtualMachine = New-AzVMConfig -VMName "MySecureVM" -VMSize "Standard_A1"
$VirtualMachine = Set-AzVMOSDisk -VM $VirtualMachine -Name "SecureOSDisk" -VhdUri "os.vhd" Caching ReadWrite -Windows -CreateOption "Attach" -DiskEncryptionKeyUrl "https://mytestvault.vault.azure.net/secrets/Test1/514ceb769c984379a7e0230bddaaaaaa" -DiskEncryptionKeyVaultId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myKVresourcegroup/providers/Microsoft.KeyVault/vaults/mytestvault"
New-AzVM -VM $VirtualMachine -ResourceGroupName "MyVirtualMachineResourceGroup"
Włączanie szyfrowania na nowo dodanym dysku danych
Nowy dysk można dodać do maszyny wirtualnej z systemem Windows przy użyciu programu PowerShell lub witryny Azure Portal.
Uwaga
Nowo dodane szyfrowanie dysku danych musi być włączone tylko za pomocą programu PowerShell lub interfejsu wiersza polecenia. Obecnie witryna Azure Portal nie obsługuje włączania szyfrowania na nowych dyskach.
Włączanie szyfrowania na nowo dodanym dysku za pomocą programu Azure PowerShell
W przypadku używania programu PowerShell do szyfrowania nowego dysku dla maszyn wirtualnych z systemem Windows należy określić nową wersję sekwencji. Wersja sekwencji musi być unikatowa. Poniższy skrypt generuje identyfikator GUID dla wersji sekwencji. W niektórych przypadkach nowo dodany dysk danych może zostać automatycznie zaszyfrowany przez rozszerzenie usługi Azure Disk Encryption. Automatyczne szyfrowanie zwykle występuje po ponownym uruchomieniu maszyny wirtualnej po przejściu nowego dysku do trybu online. Jest to zwykle spowodowane tym, że dla typu woluminu określono wartość "Wszystkie", gdy szyfrowanie dysków zostało wcześniej uruchomione na maszynie wirtualnej. Jeśli automatyczne szyfrowanie występuje na nowo dodanym dysku danych, zalecamy ponowne uruchomienie polecenia cmdlet Set-AzVmDiskEncryptionExtension z nową wersją sekwencji. Jeśli nowy dysk danych jest automatycznie szyfrowany i nie chcesz go szyfrować, najpierw odszyfruj wszystkie dyski, a następnie ponownie zaszyfruj przy użyciu nowej wersji sekwencji określającej system operacyjny dla typu woluminu.
Szyfruj uruchomioną maszynę wirtualną: poniższy skrypt inicjuje zmienne i uruchamia polecenie cmdlet Set-AzVMDiskEncryptionExtension. Grupa zasobów, maszyna wirtualna i magazyn kluczy powinny już zostać utworzone jako wymagania wstępne. Zastąp wartości MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM i MySecureVault. W tym przykładzie użyto parametru "All" dla parametru -VolumeType, który zawiera zarówno woluminy systemu operacyjnego, jak i danych. Jeśli chcesz zaszyfrować wolumin systemu operacyjnego, użyj polecenia "OS" dla parametru -VolumeType.
$KVRGname = 'MyKeyVaultResourceGroup'; $VMRGName = 'MyVirtualMachineResourceGroup'; $vmName = 'MySecureVM'; $KeyVaultName = 'MySecureVault'; $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname; $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri; $KeyVaultResourceId = $KeyVault.ResourceId; $sequenceVersion = [Guid]::NewGuid(); Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
Szyfruj uruchomioną maszynę wirtualną przy użyciu klucza KEK: w tym przykładzie użyto parametru -VolumeType, który zawiera woluminy systemu operacyjnego i danych. Jeśli chcesz zaszyfrować wolumin systemu operacyjnego, użyj polecenia "OS" dla parametru -VolumeType.
$KVRGname = 'MyKeyVaultResourceGroup'; $VMRGName = 'MyVirtualMachineResourceGroup'; $vmName = 'MyExtraSecureVM'; $KeyVaultName = 'MySecureVault'; $keyEncryptionKeyName = 'MyKeyEncryptionKey'; $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname; $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri; $KeyVaultResourceId = $KeyVault.ResourceId; $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid; $sequenceVersion = [Guid]::NewGuid(); Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
Uwaga
Składnia wartości parametru disk-encryption-keyvault jest pełnym ciągiem identyfikatora: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault--name]
Składnia wartości parametru key-encryption-key jest pełnym identyfikatorem URI klucza KEK w następujący sposób: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]
Włączanie szyfrowania na nowo dodanym dysku przy użyciu interfejsu wiersza polecenia platformy Azure
Polecenie interfejsu wiersza polecenia platformy Azure automatycznie udostępni nową wersję sekwencji podczas uruchamiania polecenia w celu włączenia szyfrowania. W przykładzie użyto parametru "All" dla parametru typu woluminu. Może być konieczne zmianę parametru typu woluminu na system operacyjny, jeśli szyfrujesz tylko dysk systemu operacyjnego. W przeciwieństwie do składni programu PowerShell interfejs wiersza polecenia nie wymaga od użytkownika podania unikatowej wersji sekwencji podczas włączania szyfrowania. Interfejs wiersza polecenia automatycznie generuje i używa własnej unikatowej wartości wersji sekwencji.
Szyfrowanie uruchomionej maszyny wirtualnej:
az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type "All"
Szyfrowanie uruchomionej maszyny wirtualnej przy użyciu klucza KEK:
az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type "All"
Wyłączanie szyfrowania i usuwanie rozszerzenia szyfrowania
Możesz wyłączyć rozszerzenie szyfrowania dysków platformy Azure i usunąć rozszerzenie szyfrowania dysków platformy Azure. Są to dwie odrębne operacje.
Aby usunąć usługę ADE, zaleca się najpierw wyłączenie szyfrowania, a następnie usunięcie rozszerzenia. Jeśli usuniesz rozszerzenie szyfrowania bez jego wyłączenia, dyski będą nadal szyfrowane. Jeśli szyfrowanie zostanie wyłączone po usunięciu rozszerzenia, rozszerzenie zostanie ponownie zainstalowane (aby wykonać operację odszyfrowywania) i będzie konieczne usunięcie po raz drugi.
Wyłączanie szyfrowania
Szyfrowanie można wyłączyć przy użyciu programu Azure PowerShell, interfejsu wiersza polecenia platformy Azure lub szablonu usługi Resource Manager. Wyłączenie szyfrowania nie powoduje usunięcia rozszerzenia (zobacz Usuwanie rozszerzenia szyfrowania).
Ostrzeżenie
Wyłączenie szyfrowania dysku danych, gdy zarówno system operacyjny, jak i dyski danych zostały zaszyfrowane, może mieć nieoczekiwane wyniki. Zamiast tego wyłącz szyfrowanie na wszystkich dyskach.
Wyłączenie szyfrowania spowoduje uruchomienie procesu w tle funkcji BitLocker w celu odszyfrowania dysków. Ten proces powinien mieć wystarczający czas na ukończenie przed podjęciem próby ponownego włączenia szyfrowania.
Wyłącz szyfrowanie dysków za pomocą programu Azure PowerShell: aby wyłączyć szyfrowanie, użyj polecenia cmdlet Disable-AzVMDiskEncryption .
Disable-AzVMDiskEncryption -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM" -VolumeType "all"
Wyłącz szyfrowanie przy użyciu interfejsu wiersza polecenia platformy Azure: aby wyłączyć szyfrowanie, użyj polecenia az vm encryption disable .
az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type "all"
Wyłącz szyfrowanie przy użyciu szablonu usługi Resource Manager:
- Kliknij pozycję Wdróż na platformie Azure z szablonu Wyłącz szyfrowanie dysków na uruchomionej maszynie wirtualnej z systemem Windows.
- Wybierz subskrypcję, grupę zasobów, lokalizację, maszynę wirtualną, typ woluminu, postanowienia prawne i umowę.
- Kliknij przycisk Kup , aby wyłączyć szyfrowanie dysków na uruchomionej maszynie wirtualnej z systemem Windows.
Usuwanie rozszerzenia szyfrowania
Jeśli chcesz odszyfrować dyski i usunąć rozszerzenie szyfrowania, musisz wyłączyć szyfrowanie przed usunięciem rozszerzenia. Zobacz Wyłączanie szyfrowania.
Rozszerzenie szyfrowania można usunąć przy użyciu programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.
Wyłącz szyfrowanie dysków za pomocą programu Azure PowerShell: aby usunąć szyfrowanie, użyj polecenia cmdlet Remove-AzVMDiskEncryptionExtension .
Remove-AzVMDiskEncryptionExtension -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM"
Wyłącz szyfrowanie przy użyciu interfejsu wiersza polecenia platformy Azure: aby usunąć szyfrowanie, użyj polecenia az vm extension delete .
az vm extension delete -g "MyVirtualMachineResourceGroup" --vm-name "MySecureVM" -n "AzureDiskEncryption"