Windows VM'lerinde Azure Disk Şifrelemesi senaryoları

Önemli

Azure Disk Şifrelemesi 15 Eylül 2028'de kullanımdan kaldırılıyor. Bu tarihe kadar Azure Disk Şifrelemesi'ni kesinti olmadan kullanmaya devam edebilirsiniz. 15 Eylül 2028'de ADE özellikli iş yükleri çalışmaya devam edecek, ancak VM yeniden başlatıldıktan sonra şifrelenmiş disklerin kilidi açılamaz ve hizmet kesintisine neden olur.

Yeni VM'ler için ev sahibi şifrelemesi kullanın veya gizli bilgi işlem yükleri için işletim sistemi disk şifrelemesi ile Gizli VM boyutlarını göz önünde bulundurun. Hizmet kesintisini önlemek için tüm ADE özellikli VM'lerin (yedeklemeler dahil) kullanımdan kaldırma tarihinden önce konakta şifrelemeye geçirilmesi gerekir. Ayrıntılar için bkz. Azure Disk Şifrelemesi'nden konakta şifrelemeye geçiş .

Şunlar için geçerlidir: ✔️ Windows VM'leri ✔️ Esnek ölçek kümeleri

Windows sanal makineleri (VM) için Azure Disk Şifrelemesi, Windows’un BitLocker özelliğini kullanarak işletim sistemi diskini ve veri diskini şifreler. Ayrıca VolumeType parametresi All olduğunda geçici disklerin de şifrelenmesini sağlar.

Azure Disk Şifrelemesi, disk şifreleme anahtarlarını ve gizli dizilerini denetlemenize ve yönetmenize yardımcı olmak için Azure Key Vault ile tümleşiktir. Hizmete genel bakış için bkz. Windows VM’leri için Azure Disk Şifrelemesi.

Önkoşullar

Disk şifrelemesini yalnızca desteklenen VM boyutlarına ve işletim sistemlerine sahip olan sanal makinelere uygulayabilirsiniz. Aşağıdaki önkoşulları da karşılamanız gerekir:

• Ağ gereksinimleri
• Grup İlkesi gereksinimleri
• Şifreleme anahtarı depolama gereksinimleri

Kısıtlamalar

Daha önce bu sanal makineyi şifrelemek için Microsoft Entra ID ile Azure Disk Şifrelemesi’ni kullandıysanız, sanal makinenizi şifrelerken bu seçeneği kullanmaya devam etmeniz gerekir. Ayrıntılar için bkz. Microsoft Entra ID ile Azure Disk Şifrelemesi (önceki sürüm).

Diskler şifrelenmeden önce anlık görüntü almanız ve/veya yedekleme oluşturmanız gerekir. Yedekler, şifreleme sırasında beklenmeyen bir hata olması halinde verileri kurtarma seçeneği sunar. Yönetilen disklere sahip olan sanal makinelerin şifreleme öncesinde yedeklenmesi gerekir. Yedekleme yapıldıktan sonra, -skipVmBackup parametresini belirterek yönetilen diskleri şifrelemek için Set-AzVMDiskEncryptionExtension cmdlet'ini kullanabilirsiniz. Şifrelenmiş sanal makineleri yedekleme ve geri yükleme hakkında daha fazla bilgi için bkz. Şifrelenmiş Azure sanal makinelerini yedekleme ve geri yükleme.

Sanal makinenin şifrelenmesi veya şifrelemenin devre dışı bırakılması, yeniden başlatılmasına neden olabilir.

Azure Disk Şifrelemesi aşağıdaki senaryolar, özellikler ve teknolojilerle çalışmaz:

• Temel katman sanal makinelerini veya klasik sanal makine oluşturma yöntemiyle oluşturulan sanal makinelerin şifrelenmesi.
• V6 serisi VM'leri geçici disklerle şifreleme (Ddsv6, Dldsv6, Edsv6, Dadsv6, Daldsv6, Eadsv6, Dpdsv6, Dpldsv6, Epdsv6 veya Endsv6). Daha fazla bilgi için, Azure'da sanal makineler için boyutlar bölümünde listelenen bu VM boyutlarının her birinin tek tek sayfalarına bakın
• V7 serisini ve daha yeni VM boyutlarını şifreleme.
• Ntfs gerektirme gibi BitLocker'ın tüm gereksinimleri ve kısıtlamaları. Daha fazla bilgi için bkz . BitLocker'a genel bakış.
• Yazılım tabanlı RAID sistemleriyle yapılandırılmış VM'leri şifreleme.
• Depolama Alanları Doğrudan (S2D) ile yapılandırılmış veya Windows Depolama Alanları ile yapılandırılmış 2016 öncesi Windows Server sürümlerindeki VM'leri şifreleme.
• Şirket içi anahtar yönetim sistemiyle tümleştirme.
• Azure Dosyalar (paylaşılan dosya sistemi).
• Ağ Dosya Sistemi (NFS).
• Dinamik hâcimler.
• Her kapsayıcı için dinamik birimler oluşturan Windows Server kapsayıcıları.
• Kısa süreli işletim sistemi diskleri.
• iSCSI diskleri.
• DFS, GFS, DRDB ve CephFS gibi (ancak bunlarla sınırlı olmamak üzere) paylaşılan/dağıtılmış dosya sistemlerinin şifrelenmesini sağlar.
• Şifrelenmiş vm'yi başka bir aboneliğe veya bölgeye taşıma.
• Şifrelenmiş bir sanal makinenin görüntüsünü veya anlık görüntüsünü oluşturmak ve bunu ek sanal makineler dağıtmak için kullanmak.
• 'L' aile depolama alanı için iyileştirilmiş VM boyut serisi.
• Yazma Hızlandırıcısı diskleri olan M serisi VM'ler.
• ADE'yi, diskleri "Konakta Şifreleme" veya "müşteri tarafından yönetilen anahtarlarla sunucu tarafı şifreleme" (SSE + CMK) ile şifrelenmiş olan bir VM'ye uygulama. Bir veri diskine SSE + CMK uygulamak veya ADE ile şifrelenmiş bir VM'ye SSE + CMK yapılandırılmış bir veri diski eklemek de desteklenmeyen bir senaryodur.
• ADE ile şifrelenmiş veya bir zamanlar ADE ile şifrelenmiş bir VM'yi Konakta Şifreleme'ye veya müşteri tarafından yönetilen anahtarlarla sunucu tarafı şifrelemeye geçirme.
• Yük devretme kümelerindeki sanal makinelerin şifrelenmesi.
• Azure Ultra Diskleri şifreleme.
• Premium SSD v2 disklerinin şifresi.
• DENY etkisinin verildiği ilkenin etkin olduğu aboneliklerdeki VM'lerin şifrelemesi.
• Aboneliklerdeki VM'lerin, Key Vault secrets should have an expiration date politikasının DENY etkisi ile etkinleştirildiği durumlarda şifrelenmesi

Araçları yükleme ve Azure'a bağlanma

Azure Disk Şifrelemesi, Azure CLI ve Azure PowerShell aracılığıyla etkinleştirilebilir ve yönetilebilir. Bunu yapmak için araçları yerel olarak yüklemeniz ve Azure aboneliğinize bağlanmanız gerekir.

Azure CLI

Azure CLI 2.0, Azure kaynaklarını yönetmeye yönelik bir komut satırı aracıdır. CLI, verileri esnek bir şekilde sorgulamak, uzun süre çalışan işlemleri engelleyici olmayan süreçler olarak desteklemek ve betik yazımını kolaylaştırmak için tasarlanmıştır. Azure CLI'yi yükleme makalesindeki adımları izleyerek yerel olarak yükleyebilirsiniz.

Azure CLI ile Azure hesabınızda oturum açmak için az login komutunu kullanın.

az login

Altında oturum açmak için bir kiracı seçmek istiyorsanız şunu kullanın:

az login --tenant <tenant>

Birden fazla aboneliğiniz varsa ve belirli bir abonelik belirtmek istiyorsanız, abonelik listenizi az account list ile alın ve az account set ile belirtilen aboneliği tanımlayın.

az account list
az account set --subscription "<subscription name or ID>"

Daha fazla bilgi için bkz . Azure CLI 2.0'ı kullanmaya başlama.

Azure PowerShell

Azure PowerShell az modülü, Azure kaynaklarınızı yönetmek için Azure Resource Manager modelini kullanan bir cmdlet kümesi sağlar. Azure Cloud Shell ile tarayıcınızda kullanabilir veya Azure PowerShell modülünü yükleme yönergelerini kullanarak yerel makinenize yükleyebilirsiniz.

Yerel olarak zaten yüklediyseniz, Azure Disk Şifrelemesi yapılandırmak için Azure PowerShell SDK sürümünün en son sürümünü kullandığınızdan emin olun. Azure PowerShell sürümünün en son sürümünü indirin.

Azure PowerShell ile Azure hesabınızda oturum açmak için Connect-AzAccount cmdlet'ini kullanın.

Connect-AzAccount

Birden çok aboneliğiniz varsa ve bir abonelik belirtmek istiyorsanız, bunları listelemek için Get-AzSubscription cmdlet'ini ve ardından Set-AzContext cmdlet'ini kullanın:

Set-AzContext -Subscription <SubscriptionId>

Get-AzContext cmdlet'ini çalıştırmak doğru aboneliğin seçildiğini doğrular.

Azure Disk Şifrelemesi cmdlet'lerinin yüklendiğini onaylamak için Get-command cmdlet'ini kullanın:

Get-command *diskencryption*

Daha fazla bilgi için bkz . Azure PowerShell'i kullanmaya başlama.

Mevcut veya çalışan bir Windows VM'de şifrelemeyi etkinleştirme

Bu senaryoda, Resource Manager şablonunu, PowerShell cmdlet'lerini veya CLI komutlarını kullanarak şifrelemeyi etkinleştirebilirsiniz. Sanal makine uzantısı için şema bilgilerine ihtiyacınız varsa Windows uzantısı için Azure Disk Şifrelemesi makalesine bakın.

Azure PowerShell ile mevcut veya çalışan VM'lerde şifrelemeyi etkinleştirme

Azure'da çalışan bir IaaS sanal makinesinde şifrelemeyi etkinleştirmek için Set-AzVMDiskEncryptionExtension cmdlet'ini kullanın.

• Çalışan bir VM'yi şifreleme: Aşağıdaki betik, değişkenlerinizi başlatır ve Set-AzVMDiskEncryptionExtension cmdlet'ini çalıştırır. Kaynak grubu, VM ve şifre kasası zaten önkoşul olarak oluşturulmuş olmalıdır. MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM ve MySecureVault değerleriniz ile değiştirin.

   $KVRGname = 'MyKeyVaultResourceGroup';
   $VMRGName = 'MyVirtualMachineResourceGroup';
   $vmName = 'MySecureVM';
   $KeyVaultName = 'MySecureVault';
   $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
   $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
   $KeyVaultResourceId = $KeyVault.ResourceId;
  
   Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId;
  

• KEK kullanarak çalışan bir VM'i şifreleme:

  $KVRGname = 'MyKeyVaultResourceGroup';
  $VMRGName = 'MyVirtualMachineResourceGroup';
  $vmName = 'MyExtraSecureVM';
  $KeyVaultName = 'MySecureVault';
  $keyEncryptionKeyName = 'MyKeyEncryptionKey';
  $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
  $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
  $KeyVaultResourceId = $KeyVault.ResourceId;
  $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
  
  Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId;
  
  

  Not

  Disk-encryption-keyvault parametresinin değerinin söz dizimi tam tanımlayıcı dizesidir: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  Anahtar-şifreleme-anahtar parametresinin değerinin söz dizimi KEK'nin tam URI'sidir; örneğin: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• Disklerin şifrelendiğini doğrulayın: IaaS VM'sinin şifreleme durumunu denetlemek için Get-AzVmDiskEncryptionStatus cmdlet'ini kullanın.

  Get-AzVmDiskEncryptionStatus -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
  

Şifrelemeyi devre dışı bırakmak için bkz . Şifrelemeyi devre dışı bırakma ve şifreleme uzantısını kaldırma.

Azure CLI ile mevcut veya çalışan VM'lerde şifrelemeyi etkinleştirme

Azure'da çalışan bir IaaS sanal makinesinde şifrelemeyi etkinleştirmek için az vm encryption enable komutunu kullanın.

• Çalışan vm'leri şifreleme:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type [All|OS|Data]
  

• KEK kullanarak çalışan bir VM'i şifreleme:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type [All|OS|Data]
  

  Not

  Disk-encryption-keyvault parametresinin değerinin söz dizimi tam tanımlayıcı dizesidir: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  Anahtar-şifreleme-anahtar parametresinin değerinin söz dizimi, KEK'nin tam URI'sidir; örneğin: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• Disklerin şifrelendiğini doğrulayın: IaaS VM'sinin şifreleme durumunu denetlemek için az vm encryption show komutunu kullanın.

  az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"
  

Şifrelemeyi devre dışı bırakmak için bkz . Şifrelemeyi devre dışı bırakma ve şifreleme uzantısını kaldırma.

Resource Manager şablonunu kullanma

Çalışan bir Windows VM'sini şifrelemek için Resource Manager şablonunu kullanarak Azure'daki mevcut veya çalışan IaaS Windows VM'lerinde disk şifrelemeyi etkinleştirebilirsiniz.

1. Azure hızlı başlangıç şablonunda Azure'a Dağıt seçeneğine tıklayın.

2. Aboneliği, kaynak grubunu, konumu, ayarları, yasal koşulları ve sözleşmeyi seçin. Mevcut veya çalışan IaaS VM'sinde şifrelemeyi etkinleştirmek için Satın Al'a tıklayın.

Aşağıdaki tabloda, mevcut veya çalışan VM'ler için Resource Manager şablon parametreleri listelenmiştir:

Parametre	Açıklama
vmName	Şifreleme işlemini çalıştıracak VM'nin adı.
keyVaultName	BitLocker anahtarının yüklenmesi gereken anahtar kasasının adı. Cmdlet (Get-AzKeyVault -ResourceGroupName <MyKeyVaultResourceGroupName>). Vaultname veya Azure CLI komutu az keyvault list --resource-group "MyKeyVaultResourceGroup" kullanarak edinebilirsiniz.
keyVaultResourceGroup	Anahtar kasasını içeren kaynak grubunun adı
keyEncryptionKeyURL	Anahtar şifreleme anahtarının URL'si, https://< keyvault-name.vault.azure.net/key/>< key-name> biçimindedir. KEK kullanmak istemiyorsanız, bu alanı boş bırakın.
hacim türü	Şifreleme işleminin gerçekleştirdiği birimin türü. Geçerli değerler İşletim Sistemi, Veri ve Tümü'dür.
forceUpdateTag	İşlemin zorlanarak çalıştırılması gerektiğinde her seferinde GUID gibi benzersiz bir değer geçirin.
İşletim Sistemi Diski Yeniden Boyutlandırma	İşletim sistemi bölümü, sistem bölümü bölünmeden önce, tam işletim sistemi VHD'sini kaplayacak şekilde yeniden boyutlandırılmalı mıdır?
konum	Tüm kaynakların konumu.

Müşteri tarafından şifrelenmiş VHD ve şifreleme anahtarlarından oluşturulan yeni IaaS VM'leri

Bu senaryoda, PowerShell cmdlet'lerini veya CLI komutlarını kullanarak önceden şifrelenmiş bir VHD'den ve ilişkili şifreleme anahtarlarından yeni bir VM oluşturabilirsiniz.

Önceden şifrelenmiş bir Windows VHD hazırlama başlığındaki yönergeleri kullanın. Görüntü oluşturulduktan sonra, bir sonraki bölümdeki adımları kullanarak şifrelenmiş bir Azure VM oluşturabilirsiniz.

Azure PowerShell ile önceden şifrelenmiş VHD'lerle VM'leri şifreleme

Set-AzVMOSDisk PowerShell cmdlet'ini kullanarak şifrelenmiş VHD'nizde disk şifrelemesini etkinleştirebilirsiniz. Aşağıdaki örnekte bazı yaygın parametreler verilmiştir.

$VirtualMachine = New-AzVMConfig -VMName "MySecureVM" -VMSize "Standard_A1"
$VirtualMachine = Set-AzVMOSDisk -VM $VirtualMachine -Name "SecureOSDisk" -VhdUri "os.vhd" Caching ReadWrite -Windows -CreateOption "Attach" -DiskEncryptionKeyUrl "https://mytestvault.vault.azure.net/secrets/Test1/514ceb769c984379a7e0230bddaaaaaa" -DiskEncryptionKeyVaultId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myKVresourcegroup/providers/Microsoft.KeyVault/vaults/mytestvault"
New-AzVM -VM $VirtualMachine -ResourceGroupName "MyVirtualMachineResourceGroup"

Yeni eklenen veri diskinde şifrelemeyi etkinleştirme

PowerShell'i kullanarak veya Azure portalı aracılığıyla Windows VM'sine yeni bir disk ekleyebilirsiniz.

Not

Yeni eklenen veri diski şifrelemesi yalnızca PowerShell veya CLI aracılığıyla etkinleştirilmelidir. Şu anda Azure portalı yeni disklerde şifrelemeyi etkinleştirmeyi desteklememektedir.

Azure PowerShell ile yeni eklenen diskte şifrelemeyi etkinleştirme

Windows VM'leri için yeni bir diski şifrelemek için PowerShell kullanırken yeni bir sıra sürümü belirtilmelidir. Sıralı sürümün benzersiz olması gerekir. Aşağıdaki betik, dizi sürümü için bir GUID oluşturur. Bazı durumlarda, yeni eklenen bir veri diski Azure Disk Şifrelemesi uzantısı tarafından otomatik olarak şifrelenebilir. Otomatik şifreleme genellikle yeni disk çevrimiçi olduktan sonra VM yeniden başlatıldığında gerçekleşir. Bunun nedeni genellikle daha önce VM'de disk şifrelemesi çalıştırıldığında birim türü için "Tümü" belirtilmiş olmasıdır. Yeni eklenen bir veri diskinde otomatik şifreleme gerçekleşirse Set-AzVmDiskEncryptionExtension cmdlet'ini yeni sıralı sürümle yeniden çalıştırmanızı öneririz. Yeni veri diskiniz otomatik olarak şifreleniyorsa ve şifrelenmek istemiyorsanız, önce tüm sürücülerin şifresini çözerek birim türü için işletim sistemini belirten yeni bir sıralı sürümle yeniden şifreleyin.

• Çalışan bir VM'yi şifreleme: Aşağıdaki betik, değişkenlerinizi başlatır ve Set-AzVMDiskEncryptionExtension cmdlet'ini çalıştırır. Kaynak grubu, VM ve şifre kasası zaten önkoşul olarak oluşturulmuş olmalıdır. MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM ve MySecureVault değerleriniz ile değiştirin. Bu örnekte, işletim sistemi ve Veri birimlerini içeren -VolumeType parametresi için "Tümü" kullanılır. Yalnızca işletim sistemi birimini şifrelemek istiyorsanız - VolumeType parametresi için "OS" kullanın.

   $KVRGname = 'MyKeyVaultResourceGroup';
   $VMRGName = 'MyVirtualMachineResourceGroup';
   $vmName = 'MySecureVM';
   $KeyVaultName = 'MySecureVault';
   $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
   $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
   $KeyVaultResourceId = $KeyVault.ResourceId;
   $sequenceVersion = [Guid]::NewGuid();
  
   Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
  

• KEK kullanarak çalışan bir VM'yi şifreleme: Bu örnekte hem işletim sistemi hem de Veri birimlerini içeren -VolumeType parametresi için "Tümü" kullanılır. Yalnızca işletim sistemi birimini şifrelemek istiyorsanız - VolumeType parametresi için "OS" kullanın.

  $KVRGname = 'MyKeyVaultResourceGroup';
  $VMRGName = 'MyVirtualMachineResourceGroup';
  $vmName = 'MyExtraSecureVM';
  $KeyVaultName = 'MySecureVault';
  $keyEncryptionKeyName = 'MyKeyEncryptionKey';
  $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
  $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
  $KeyVaultResourceId = $KeyVault.ResourceId;
  $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
  $sequenceVersion = [Guid]::NewGuid();
  
  Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
  
  

  Not

  Disk-encryption-keyvault parametresinin değerinin söz dizimi tam tanımlayıcı dizesidir: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
  Anahtar-şifreleme-anahtar parametresinin değerinin söz dizimi KEK'nin tam URI'sidir; örneğin: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

Azure CLI ile yeni eklenen diskte şifrelemeyi etkinleştirme

Şifrelemeyi etkinleştirmek için komutunu çalıştırdığınızda Azure CLI komutu sizin için otomatik olarak yeni bir sıralı sürüm sağlar. Örnek, birim türü parametresi için "Tümü" kullanır. Yalnızca işletim sistemi diskini şifrelerseniz birim türü parametresini işletim sistemi olarak değiştirmeniz gerekebilir. PowerShell söz diziminin aksine, CLI şifrelemeyi etkinleştirirken kullanıcının benzersiz bir dizi sürümü sağlamasını gerektirmez. CLI otomatik olarak kendi benzersiz sıra sürümü değerini oluşturur ve kullanır.

• Çalışan vm'leri şifreleme:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type "All"
  

• KEK kullanarak çalışan bir VM'i şifreleme:

  az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type "All"
  

Şifrelemeyi devre dışı bırakma ve şifreleme uzantısını kaldırma

Azure disk şifreleme uzantısını devre dışı bırakabilir ve Azure disk şifreleme uzantısını kaldırabilirsiniz. Bunlar iki ayrı işlemdir.

ADE'yi kaldırmak için önce şifrelemeyi devre dışı bırakmanız ve ardından uzantıyı kaldırmanız önerilir. Şifreleme uzantısını devre dışı bırakmadan kaldırırsanız diskler yine de şifrelenir. Uzantıyı kaldırdıktan sonra şifrelemeyi devre dışı bırakırsanız uzantı yeniden yüklenir (şifre çözme işlemini gerçekleştirmek için) ve ikinci kez kaldırılması gerekir.

Şifrelemeyi devre dışı bırakma

Şifrelemeyi Azure PowerShell, Azure CLI veya Resource Manager şablonuyla devre dışı bırakabilirsiniz. Şifrelemeyi devre dışı bırakmak uzantıyı kaldırmaz (bkz. Şifreleme uzantısını kaldırma).

Uyarı

Hem işletim sistemi hem de veri diskleri şifrelendiğinde veri diski şifrelemesinin devre dışı bırakılması beklenmeyen sonuçlara neden olabilir. Bunun yerine tüm disklerde şifrelemeyi devre dışı bırakın.

Şifrelemeyi devre dışı bırakmak, disklerin şifresini çözmek için BitLocker'ın arka plan işlemini başlatır. Şifrelemeyi yeniden etkinleştirmeye çalışmadan önce bu işlemin tamamlanması için yeterli süre verilmelidir.

• Azure PowerShell ile disk şifrelemesini devre dışı bırakma: Şifrelemeyi devre dışı bırakmak için Disable-AzVMDiskEncryption cmdlet'ini kullanın.

  Disable-AzVMDiskEncryption -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM" -VolumeType "all"
  

• Azure CLI ile şifrelemeyi devre dışı bırakma: Şifrelemeyi devre dışı bırakmak için az vm encryption disable komutunu kullanın.

  az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type "all"
  

• Resource Manager şablonuyla şifrelemeyi devre dışı bırakma:

  1. Çalışan Windows VM'sinde disk şifrelemesini devre dışı bırak şablonundan Azure'a Dağıt'a tıklayın.
  2. Aboneliği, kaynak grubunu, konumu, VM'yi, birim türünü, yasal koşulları ve sözleşmeyi seçin.
  3. Çalışan bir Windows VM'de disk şifrelemesini devre dışı bırakmak için Satın Al'a tıklayın.

Şifreleme uzantısını kaldırma

Disklerinizin şifresini çözmek ve şifreleme uzantısını kaldırmak istiyorsanız, uzantıyı kaldırmadan önce şifrelemeyi devre dışı bırakmanız gerekir; bkz. Şifrelemeyi devre dışı bırakma.

Şifreleme uzantısını Azure PowerShell veya Azure CLI kullanarak kaldırabilirsiniz.

• Azure PowerShell ile disk şifrelemesini devre dışı bırakma: Şifrelemeyi kaldırmak için Remove-AzVMDiskEncryptionExtension cmdlet'ini kullanın.

  Remove-AzVMDiskEncryptionExtension -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM"
  

• Azure CLI ile şifrelemeyi devre dışı bırakın: Şifrelemeyi kaldırmak için az vm extension delete komutunu kullanın.

  az vm extension delete -g "MyVirtualMachineResourceGroup" --vm-name "MySecureVM" -n "AzureDiskEncryption"
  

Sonraki adımlar

• Azure Disk Şifrelemesi genel bakış
• Azure Disk Şifrelemesi örnek betikleri
• Azure Disk Şifrelemesi sorunlarını giderme