快速入門: 使用 PowerShell 在 Azure 中建立和加密 Windows 虛擬機器
適用於:✔️ Windows VM
Azure PowerShell 模組可用來從 PowerShell 命令列或在指令碼中建立和管理 Azure 資源。 本快速入門會示範如何使用 Azure PowerShell 模組建立 Windows 虛擬機器 (VM)、建立用來儲存加密金鑰的金鑰保存庫以及加密 VM。
如尚未擁有 Azure 訂用帳戶,請在開始之前先建立免費帳戶。
建立資源群組
使用 New-AzResourceGroup 來建立 Azure 資源群組。 資源群組是在其中部署與管理 Azure 資源的邏輯容器:
New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"
建立虛擬機器
使用 New-AzVM 來建立 Azure 虛擬機器。 您必須提供認證給 Cmdlet。
$cred = Get-Credential
New-AzVM -Name MyVm -Credential $cred -ResourceGroupName MyResourceGroup -Image win2016datacenter -Size Standard_D2S_V3
可能需要幾分鐘的時間才能部署好 VM。
建立為加密金鑰設定的金鑰保存庫
Azure 磁碟加密會將其加密金鑰儲存在 Azure Key Vault 中。 使用 New-AzKeyvault 建立金鑰保存庫。 若要啟用金鑰保存庫來儲存加密金鑰,請使用 -EnabledForDiskEncryption 參數。
重要
每個金鑰保存庫必須有唯一的名稱。 下列範例會建立名為 myKV 的金鑰保存庫,但您必須為自己的金鑰保存庫命名不同名稱。
New-AzKeyvault -name MyKV -ResourceGroupName myResourceGroup -Location EastUS -EnabledForDiskEncryption
將虛擬機器加密
利用 Set-AzVmDiskEncryptionExtension 將您的 VM 加密。
Set-AzVmDiskEncryptionExtension 需要金鑰保存庫物件的一些值。 您可以將金鑰保存庫的唯一名稱傳遞至 Get-AzKeyvault,以取得這些值。
$KeyVault = Get-AzKeyVault -VaultName MyKV -ResourceGroupName MyResourceGroup
Set-AzVMDiskEncryptionExtension -ResourceGroupName MyResourceGroup -VMName MyVM -DiskEncryptionKeyVaultUrl $KeyVault.VaultUri -DiskEncryptionKeyVaultId $KeyVault.ResourceId
幾分鐘後處理程序會傳回下列輸出:
RequestId IsSuccessStatusCode StatusCode ReasonPhrase
--------- ------------------- ---------- ------------
True OK OK
您可以執行 Get-AzVmDiskEncryptionStatus 以驗證加密程序。
Get-AzVmDiskEncryptionStatus -VMName MyVM -ResourceGroupName MyResourceGroup
啟用加密時,您會在傳回的輸出中看到下列欄位:
OsVolumeEncrypted : Encrypted
DataVolumesEncrypted : NoDiskFound
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage : Provisioning succeeded
清除資源
當不再需要時,您可以使用 Remove-AzResourceGroup 命令來移除資源群組、VM 及所有相關資源:
Remove-AzResourceGroup -Name "myResourceGroup"
下一步
在本快速入門中,您會建立虛擬機器、建立為加密金鑰啟用的金鑰保存庫,並加密 VM。 繼續閱讀下一篇文章,以深入了解 IaaS VM 的 Azure 磁碟加密先決條件。