Crittografare i dischi di una VM Linux usando l'interfaccia della riga di comando di Azure 1.0Encrypt disks on a Linux VM using the Azure CLI 1.0

Per migliorare gli aspetti di sicurezza e conformità delle macchine virtuali (VM), i dischi virtuali in Azure possono essere crittografati a riposo.For enhanced virtual machine (VM) security and compliance, virtual disks in Azure can be encrypted at rest. I dischi vengono crittografati usando chiavi di crittografia protette in un insieme di credenziali delle chiavi di Azure.Disks are encrypted using cryptographic keys that are secured in an Azure Key Vault. È possibile controllare queste chiavi di crittografia e il loro uso.You control these cryptographic keys and can audit their use. In questo articolo viene spiegato come crittografare i dischi virtuali di una VM Linux tramite l'interfaccia della riga di comando di Azure 1.0 e il modello di distribuzione di Resource Manager.This article details how to encrypt virtual disks on a Linux VM using the Azure CLI 1.0 and the Resource Manager deployment model.

Versioni dell'interfaccia della riga di comando per completare l'attivitàCLI versions to complete the task

È possibile completare l'attività usando una delle versioni seguenti dell'interfaccia della riga di comando:You can complete the task using one of the following CLI versions:

Comandi rapidiQuick commands

Se si necessita di eseguire rapidamente l'attività, nella sezione seguente sono illustrati i comandi di base per crittografare i dischi rigidi della VM.If you need to quickly accomplish the task, the following section details the base commands to encrypt virtual disks on your VM. Altre informazioni dettagliate e il contesto per ogni passaggio sono disponibili nelle sezioni successive del documento, a partire da qui.More detailed information and context for each step can be found the rest of the document, starting here.

È necessario installare e registrare l'interfaccia della riga di comando Azure 1.0 più recente usando la modalità di Resource Manager nel modo seguente:You need the latest Azure CLI 1.0 installed and logged in using the Resource Manager mode as follows:

azure config mode arm

Nell'esempio seguente sostituire i nomi dei parametri di esempio con i valori desiderati.In the following examples, replace example parameter names with your own values. Alcuni esempi di nomi dei parametri sono myResourceGroup, myKeyVault e myVM.Example parameter names include myResourceGroup, myKeyVault, and myVM.

Per prima cosa, abilitare il provider dell'insieme di credenziali delle chiavi di Azure nella sottoscrizione di Azure e creare un gruppo di risorse.First, enable the Azure Key Vault provider within your Azure subscription and create a resource group. Nell'esempio seguente viene creato un gruppo di risorse denominato myResourceGroup nella posizione WestUS:The following example creates a resource group name myResourceGroup in the WestUS location:

azure provider register Microsoft.KeyVault
azure group create myResourceGroup --location WestUS

Creare un insieme di credenziali delle chiavi di Azure.Create an Azure Key Vault. Nell'esempio seguente viene creato un insieme di credenziali delle chiavi denominato myKeyVault:The following example creates a Key Vault named myKeyVault:

azure keyvault create --vault-name myKeyVault --resource-group myResourceGroup \
  --location WestUS

Creare una chiave di crittografia nell'insieme di credenziali delle chiavi e abilitarlo per la crittografia del disco.Create a cryptographic key in your Key Vault and enable it for disk encryption. Nell'esempio seguente viene creata una chiave denominata myKey:The following example creates a key named myKey:

azure keyvault key create --vault-name myKeyVault --key-name myKey \
  --destination software
azure keyvault set-policy --vault-name myKeyVault --resource-group myResourceGroup \
  --enabled-for-disk-encryption true

Creare un endpoint tramite Azure Active Directory per gestire l'autenticazione e lo scambio di chiavi di crittografia dall'insieme di credenziali delle chiavi.Create an endpoint using Azure Active Directory for handling the authentication and exchanging of cryptographic keys from Key Vault. --home-page e --identifier-uris non devono necessariamente essere indirizzi instradabili effettivi.The --home-page and --identifier-uris do not need to be actual routable address. Per la massima sicurezza, è preferibile usare i segreti client, anziché le password.For the highest level of security, client secrets should be used instead of passwords. Tuttavia, al momento i segreti client non possono essere generati tramite l'interfaccia della riga di comando di Azure,The Azure CLI cannot currently generate client secrets. ma solo nel portale di Azure.Client secrets can only be generated in the Azure portal. Nell'esempio seguente viene creato un endpoint di Azure Active Directory denominato myAADApp con la password myPassword.The following example creates an Azure Active Directory endpoint named myAADApp and uses a password of myPassword. Specificare una password personalizzata come di seguito:Specify your own password as follows:

azure ad app create --name myAADApp \
  --home-page http://testencrypt.contoso.com \
  --identifier-uris http://testencrypt.contoso.com \
  --password myPassword

Si noti il valore applicationId indicato nell'output dal comando precedente.Note the applicationId shown in the output from the preceding command. Questo ID applicazione è usato nei passaggi seguenti:This application ID is used in the following steps:

azure ad sp create --applicationId myApplicationID
azure keyvault set-policy --vault-name myKeyVault --spn myApplicationID \
  --perms-to-keys [\"all\"] --perms-to-secrets [\"all\"]

Aggiungere un disco dati a una VM esistente.Add a data disk to an existing VM. Nell'esempio seguente viene aggiunto un disco dati a una VM denominata myVM:The following example adds a data disk to a VM named myVM:

azure vm disk attach-new --resource-group myResourceGroup --vm-name myVM \
  --size-in-gb 5

Esaminare i dettagli dell'insieme di credenziali delle chiavi e della chiave creata.Review the details for your Key Vault and the key you created. Nel passaggio finale sono necessari l'ID dell'insieme di credenziali delle chiavi, l'URI e l'URL chiave.You need the Key Vault ID, URI, and key URL in the final step. Nell'esempio seguente vengono esaminati i dettagli di un insieme di credenziali delle chiavi denominato myKeyVault e della chiave denominata myKey:The following example reviews the details for a Key Vault named myKeyVault and key named myKey:

azure keyvault show myKeyVault
azure keyvault key show myKeyVault myKey

Crittografare i dischi come di seguito, immettendo i propri nomi di parametro:Encrypt your disks as follows, entering your own parameter names throughout:

azure vm enable-disk-encryption --resource-group myResourceGroup --name myVM \
  --aad-client-id myApplicationID --aad-client-secret myApplicationPassword \
  --disk-encryption-key-vault-url myKeyVaultVaultURI \
  --disk-encryption-key-vault-id myKeyVaultID \
  --key-encryption-key-url myKeyKID \
  --key-encryption-key-vault-id myKeyVaultID \
  --volume-type Data

L'interfaccia della riga di comando di Azure non fornisce gli errori dettagliati durante il processo di crittografia.The Azure CLI doesn't provide verbose errors during the encryption process. Per ulteriori informazioni sulla risoluzione dei problemi, vedere /var/log/azure/Microsoft.OSTCExtensions.AzureDiskEncryptionForLinux/0.x.x.x/extension.log.For additional troubleshooting information, review /var/log/azure/Microsoft.OSTCExtensions.AzureDiskEncryptionForLinux/0.x.x.x/extension.log. Dal momento che il comando precedente dispone di molte variabili e potrebbero non essere fornite molte indicazioni sul perché il processo non riesce, un esempio di comando completo potrebbe essere il seguente:As the preceding command has many variables and you may not get much indication as to why the process fails, a complete command example would be as follows:

azure vm enable-disk-encryption --resource-group myResourceGroup --name myVM \
  --aad-client-id 147bc426-595d-4bad-b267-58a7cbd8e0b6 \
  --aad-client-secret P@ssw0rd! \
  --disk-encryption-key-vault-url https://myKeyVault.vault.azure.net/ \
  --disk-encryption-key-vault-id /subscriptions/guid/resourceGroups/myResourceGroup/providers/Microsoft.KeyVault/vaults/myKeyVault \
  --key-encryption-key-url https://myKeyVault.vault.azure.net/keys/myKey/6f5fe9383f4e42d0a41553ebc6a82dd1 \
  --key-encryption-key-vault-id /subscriptions/guid/resourceGroups/myResoureGroup/providers/Microsoft.KeyVault/vaults/myKeyVault \
  --volume-type Data

Riesaminare infine lo stato della crittografia per controllare che ora i dischi virtuali siano crittografati.Finally, review the encryption status again to confirm that your virtual disks have now been encrypted. Nell'esempio seguente viene controllato lo stato di una VM denominata myVM nel gruppo di risorse myResourceGroup:The following example checks the status of a VM named myVM in the myResourceGroup resource group:

azure vm show-disk-encryption-status --resource-group myResourceGroup --name myVM

Panoramica della crittografia dei dischiOverview of disk encryption

I dischi virtuali delle VM Linux vengono crittografati a riposo mediante dm-crypt.Virtual disks on Linux VMs are encrypted at rest using dm-crypt. Non è previsto alcun addebito per la crittografia dei dischi virtuali in Azure.There is no charge for encrypting virtual disks in Azure. Le chiavi di crittografia vengono archiviate nell'insieme di credenziali delle chiavi di Azure che usano la protezione del software oppure è possibile importare o generare le chiavi in moduli di protezione hardware certificati per gli standard FIPS 140-2 di livello 2.Cryptographic keys are stored in Azure Key Vault using software-protection, or you can import or generate your keys in Hardware Security Modules (HSMs) certified to FIPS 140-2 level 2 standards. È possibile esercitare il controllo su queste chiavi di crittografia e sul loro uso.You retain control of these cryptographic keys and can audit their use. Queste chiavi di crittografia vengono usate per crittografare e decrittografare i dischi virtuali collegati alla VM.These cryptographic keys are used to encrypt and decrypt virtual disks attached to your VM. Un endpoint di Azure Active Directory fornisce un meccanismo protetto per il rilascio di queste chiavi di crittografia all'accensione e allo spegnimento delle VM.An Azure Active Directory endpoint provides a secure mechanism for issuing these cryptographic keys as VMs are powered on and off.

Il processo per la crittografia di una VM si articola nel modo seguente:The process for encrypting a VM is as follows:

  1. Creare una chiave di crittografia in un insieme di credenziali delle chiavi di Azure.Create a cryptographic key in an Azure Key Vault.
  2. Configurare la chiave di crittografia in modo da renderla utilizzabile per la crittografia dei dischi.Configure the cryptographic key to be usable for encrypting disks.
  3. Per leggere la chiave di crittografia dall'insieme di credenziali delle chiavi di Azure, creare un endpoint che usa Azure Active Directory con le autorizzazioni appropriate.To read the cryptographic key from the Azure Key Vault, create an endpoint using Azure Active Directory with the appropriate permissions.
  4. Eseguire il comando per crittografare i dischi virtuali, specificando l'endpoint di Azure Active Directory e la chiave di crittografia appropriata da usare.Issue the command to encrypt your virtual disks, specifying the Azure Active Directory endpoint and appropriate cryptographic key to be used.
  5. L'endpoint di Azure Active Directory richiede la chiave di crittografia necessaria dall'insieme di credenziali delle chiavi di Azure.The Azure Active Directory endpoint requests the required cryptographic key from Azure Key Vault.
  6. I dischi virtuali vengono crittografati tramite la chiave di crittografia fornita.The virtual disks are encrypted using the provided cryptographic key.

Servizi di supporto e processo di crittografiaSupporting services and encryption process

La crittografia del disco si basa sui componenti aggiuntivi seguenti:Disk encryption relies on the following additional components:

  • Insieme di credenziali delle chiavi di Azure, che consente di proteggere le chiavi crittografiche e private usate per il processo di crittografia/decrittografia dei dischi.Azure Key Vault - used to safeguard cryptographic keys and secrets used for the disk encryption/decryption process.
    • Se disponibile, è possibile usare un insieme di credenziali delle chiavi di Azure esistente.If one exists, you can use an existing Azure Key Vault. Non è necessario dedicare un insieme di credenziali delle chiavi alla crittografia dei dischi.You do not have to dedicate a Key Vault to encrypting disks.
    • Per separare i limiti amministrativi e la visibilità delle chiavi, è possibile creare un insieme di credenziali delle chiavi dedicato.To separate administrative boundaries and key visibility, you can create a dedicated Key Vault.
  • Azure Active Directory gestisce lo scambio protetto delle chiavi di crittografia necessarie e dell'autenticazione per le azioni richieste.Azure Active Directory - handles the secure exchanging of required cryptographic keys and authentication for requested actions.
    • In genere, è possibile inserire l'applicazione in un'istanza esistente di Azure Active Directory.You can typically use an existing Azure Active Directory instance for housing your application.
    • L'applicazione è sostanzialmente un endpoint tramite cui i servizi delle macchine virtuali e dell'insieme di credenziali delle chiavi possono richiedere e far emettere le chiavi di crittografia appropriate.The application is more of an endpoint for the Key Vault and Virtual Machine services to request and get issued the appropriate cryptographic keys. Non si sta procedendo a sviluppare un'applicazione reale integrata con Azure Active Directory.You are not developing an actual application that integrates with Azure Active Directory.

Requisiti e limitazioniRequirements and limitations

Requisiti relativi alla crittografia dei dischi e scenari supportati:Supported scenarios and requirements for disk encryption:

  • I seguenti SKU dei server Linux: Ubuntu, CentOS, SUSE e SUSE Linux Enterprise Server (SLES) e Red Hat Enterprise Linux.The following Linux server SKUs - Ubuntu, CentOS, SUSE and SUSE Linux Enterprise Server (SLES), and Red Hat Enterprise Linux.
  • Tutte le risorse, come l'insieme di credenziali delle chiavi, l'account di archiviazione e la VM, devono risiedere nella stessa area e nella stessa sottoscrizione di Azure.All resources (such as Key Vault, Storage account, and VM) must be in the same Azure region and subscription.
  • VM standard delle serie A, D, DS, G e GS.Standard A, D, DS, G, and GS series VMs.

La crittografia del disco non è attualmente supportata negli scenari seguenti:Disk encryption is not currently supported in the following scenarios:

  • VM di base.Basic tier VMs.
  • VM create con il modello di distribuzione classica.VMs created using the Classic deployment model.
  • Disabilitare la crittografia del disco del sistema operativo nelle VM Linux.Disabling OS disk encryption on Linux VMs.
  • Aggiornare le chiavi di crittografia in una VM Linux già crittografata.Updating the cryptographic keys on an already encrypted Linux VM.

Creare le chiavi e l'insieme di credenziali delle chiavi di AzureCreate the Azure Key Vault and keys

Per completare il resto della presente guida, è necessario installare e registrare l'ultima versione dell'interfaccia della riga di comando di Azure 1.0 usando la modalità di Resource Manager nel modo seguente:To complete the remainder of this guide, you need the latest Azure CLI 1.0 installed and logged in using the Resource Manager mode as follows:

azure config mode arm

Negli esempi di comandi sostituire tutti i parametri di esempio con i propri valori di nome, percorso e chiave.Throughout the command examples, replace all example parameters with your own names, location, and key values. Negli esempi viene usata una convenzione di myResourceGroup, myKeyVault, myAADApp e così via.The following examples use a convention of myResourceGroup, myKeyVault, myAADApp, etc.

Il primo passaggio consiste nel creare un insieme di credenziali delle chiavi di Azure in cui archiviare le chiavi di crittografia.The first step is to create an Azure Key Vault to store your cryptographic keys. L'insieme di credenziali delle chiavi di Azure consente di archiviare chiavi, chiavi private o password da implementare in tutta sicurezza in applicazioni e servizi.Azure Key Vault can store keys, secrets, or passwords that allow you to securely implement them in your applications and services. Per la crittografia del disco virtuale, usare l'insieme di credenziali delle chiavi per archiviare una chiave di crittografia usata per crittografare o decrittografare i dischi virtuali.For virtual disk encryption, you use Key Vault to store a cryptographic key that is used to encrypt or decrypt your virtual disks.

Abilitare il provider dell'insieme di credenziali delle chiavi di Azure nella sottoscrizione di Azure, quindi creare un gruppo di risorse.Enable the Azure Key Vault provider in your Azure subscription, then create a resource group. Nell'esempio seguente viene creato un gruppo di risorse denominato myResourceGroup nella località WestUS:The following example creates a resource group named myResourceGroup in the WestUS location:

azure provider register Microsoft.KeyVault
azure group create myResourceGroup --location WestUS

L'insieme di credenziali delle chiavi di Azure contenente le chiavi di crittografia e le risorse di calcolo associate, come l'archiviazione e la VM stessa, devono risiedere nella stessa area.The Azure Key Vault containing the cryptographic keys and associated compute resources such as storage and the VM itself must reside in the same region. Nell'esempio seguente viene creato un insieme di credenziali delle chiavi di Azure denominato myKeyVault:The following example creates an Azure Key Vault named myKeyVault:

azure keyvault create --vault-name myKeyVault --resource-group myResourceGroup \
  --location WestUS

È possibile archiviare le chiavi di crittografia usando il software o il modulo di protezione hardware.You can store cryptographic keys using software or Hardware Security Model (HSM) protection. L'uso di un modulo di protezione hardware richiede un insieme di credenziali delle chiavi premium.Using an HSM requires a premium Key Vault. Esiste un costo aggiuntivo per creare un insieme di credenziali delle chiavi premium, anziché standard, in cui archiviare le chiavi protette tramite software.There is an additional cost to creating a premium Key Vault rather than standard Key Vault that stores software-protected keys. Per creare un insieme di credenziali delle chiavi premium, aggiungere --sku Premium al comando del passaggio precedente.To create a premium Key Vault, in the preceding step add --sku Premium to the command. L'esempio seguente usa chiavi protette tramite software, poiché viene creato un insieme di credenziali delle chiavi standard.The following example uses software-protected keys since we created a standard Key Vault.

Per entrambi i modelli di protezione, è necessario consentire alla piattaforma Azure di accedere all'avvio della VM per richiedere le chiavi di crittografia con cui decrittografare i dischi virtuali.For both protection models, the Azure platform needs to be granted access to request the cryptographic keys when the VM boots to decrypt the virtual disks. Creare una chiave di crittografia all'interno dell'insieme di credenziali delle chiavi, quindi abilitarne l'uso con la crittografia del disco virtuale.Create an encryption key within your Key Vault, then enable it for use with virtual disk encryption. Nell'esempio seguente viene creata una chiave denominata myKey, successivamente abilitata per la crittografia del disco:The following example creates a key named myKey and then enables it for disk encryption:

azure keyvault key create --vault-name myKeyVault --key-name myKey \
  --destination software
azure keyvault set-policy --vault-name myKeyVault --resource-group myResourceGroup \
  --enabled-for-disk-encryption true

Creare l'applicazione di Azure Active DirectoryCreate the Azure Active Directory application

Al momento di crittografare o decrittografare i dischi virtuali, un endpoint gestisce l'autenticazione e lo scambio delle chiavi di crittografia dall'insieme di credenziali delle chiavi.When virtual disks are encrypted or decrypted, you use an endpoint to handle the authentication and exchanging of cryptographic keys from Key Vault. Questo endpoint, un'applicazione di Azure Active Directory, consente alla piattaforma Azure di richiedere le chiavi di crittografia appropriate per conto della VM.This endpoint, an Azure Active Directory application, allows the Azure platform to request the appropriate cryptographic keys on behalf of the VM. Un'istanza di Azure Active Directory predefinita è già disponibile nella sottoscrizione, anche se molte organizzazioni hanno directory di Azure Active Directory dedicate.A default Azure Active Directory instance is available in your subscription, though many organizations have dedicated Azure Active Directory directories.

Poiché non si intende creare un'applicazione di Azure Active Directory completa, nell'esempio seguente i parametri --home-page e --identifier-uris non devono necessariamente essere indirizzi instradabili effettivi.As you are not creating a full Azure Active Directory application, the --home-page and --identifier-uris parameters in the following example do not need to be actual routable address. Nell'esempio seguente viene inoltre specificata una chiave privata basata su password, anziché generare chiavi dal portale di Azure.The following example also specifies a password-based secret rather than generating keys from within the Azure portal. Attualmente non è possibile generare chiavi dall'interfaccia della riga di comando di Azure.As this time, generating keys cannot be done from the Azure CLI.

Creare l'applicazione di Azure Active Directory.Create your Azure Active Directory application. Nell'esempio seguente viene creata un'applicazione denominata myAADApp che usa la password myPassword.The following example creates an application named myAADApp and uses a password of myPassword. Specificare una password personalizzata come di seguito:Specify your own password as follows:

azure ad app create --name myAADApp \
  --home-page http://testencrypt.contoso.com \
  --identifier-uris http://testencrypt.contoso.com \
  --password myPassword

Prendere nota del valore applicationId restituito nell'output del comando precedente.Make a note of the applicationId that is returned in the output from the preceding command. L'ID applicazione verrà usato in alcuni dei passaggi rimanenti.This application ID is used in some of the remaining steps. Creare quindi un nome dell'entità servizio per rendere accessibile l'applicazione all'interno dell'ambiente.Next, create a service principal name (SPN) so that the application is accessible within your environment. Per crittografare o decrittografare correttamente i dischi virtuali, le autorizzazioni per la chiave di crittografia archiviata nell'insieme di credenziali delle chiavi devono essere impostate in modo tale da consentire all'applicazione di Azure Active Directory di leggere le chiavi.To successfully encrypt or decrypt virtual disks, permissions on the cryptographic key stored in Key Vault must be set to permit the Azure Active Directory application to read the keys.

Creare il nome dell'entità servizio e impostare le autorizzazioni appropriate, come di seguito:Create the SPN and set the appropriate permissions as follows:

azure ad sp create --applicationId myApplicationID
azure keyvault set-policy --vault-name myKeyVault --spn myApplicationID \
  --perms-to-keys [\"all\"] --perms-to-secrets [\"all\"]

Aggiungere un disco virtuale ed esaminare lo stato di crittografiaAdd a virtual disk and review encryption status

Per crittografare alcuni dischi virtuali, è possibile aggiungere un disco a una VM esistente.To actually encrypt some virtual disks, lets add a disk to an existing VM. Aggiungere un disco dati da 5 GB a una VM esistente come di seguito:Add a 5Gb data disk to an existing VM as follows:

azure vm disk attach-new --resource-group myResourceGroup --vm-name myVM \
  --size-in-gb 5

I dischi virtuali non sono attualmente crittografati.The virtual disks are not currently encrypted. Controllare l'attuale stato di crittografia della VM come di seguito:Review the current encryption status of your VM as follows:

azure vm show-disk-encryption-status --resource-group myResourceGroup --name myVM

Crittografare i dischi virtualiEncrypt virtual disks

A questo punto, per crittografare i dischi virtuali, vengono riuniti tutti i componenti precedenti:To now encrypt the virtual disks, you bring together all the previous components:

  1. Specificare l'applicazione di Azure Active Directory e la relativa password.Specify the Azure Active Directory application and password.
  2. Specificare l'insieme di credenziali delle chiavi in cui memorizzare i metadati dei dischi crittografati.Specify the Key Vault to store the metadata for your encrypted disks.
  3. Specificare le chiavi di crittografia da usare per la crittografia e la decrittografia effettive.Specify the cryptographic keys to use for the actual encryption and decryption.
  4. Specificare se si desidera crittografare il disco del sistema operativo, i dischi dati o tutti i dischi.Specify whether you want to encrypt the OS disk, the data disks, or all.

Controllare i dettagli dell'insieme di credenziali delle chiavi di Azure e la chiave creata, in quanto nel passaggio finale sono necessari l'ID dell'insieme di credenziali delle chiavi, l'URI e l'URL della chiave:Lets review the details for your Azure Key Vault and the key you created, as you need the Key Vault ID, URI, and then key URL in the final step:

azure keyvault show myKeyVault
azure keyvault key show myKeyVault myKey

Crittografare il disco virtuale usando l'output dei comandi azure keyvault show e azure keyvault key show nel modo seguente:Encrypt your virtual disks using the output from the azure keyvault show and azure keyvault key show commands as follows:

azure vm enable-disk-encryption --resource-group myResourceGroup --name myVM \
  --aad-client-id myApplicationID --aad-client-secret myApplicationPassword \
  --disk-encryption-key-vault-url myKeyVaultVaultURI \
  --disk-encryption-key-vault-id myKeyVaultID \
  --key-encryption-key-url myKeyKID \
  --key-encryption-key-vault-id myKeyVaultID \
  --volume-type Data

Poiché il comando precedente ha molte variabili, l'esempio seguente contiene il comando completo come riferimento:As the preceding command has many variables, the following example is the complete command for reference:

azure vm enable-disk-encryption --resource-group myResourceGroup --name myVM \
  --aad-client-id 147bc426-595d-4bad-b267-58a7cbd8e0b6 \
  --aad-client-secret P@ssw0rd! \
  --disk-encryption-key-vault-url https://myKeyVault.vault.azure.net/ \
  --disk-encryption-key-vault-id /subscriptions/guid/resourceGroups/myResourceGroup/providers/Microsoft.KeyVault/vaults/myKeyVault \
  --key-encryption-key-url https://myKeyVault.vault.azure.net/keys/myKey/6f5fe9383f4e42d0a41553ebc6a82dd1 \
  --key-encryption-key-vault-id /subscriptions/guid/resourceGroups/myResoureGroup/providers/Microsoft.KeyVault/vaults/myKeyVault \
  --volume-type Data

L'interfaccia della riga di comando di Azure non fornisce gli errori dettagliati durante il processo di crittografia.The Azure CLI doesn't provide verbose errors during the encryption process. Per ulteriori informazioni sulla risoluzione dei problemi, vedere /var/log/azure/Microsoft.OSTCExtensions.AzureDiskEncryptionForLinux/0.x.x.x/extension.log sulla VM da crittografare.For additional troubleshooting information, review /var/log/azure/Microsoft.OSTCExtensions.AzureDiskEncryptionForLinux/0.x.x.x/extension.log on the VM you are encrypting.

Riesaminare infine lo stato della crittografia per controllare che ora i dischi virtuali siano crittografati:Finally, lets review the encryption status again to confirm that your virtual disks have now been encrypted:

azure vm show-disk-encryption-status --resource-group myResourceGroup --name myVM

Aggiungere ulteriori dischi datiAdd additional data disks

Una volta crittografati i dischi dati, in un secondo momento è possibile aggiungere alla VM ulteriori dischi virtuali e anche crittografarli.Once you have encrypted your data disks, you can later add additional virtual disks to your VM and also encrypt them. Quando si esegue il comando azure vm enable-disk-encryption, incrementare la versione di sequenza usando il parametro --sequence-version.When you run the azure vm enable-disk-encryption command, increment the sequence version using the --sequence-version parameter. Questo parametro della versione di sequenza consente di eseguire ripetutamente operazioni sulla stessa VM.This sequence version parameter allows you to perform repeated operations on the same VM.

Ad esempio, consente di aggiungere alla VM un secondo disco virtuale, come di seguito:For example, lets add a second virtual disk to your VM as follows:

azure vm disk attach-new --resource-group myResourceGroup --vm-name myVM \
  --size-in-gb 5

Eseguire nuovamente il comando per crittografare i dischi virtuali, questa volta aggiungendo il parametro --sequence-version e incrementando il valore della prima esecuzione, come di seguito:Rerun the command to encrypt the virtual disks, this time adding the --sequence-version parameter, and incrementing the value from our first run as follows:

azure vm enable-disk-encryption --resource-group myResourceGroup --name myVM \
  --aad-client-id myApplicationID --aad-client-secret myApplicationPassword \
  --disk-encryption-key-vault-url myKeyVaultVaultURI \
  --disk-encryption-key-vault-id myKeyVaultID \
  --key-encryption-key-url myKeyKID \
  --key-encryption-key-vault-id myKeyVaultID \
  --volume-type Data
  --sequence-version 2

Passaggi successiviNext steps