Crittografare una macchina virtuale Windows con Azure PowerShellEncrypt a Windows virtual machine with Azure PowerShell

Questo script crea un Azure Key Vault sicuro, le chiavi di crittografia, un'entità servizio di Azure Active Directory e una macchina virtuale (VM) Windows.This script creates a secure Azure Key Vault, encryption keys, Azure Active Directory service principal, and a Windows virtual machine (VM). La VM viene quindi crittografata usando la chiave di crittografia del Key Vault e le credenziali dell'entità servizio.The VM is then encrypted using the encryption key from Key Vault and service principal credentials.

Questo esempio richiede il modulo Azure PowerShell 4.0 o versioni successive.This sample requires the Azure PowerShell module version 4.0 or later. Eseguire Get-Module -ListAvailable AzureRM per trovare la versione.Run Get-Module -ListAvailable AzureRM to find the version. Se è necessario eseguire l'installazione o l'aggiornamento, vedere come installare il modulo Azure PowerShell.If you need to install or upgrade, see Install Azure PowerShell module.

Eseguire Login-AzureRmAccount per creare una connessione con Azure.Run Login-AzureRmAccount to create a connection with Azure.

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.If you don't have an Azure subscription, create a free account before you begin.

Script di esempioSample script

# Edit these global variables with you unique Key Vault name, resource group name and location
$keyVaultName = "myKeyVault"
$rgName = "myResourceGroup"
$location = "East US"

# Register the Key Vault provider and create a resource group
Register-AzureRmResourceProvider -ProviderNamespace "Microsoft.KeyVault"
New-AzureRmResourceGroup -Location $location -Name $rgName

# Create a Key Vault and enable it for disk encryption
New-AzureRmKeyVault `
    -Location $location `
    -ResourceGroupName $rgName `
    -VaultName $keyVaultName `
    -EnabledForDiskEncryption

# Create a key in your Key Vault
Add-AzureKeyVaultKey `
    -VaultName $keyVaultName `
    -Name "myKey" `
    -Destination "Software"

# Create Azure Active Directory app and service principal
$appName = "My App"
$securePassword = "P@ssword!"
$app = New-AzureRmADApplication -DisplayName $appName `
    -HomePage "https://myapp.contoso.com" `
    -IdentifierUris "https://contoso.com/myapp" `
    -Password $securePassword
New-AzureRmADServicePrincipal -ApplicationId $app.ApplicationId

# Set permissions to allow your AAD service principal to read keys from Key Vault
Set-AzureRmKeyVaultAccessPolicy -VaultName $keyvaultName `
    -ServicePrincipalName $app.ApplicationId  `
    -PermissionsToKeys "all" `
    -PermissionsToSecrets "all"

# Define virtual networking for a new virtual machine
$subnetConfig = New-AzureRmVirtualNetworkSubnetConfig `
    -Name mySubnet `
    -AddressPrefix "192.168.1.0/24"
$vnet = New-AzureRmVirtualNetwork `
    -ResourceGroupName $rgName `
    -Location $location `
    -Name myVnet `
    -AddressPrefix "192.168.0.0/16" `
    -Subnet $subnetConfig

# Create a public IP address for the virtual machine
$pip = New-AzureRmPublicIpAddress `
    -ResourceGroupName $rgName `
    -Location $location `
    -AllocationMethod "Static" `
    -IdleTimeoutInMinutes "4" `
    -Name "mypublicdns$(Get-Random)"

# Create a Network Security Group and RDP rule
$nsgRuleRDP = New-AzureRmNetworkSecurityRuleConfig `
    -Name "myNetworkSecurityGroupRuleRDP" `
    -Protocol "Tcp" `
    -Direction "Inbound" `
    -Priority "1000" `
    -SourceAddressPrefix * `
    -SourcePortRange * `
    -DestinationAddressPrefix * `
    -DestinationPortRange "3389" `
    -Access "Allow"
$nsg = New-AzureRmNetworkSecurityGroup `
    -ResourceGroupName $rgName `
    -Location $location `
    -Name "myNetworkSecurityGroup" `
    -SecurityRules $nsgRuleRDP

# Create a virtual network interface card
$nic = New-AzureRmNetworkInterface `
    -Name "myNic" `
    -ResourceGroupName $rgName `
    -Location $location `
    -SubnetId $vnet.Subnets[0].Id `
    -PublicIpAddressId $pip.Id `
    -NetworkSecurityGroupId $nsg.Id

# Prompt for admin credentials to add to new virtual machine
$cred = Get-Credential

# Create a virtual machine
$vmName = "myVM"
$vmConfig = New-AzureRmVMConfig -VMName $vmName -VMSize "Standard_D1" | `
    Set-AzureRmVMOperatingSystem -Windows -ComputerName "myVM" -Credential $cred | `
    Set-AzureRmVMSourceImage -PublisherName "MicrosoftWindowsServer" `
        -Offer "WindowsServer" -Skus "2016-Datacenter" -Version "latest" | `
    Add-AzureRmVMNetworkInterface -Id $nic.Id
New-AzureRmVM -ResourceGroupName $rgName -Location $location -VM $vmConfig

# Define required information for our Key Vault and keys
$keyVault = Get-AzureRmKeyVault -VaultName $keyVaultName -ResourceGroupName $rgName;
$diskEncryptionKeyVaultUrl = $keyVault.VaultUri;
$keyVaultResourceId = $keyVault.ResourceId;
$keyEncryptionKeyUrl = (Get-AzureKeyVaultKey -VaultName $keyVaultName -Name "myKey").Key.kid;

# Encrypt our virtual machine
Set-AzureRmVMDiskEncryptionExtension `
    -ResourceGroupName $rgName `
    -VMName $vmName `
    -AadClientID $app.ApplicationId `
    -AadClientSecret $securePassword `
    -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl `
    -DiskEncryptionKeyVaultId $keyVaultResourceId `
    -KeyEncryptionKeyUrl $keyEncryptionKeyUrl `
    -KeyEncryptionKeyVaultId $keyVaultResourceId

# View encryption status
Get-AzureRmVmDiskEncryptionStatus  -ResourceGroupName $rgName -VMName $vmName

Pulire la distribuzioneClean up deployment

Eseguire questo comando per rimuovere il gruppo di risorse, la macchina virtuale e tutte le risorse correlate.Run the following command to remove the resource group, VM, and all related resources.

Remove-AzureRmResourceGroup -Name myResourceGroup

Spiegazione dello scriptScript explanation

Questo script usa i comandi seguenti per creare la distribuzione.This script uses the following commands to create the deployment. Ogni elemento della tabella include collegamenti alla documentazione specifica del comando.Each item in the table links to command specific documentation.

ComandoCommand NoteNotes
New-AzureRmResourceGroupNew-AzureRmResourceGroup Consente di creare un gruppo di risorse in cui sono archiviate tutte le risorse.Creates a resource group in which all resources are stored.
New-AzureRmKeyVaultNew-AzureRmKeyVault Crea un Azure Key Vault per archiviare i dati protetti, ad esempio le chiavi di crittografia.Creates an Azure Key Vault to store secure data such as encryption keys.
Add-AzureKeyVaultKeyAdd-AzureKeyVaultKey Crea una chiave di crittografia in Key Vault.Creates an encryption key in Key Vault.
New-AzureRmADServicePrincipalNew-AzureRmADServicePrincipal Crea un'entità servizio di Azure Active Directory per autenticare in modo sicuro e controllare l'accesso alle chiavi di crittografia.Creates an Azure Active Directory service principal to securely authenticate and control access to encryption keys.
Set-AzureRmKeyVaultAccessPolicySet-AzureRmKeyVaultAccessPolicy Imposta le autorizzazioni in Key Vault per concedere l'accesso dell'entità servizio alle chiavi di crittografia.Sets permissions on the Key Vault to grant the service principal access to encryption keys.
New-AzureRmVirtualNetworkSubnetConfigNew-AzureRmVirtualNetworkSubnetConfig Crea una configurazione di subnet.Creates a subnet configuration. Questa configurazione viene usata con il processo di creazione della rete virtuale.This configuration is used with the virtual network creation process.
New-AzureRmVirtualNetworkNew-AzureRmVirtualNetwork Crea una rete virtuale.Creates a virtual network.
New-AzureRmPublicIpAddressNew-AzureRmPublicIpAddress Crea un indirizzo IP pubblico.Creates a public IP address.
New-AzureRmNetworkSecurityRuleConfigNew-AzureRmNetworkSecurityRuleConfig Crea una configurazione di regola del gruppo di sicurezza di rete.Creates a network security group rule configuration. Questa configurazione viene usata per creare una regola NSG quando viene creato il gruppo di sicurezza di rete.This configuration is used to create an NSG rule when the NSG is created.
New-AzureRmNetworkSecurityGroupNew-AzureRmNetworkSecurityGroup Crea un gruppo di sicurezza di rete.Creates a network security group.
Get-AzureRmVirtualNetworkSubnetConfigGet-AzureRmVirtualNetworkSubnetConfig Ottiene informazioni sulla subnet.Gets subnet information. Queste informazioni vengono usate durante la creazione di un'interfaccia di rete.This information is used when creating a network interface.
New-AzureRmNetworkInterfaceNew-AzureRmNetworkInterface Crea un'interfaccia di rete.Creates a network interface.
New-AzureRmVMConfigNew-AzureRmVMConfig Crea una configurazione di VM.Creates a VM configuration. Questa configurazione include informazioni quali il nome della VM, il sistema operativo e le credenziali amministrative.This configuration includes information such as VM name, operating system, and administrative credentials. La configurazione viene usata durante la creazione della VM.The configuration is used during VM creation.
New-AzureRmVMNew-AzureRmVM Creare una macchina virtuale.Create a virtual machine.
Get-AzureRmKeyVaultGet-AzureRmKeyVault Ottiene le informazioni necessarie in Key VaultGets required information on the Key Vault
Set-AzureRmVMDiskEncryptionExtensionSet-AzureRmVMDiskEncryptionExtension Abilita la crittografia in una VM usando le credenziali dell'entità servizio e la chiave di crittografia.Enables encryption on a VM using the service principal credentials and encryption key.
Get-AzureRmVmDiskEncryptionStatusGet-AzureRmVmDiskEncryptionStatus Mostra lo stato del processo di crittografia della VM.Shows the status of the VM encryption process.
Remove-AzureRmResourceGroupRemove-AzureRmResourceGroup Rimuove un gruppo di risorse e tutte le risorse contenute al suo interno.Removes a resource group and all resources contained within.

Passaggi successiviNext steps

Per altre informazioni sul modulo Azure PowerShell, vedere la documentazione di Azure PowerShell.For more information on the Azure PowerShell module, see Azure PowerShell documentation.

Altri esempi di script PowerShell della macchina virtuale sono reperibili nella documentazione della VM Windows di Azure.Additional virtual machine PowerShell script samples can be found in the Azure Windows VM documentation.