Crittografare una macchina virtuale Windows con Azure PowerShellEncrypt a Windows virtual machine with Azure PowerShell

Questo script crea un Azure Key Vault sicuro, le chiavi di crittografia, un'entità servizio di Azure Active Directory e una macchina virtuale (VM) Windows.This script creates a secure Azure Key Vault, encryption keys, Azure Active Directory service principal, and a Windows virtual machine (VM). La VM viene quindi crittografata usando la chiave di crittografia del Key Vault e le credenziali dell'entità servizio.The VM is then encrypted using the encryption key from Key Vault and service principal credentials.

In questo esempio richiede di Azure PowerShell versione del modulo 5.1.1 o versione successiva.This sample requires the Azure PowerShell module version 5.1.1 or later. Eseguire Get-Module -ListAvailable AzureRM per trovare la versione.Run Get-Module -ListAvailable AzureRM to find the version. Se è necessario eseguire l'installazione o l'aggiornamento, vedere come installare il modulo Azure PowerShell.If you need to install or upgrade, see Install Azure PowerShell module.

Eseguire Login-AzureRmAccount per creare una connessione con Azure.Run Login-AzureRmAccount to create a connection with Azure.

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.If you don't have an Azure subscription, create a free account before you begin.

Script di esempioSample script

# Edit these global variables with you unique Key Vault name, resource group name and location
$keyVaultName = "myKeyVault"
$rgName = "myResourceGroup"
$location = "East US"

# Register the Key Vault provider and create a resource group
Register-AzureRmResourceProvider -ProviderNamespace "Microsoft.KeyVault"
New-AzureRmResourceGroup -Location $location -Name $rgName

# Create a Key Vault and enable it for disk encryption
New-AzureRmKeyVault `
    -Location $location `
    -ResourceGroupName $rgName `
    -VaultName $keyVaultName `
    -EnabledForDiskEncryption

# Create a key in your Key Vault
Add-AzureKeyVaultKey `
    -VaultName $keyVaultName `
    -Name "myKey" `
    -Destination "Software"

# Create Azure Active Directory app and service principal
$appName = "My App"
$securePassword = "P@ssword!"
$app = New-AzureRmADApplication -DisplayName $appName `
    -HomePage "https://myapp.contoso.com" `
    -IdentifierUris "https://contoso.com/myapp" `
    -Password $securePassword
New-AzureRmADServicePrincipal -ApplicationId $app.ApplicationId

# Set permissions to allow your AAD service principal to read keys from Key Vault
Set-AzureRmKeyVaultAccessPolicy -VaultName $keyvaultName `
    -ServicePrincipalName $app.ApplicationId  `
    -PermissionsToKeys "all" `
    -PermissionsToSecrets "all"

# Create user object
$cred = Get-Credential -Message "Enter a username and password for the virtual machine."

# Create a virtual machine
New-AzureRmVM `
  -ResourceGroupName $resourceGroup `
  -Name $vmName `
  -Location $location `
  -ImageName "Win2016Datacenter" `
  -VirtualNetworkName "myVnet" `
  -SubnetName "mySubnet" `
  -SecurityGroupName "myNetworkSecurityGroup" `
  -PublicIpAddressName "myPublicIp" `
  -Credential $cred `
  -OpenPorts 3389

# Define required information for our Key Vault and keys
$keyVault = Get-AzureRmKeyVault -VaultName $keyVaultName -ResourceGroupName $rgName;
$diskEncryptionKeyVaultUrl = $keyVault.VaultUri;
$keyVaultResourceId = $keyVault.ResourceId;
$keyEncryptionKeyUrl = (Get-AzureKeyVaultKey -VaultName $keyVaultName -Name "myKey").Key.kid;

# Encrypt our virtual machine
Set-AzureRmVMDiskEncryptionExtension `
    -ResourceGroupName $rgName `
    -VMName $vmName `
    -AadClientID $app.ApplicationId `
    -AadClientSecret $securePassword `
    -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl `
    -DiskEncryptionKeyVaultId $keyVaultResourceId `
    -KeyEncryptionKeyUrl $keyEncryptionKeyUrl `
    -KeyEncryptionKeyVaultId $keyVaultResourceId

# View encryption status
Get-AzureRmVmDiskEncryptionStatus  -ResourceGroupName $rgName -VMName $vmName

Pulire la distribuzioneClean up deployment

Eseguire questo comando per rimuovere il gruppo di risorse, la macchina virtuale e tutte le risorse correlate.Run the following command to remove the resource group, VM, and all related resources.

Remove-AzureRmResourceGroup -Name myResourceGroup

Spiegazione dello scriptScript explanation

Questo script usa i comandi seguenti per creare la distribuzione.This script uses the following commands to create the deployment. Ogni elemento della tabella include collegamenti alla documentazione specifica del comando.Each item in the table links to command specific documentation.

ComandoCommand NoteNotes
New-AzureRmResourceGroupNew-AzureRmResourceGroup Consente di creare un gruppo di risorse in cui sono archiviate tutte le risorse.Creates a resource group in which all resources are stored.
New-AzureRmKeyVaultNew-AzureRmKeyVault Crea un Azure Key Vault per archiviare i dati protetti, ad esempio le chiavi di crittografia.Creates an Azure Key Vault to store secure data such as encryption keys.
Add-AzureKeyVaultKeyAdd-AzureKeyVaultKey Crea una chiave di crittografia in Key Vault.Creates an encryption key in Key Vault.
New-AzureRmADServicePrincipalNew-AzureRmADServicePrincipal Crea un'entità servizio di Azure Active Directory per autenticare in modo sicuro e controllare l'accesso alle chiavi di crittografia.Creates an Azure Active Directory service principal to securely authenticate and control access to encryption keys.
Set-AzureRmKeyVaultAccessPolicySet-AzureRmKeyVaultAccessPolicy Imposta le autorizzazioni in Key Vault per concedere l'accesso dell'entità servizio alle chiavi di crittografia.Sets permissions on the Key Vault to grant the service principal access to encryption keys.
New-AzureRmVMNew-AzureRmVM Consente di creare la macchina virtuale e la connette alla scheda di rete, alla rete virtuale, alla subnet e al gruppo di sicurezza di rete.Creates the virtual machine and connects it to the network card, virtual network, subnet, and network security group. Inoltre, questo comando apre la porta 80 e imposta le credenziali amministrative.This command also opens port 80 and sets the administrative credentials.
Get-AzureRmKeyVaultGet-AzureRmKeyVault Ottiene le informazioni necessarie in Key VaultGets required information on the Key Vault
Set-AzureRmVMDiskEncryptionExtensionSet-AzureRmVMDiskEncryptionExtension Abilita la crittografia in una VM usando le credenziali dell'entità servizio e la chiave di crittografia.Enables encryption on a VM using the service principal credentials and encryption key.
Get-AzureRmVmDiskEncryptionStatusGet-AzureRmVmDiskEncryptionStatus Mostra lo stato del processo di crittografia della VM.Shows the status of the VM encryption process.
Remove-AzureRmResourceGroupRemove-AzureRmResourceGroup Rimuove un gruppo di risorse e tutte le risorse contenute al suo interno.Removes a resource group and all resources contained within.

Passaggi successiviNext steps

Per altre informazioni sul modulo Azure PowerShell, vedere la documentazione di Azure PowerShell.For more information on the Azure PowerShell module, see Azure PowerShell documentation.

Altri esempi di script PowerShell della macchina virtuale sono reperibili nella documentazione della VM Windows di Azure.Additional virtual machine PowerShell script samples can be found in the Azure Windows VM documentation.