Włączanie usługi Azure Disk Encryption dla maszyn wirtualnych IaaS WindowsEnable Azure Disk Encryption for Windows IaaS VMs

Ten artykuł zawiera instrukcje dotyczące włączania Microsoft szyfrowania dysków Azure Windows IaaS maszyn wirtualnych (VM).This article provides instructions on enabling Microsoft Azure Disk Encryption for Windows IaaS virtual machines (VMs). Zanim będzie możliwe użycie szyfrowania dysków, najpierw musisz zakończyć wymagania wstępne dotyczące usługi Azure Disk Encryption.Before you can use disk encryption, you must first complete the Azure Disk Encryption prerequisites.

Jest również zdecydowanie zalecany, utworzyć migawkę i/lub tworzenie kopii zapasowej przed szyfrowania dysków.It is also strongly recommended that you Create a snapshot and/or backup up your disks before encryption. Tworzenie kopii zapasowych upewnij się, że opcja odzyskiwania może wystąpić, jeśli wystąpił nieoczekiwany błąd występuje podczas szyfrowania.Backups ensure that a recovery option is possible if an unexpected failure occurs during encryption. Maszyny wirtualne z dyskami zarządzanymi wymagają kopię zapasową przed zaszyfrowaniem.VMs with managed disks require a backup before encryption occurs. Gdy wykonano kopię zapasową, możesz użyć polecenia cmdlet Set-AzVMDiskEncryptionExtension do szyfrowania dysków zarządzanych, określając parametr - skipVmBackup.Once a backup is made, you can use the Set-AzVMDiskEncryptionExtension cmdlet to encrypt managed disks by specifying the -skipVmBackup parameter. Aby uzyskać więcej informacji na temat tworzenia kopii zapasowej i przywracanie zaszyfrowanych maszyn wirtualnych, zobacz kopii zapasowej i przywracanie zaszyfrowanych maszyn wirtualnych platformy Azure artykułu.For more information about how to back up and restore encrypted VMs, see Back up and restore encrypted Azure VM article.

Ostrzeżenie

  • Jeśli wcześniej używano usługi Azure Disk Encryption przy użyciu aplikacji Azure AD do zaszyfrowania tej maszyny Wirtualnej, konieczne będzie kontynuować ta opcja służy do szyfrowania maszyny Wirtualnej.If you have previously used Azure Disk Encryption with Azure AD app to encrypt this VM, you will have to continue use this option to encrypt your VM. Nie można użyć usługi Azure Disk Encryption na tej zaszyfrowanej maszyny Wirtualnej, ponieważ nie jest to obsługiwany scenariusz znaczenie przełączania się aplikacja usługi AAD dla to zaszyfrowanych maszyn wirtualnych nie jest jeszcze obsługiwane.You can't use Azure Disk Encryption on this encrypted VM as this isn't a supported scenario, meaning switching away from AAD application for this encrypted VM isn't supported yet.
  • Usługa Azure Disk Encryption musi znajdować się w tym samym regionie usługi Key Vault i maszyn wirtualnych.Azure Disk Encryption needs the Key Vault and the VMs to be co-located in the same region. Tworzenie i używanie usługi Key Vault, który znajduje się w tym samym regionie co maszyna wirtualna do zaszyfrowania.Create and use a Key Vault that is in the same region as the VM to be encrypted.

Uwaga

Ten artykuł został zaktualizowany o korzystanie z nowego modułu Azure PowerShell Az.This article has been updated to use the new Azure PowerShell Az module. Nadal możesz użyć modułu AzureRM, który będzie nadal otrzymywać poprawki błędów do co najmniej grudnia 2020.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Aby dowiedzieć się więcej na temat nowego modułu Az i zgodności z modułem AzureRM, zobacz Wprowadzenie do nowego modułu Az programu Azure PowerShell.To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Instrukcje dotyczące instalacji polecenia AZ module można znaleźć w temacie Install Azure PowerShell.For Az module installation instructions, see Install Azure PowerShell.

Włącz szyfrowanie dla istniejących lub działających maszyn wirtualnych Windows IaaSEnable encryption on existing or running IaaS Windows VMs

Szyfrowanie można włączyć za pomocą szablonu, poleceń cmdlet programu PowerShell lub interfejsu wiersza polecenia.You can enable encryption by using a template, PowerShell cmdlets, or CLI commands. Jeśli potrzebujesz informacji o schemacie dla rozszerzenia maszyny wirtualnej, zobacz rozszerzenia Azure szyfrowania dysku dla Windows artykułu.If you need schema information for the virtual machine extension, see the Azure Disk Encryption for Windows extension article.

Ważne

Jest to konieczne do migawki i/lub kopii zapasowej dysku zarządzanego na podstawie wystąpienia maszyny Wirtualnej poza i przed włączeniem usługi Azure Disk Encryption.It is mandatory to snapshot and/or backup a managed disk based VM instance outside of, and prior to enabling Azure Disk Encryption. Migawkę dysku zarządzanego, może zostać pobrany z portalu lub kopia zapasowa Azure mogą być używane.A snapshot of the managed disk can be taken from the portal, or Azure Backup can be used. Tworzenie kopii zapasowych upewnij się, że opcja odzyskiwania możliwe w przypadku dowolnego nieoczekiwany błąd podczas szyfrowania.Backups ensure that a recovery option is possible in the case of any unexpected failure during encryption. Po nawiązaniu kopii zapasowej polecenia cmdlet Set-AzVMDiskEncryptionExtension może służyć do szyfrowania dysków zarządzanych, określając parametr - skipVmBackup.Once a backup is made, the Set-AzVMDiskEncryptionExtension cmdlet can be used to encrypt managed disks by specifying the -skipVmBackup parameter. Polecenie Set-AzVMDiskEncryptionExtension zakończy się niepowodzeniem dla maszyn wirtualnych dysku zarządzanego na podstawie, dopóki nie wykonano kopii zapasowej, a ten parametr został określony.The Set-AzVMDiskEncryptionExtension command will fail against managed disk based VMs until a backup has been made and this parameter has been specified.

Szyfrowanie lub wyłączenie szyfrowania może spowodować ponowne uruchomienie maszyny Wirtualnej.Encrypting or disabling encryption may cause the VM to reboot.

Włącz szyfrowanie dla istniejących lub działających maszyn wirtualnych przy użyciu programu Azure PowerShellEnable encryption on existing or running VMs with Azure PowerShell

Użyj AzVMDiskEncryptionExtension zestaw polecenia cmdlet, aby włączyć szyfrowanie na uruchomionej maszyny wirtualnej IaaS na platformie Azure.Use the Set-AzVMDiskEncryptionExtension cmdlet to enable encryption on a running IaaS virtual machine in Azure.

  • Szyfruj uruchomionej maszyny Wirtualnej: Poniższy skrypt inicjuje zmiennych i uruchamia polecenie cmdlet Set-AzVMDiskEncryptionExtension.Encrypt a running VM: The script below initializes your variables and runs the Set-AzVMDiskEncryptionExtension cmdlet. Grupa zasobów, maszyny Wirtualnej i magazynu kluczy powinien zostały już utworzone jako warunki wstępne.The resource group, VM, and key vault should have already been created as prerequisites. Zamień MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM i MySecureVault własnymi wartościami.Replace MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM, and MySecureVault with your values.

     $KVRGname = 'MyKeyVaultResourceGroup';
     $VMRGName = 'MyVirtualMachineResourceGroup';
     $vmName = 'MySecureVM';
     $KeyVaultName = 'MySecureVault';
     $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
     $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
     $KeyVaultResourceId = $KeyVault.ResourceId;
    
     Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId;
    
  • Szyfruj przy użyciu klucza KEK uruchomionej maszyny Wirtualnej:Encrypt a running VM using KEK:

    $KVRGname = 'MyKeyVaultResourceGroup';
    $VMRGName = 'MyVirtualMachineResourceGroup';
    $vmName = 'MyExtraSecureVM';
    $KeyVaultName = 'MySecureVault';
    $keyEncryptionKeyName = 'MyKeyEncryptionKey';
    $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
    $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
    $KeyVaultResourceId = $KeyVault.ResourceId;
    $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
    
    Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId;
    
    

    Uwaga

    Składnia służąca do wartości parametru dysku — szyfrowanie — magazyn kluczy jest ciągiem pełny identyfikator: / subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]The syntax for the value of disk-encryption-keyvault parameter is the full identifier string: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
    Składnia wartości parametru klucza szyfrowania jest pełny identyfikator URI do KEK, podobnie jak w: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]The syntax for the value of the key-encryption-key parameter is the full URI to the KEK as in: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

  • Sprawdź, czy dyski są szyfrowane: Aby sprawdzić stan szyfrowania maszyny wirtualnej IaaS, należy użyć Get AzVmDiskEncryptionStatus polecenia cmdlet.Verify the disks are encrypted: To check on the encryption status of an IaaS VM, use the Get-AzVmDiskEncryptionStatus cmdlet.

    Get-AzVmDiskEncryptionStatus -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
    
  • Wyłącz szyfrowanie dysków: Aby wyłączyć szyfrowanie, użyj AzVMDiskEncryption Wyłącz polecenia cmdlet.Disable disk encryption: To disable the encryption, use the Disable-AzVMDiskEncryption cmdlet. Wyłączenie szyfrowania dysku danych na maszynie Wirtualnej Windows, gdy zostały zaszyfrowane zarówno systemu operacyjnego i dysków z danymi nie działa zgodnie z oczekiwaniami.Disabling data disk encryption on Windows VM when both OS and data disks have been encrypted doesn't work as expected. Zamiast tego Wyłącz szyfrowanie dla wszystkich dysków.Disable encryption on all disks instead.

    Disable-AzVMDiskEncryption -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'
    

Włącz szyfrowanie dla istniejących lub działających maszyn wirtualnych przy użyciu wiersza polecenia platformy AzureEnable encryption on existing or running VMs with Azure CLI

Użyj Włącz az vm encryption polecenie, aby włączyć szyfrowanie na uruchomionej maszyny wirtualnej IaaS na platformie Azure.Use the az vm encryption enable command to enable encryption on a running IaaS virtual machine in Azure.

  • Szyfruj uruchomionej maszyny Wirtualnej:Encrypt a running VM:

    az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type [All|OS|Data]
    
  • Szyfruj przy użyciu klucza KEK uruchomionej maszyny Wirtualnej:Encrypt a running VM using KEK:

    az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type [All|OS|Data]
    

    Uwaga

    Składnia służąca do wartości parametru dysku — szyfrowanie — magazyn kluczy jest ciągiem pełny identyfikator: / subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]The syntax for the value of disk-encryption-keyvault parameter is the full identifier string: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
    Składnia wartości parametru klucza szyfrowania jest pełny identyfikator URI do KEK, podobnie jak w: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]The syntax for the value of the key-encryption-key parameter is the full URI to the KEK as in: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

  • Sprawdź, czy dyski są szyfrowane: Aby sprawdzić stan szyfrowania maszyny wirtualnej IaaS, należy użyć az vm encryption show polecenia.Verify the disks are encrypted: To check on the encryption status of an IaaS VM, use the az vm encryption show command.

    az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"
    
  • Wyłącz szyfrowanie: Aby wyłączyć szyfrowanie, użyj az vm encryption, wyłącz polecenia.Disable encryption: To disable encryption, use the az vm encryption disable command. Wyłączenie szyfrowania dysku danych na maszynie Wirtualnej Windows, gdy zostały zaszyfrowane zarówno systemu operacyjnego i dysków z danymi nie działa zgodnie z oczekiwaniami.Disabling data disk encryption on Windows VM when both OS and data disks have been encrypted doesn't work as expected. Zamiast tego Wyłącz szyfrowanie dla wszystkich dysków.Disable encryption on all disks instead.

    az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type [ALL, DATA, OS]
    

    Uwaga

    Jest to konieczne do migawki i/lub kopii zapasowej dysku zarządzanego na podstawie wystąpienia maszyny Wirtualnej poza i przed włączeniem usługi Azure Disk Encryption.It is mandatory to snapshot and/or backup a managed disk based VM instance outside of, and prior to enabling Azure Disk Encryption. Migawkę dysku zarządzanego, może zostać pobrany z portalu lub kopia zapasowa Azure mogą być używane.A snapshot of the managed disk can be taken from the portal, or Azure Backup can be used. Tworzenie kopii zapasowych upewnij się, że opcja odzyskiwania możliwe w przypadku dowolnego nieoczekiwany błąd podczas szyfrowania.Backups ensure that a recovery option is possible in the case of any unexpected failure during encryption. Po nawiązaniu kopii zapasowej polecenia cmdlet Set-AzVMDiskEncryptionExtension może służyć do szyfrowania dysków zarządzanych, określając parametr - skipVmBackup.Once a backup is made, the Set-AzVMDiskEncryptionExtension cmdlet can be used to encrypt managed disks by specifying the -skipVmBackup parameter. To polecenie zakończy się niepowodzeniem dla maszyn wirtualnych dysku zarządzanego na podstawie, dopóki nie wykonano kopii zapasowej, a ten parametr został określony.This command will fail against managed disk based VMs until a backup has been made and this parameter has been specified.

    Szyfrowanie lub wyłączenie szyfrowania może spowodować ponowne uruchomienie maszyny Wirtualnej.Encrypting or disabling encryption may cause the VM to reboot.

Przy użyciu szablonu usługi Resource Manager Using the Resource Manager template

Można włączyć szyfrowanie dysków dla istniejących lub uruchomionych maszyn wirtualnych Windows IaaS na platformie Azure przy użyciu szablonu usługi Resource Manager w celu zaszyfrowania uruchomionej maszyny Wirtualnej Windows.You can enable disk encryption on existing or running IaaS Windows VMs in Azure by using the Resource Manager template to encrypt a running Windows VM.

  1. Szablon szybkiego startu platformy Azure, wybierz polecenie Wdróż na platformie Azure.On the Azure quickstart template, click Deploy to Azure.

  2. Wybierz subskrypcję, grupy zasobów, lokalizacji, ustawienia, postanowienia prawne i umowy.Select the subscription, resource group, location, settings, legal terms, and agreement. Kliknij przycisk zakupu Aby włączyć szyfrowanie na istniejące lub uruchomionej maszyny Wirtualnej IaaS.Click Purchase to enable encryption on the existing or running IaaS VM.

Poniższa tabela zawiera listę parametrów szablonu usługi Resource Manager dla istniejących lub działających maszyn wirtualnych:The following table lists the Resource Manager template parameters for existing or running VMs:

ParametrParameter OpisDescription
vmNamevmName Nazwa maszyny Wirtualnej, można uruchomić operacji szyfrowania.Name of the VM to run the encryption operation.
keyVaultNamekeyVaultName Nazwa klucza funkcji BitLocker, należy przekazać do magazyn kluczy.Name of the key vault that the BitLocker key should be uploaded to. Możesz pobrać go za pomocą polecenia cmdlet (Get-AzKeyVault -ResourceGroupName <MyKeyVaultResourceGroupName>). Vaultname lub polecenia wiersza polecenia platformy Azure az keyvault list --resource-group "MyKeyVaultResourceGroup"You can get it by using the cmdlet (Get-AzKeyVault -ResourceGroupName <MyKeyVaultResourceGroupName>). Vaultname or the Azure CLI command az keyvault list --resource-group "MyKeyVaultResourceGroup"
keyVaultResourceGroupkeyVaultResourceGroup Nazwa grupy zasobów, który zawiera usługi key vaultName of the resource group that contains the key vault
KeyEncryptionKeyURLkeyEncryptionKeyURL Adres URL klucza szyfrowania klucza, który jest używany do szyfrowania wygenerowanego klucza funkcji BitLocker.URL of the key encryption key that's used to encrypt the generated BitLocker key. Ten parametr jest opcjonalny w przypadku wybrania nokek na liście rozwijanej UseExistingKek.This parameter is optional if you select nokek in the UseExistingKek drop-down list. Jeśli wybierzesz kek na liście rozwijanej UseExistingKek należy wprowadzić keyEncryptionKeyURL wartości.If you select kek in the UseExistingKek drop-down list, you must enter the keyEncryptionKeyURL value.
VolumeTypevolumeType Typ operacji szyfrowania odbywa się na wolumin.Type of volume that the encryption operation is performed on. Prawidłowe wartości to OS, danych, i wszystkich.Valid values are OS, Data, and All.
forceUpdateTagforceUpdateTag Za każdym razem, gdy operacja musi być wymuszenie uruchomienia są przekazywane w unikatową wartość, np. identyfikator GUID.Pass in a unique value like a GUID every time the operation needs to be force run.
resizeOSDiskresizeOSDisk Należy partycji systemu operacyjnego można zmienić rozmiaru zajmuje pełny wirtualny dysk twardy systemu przed podziałem woluminu systemowego.Should the OS partition be resized to occupy full OS VHD before splitting system volume.
locationlocation Lokalizacja dla wszystkich zasobów.Location for all resources.

Szyfruj zestawów skalowania maszyn wirtualnychEncrypt virtual machine scale sets

Zestawy skalowania maszyn wirtualnych platformy Azure pozwalają na tworzenie i zarządzanie grupę identycznych, a obciążenie maszyn wirtualnych o zrównoważonym obciążeniu.Azure virtual machine scale sets let you create and manage a group of identical, load balanced VMs. Liczba wystąpień maszyn wirtualnych może automatycznie zwiększać lub zmniejszać się w reakcji na zapotrzebowanie lub zdefiniowany harmonogram.The number of VM instances can automatically increase or decrease in response to demand or a defined schedule. Użyj interfejsu wiersza polecenia lub programu Azure PowerShell do zaszyfrowania zestawów skalowania maszyn wirtualnych.Use the CLI or Azure PowerShell to encrypt virtual machine scale sets.

Szyfruj zestawów skalowania maszyn wirtualnych przy użyciu programu Azure PowerShellEncrypt virtual machine scale sets with Azure PowerShell

Użyj AzVmssDiskEncryptionExtension zestaw polecenia cmdlet, aby włączyć szyfrowanie na zestaw skalowania maszyn wirtualnych Windows.Use the Set-AzVmssDiskEncryptionExtension cmdlet to enable encryption on a Windows virtual machine scale set. Grupa zasobów, zestaw skalowania maszyn wirtualnych i magazynu kluczy powinien zostały już utworzone jako warunki wstępne.The resource group, virtual machine scale set, and key vault should have already been created as prerequisites.

  • Szyfruj uruchamianie zestawu skalowania maszyn wirtualnych:Encrypt a running virtual machine scale set:

     $KVRGname = 'MyKeyVaultResourceGroup';
     $VMSSRGname = 'MyVMScaleSetResourceGroup';
     $VmssName = "MySecureVmss";
     $KeyVaultName= "MySecureVault";
     $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
     $DiskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
     $KeyVaultResourceId = $KeyVault.ResourceId;
     Set-AzVmssDiskEncryptionExtension -ResourceGroupName $VMSSRGname -VMScaleSetName $VmssName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId;
    
    
    
  • Encrypt a running virtual machine scale set using KEK to wrap the key:

     $KVRGname = 'MyKeyVaultResourceGroup';
     $VMSSRGname = 'MyVMScaleSetResourceGroup';
     $VmssName = "MySecureVmss";
     $KeyVaultName= "MySecureVault";
     $keyEncryptionKeyName = "MyKeyEncryptionKey";
     $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
     $DiskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
     $KeyVaultResourceId = $KeyVault.ResourceId;
     $KeyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
     Set-AzRmVmssDiskEncryptionExtension -ResourceGroupName $VMSSRGname -VMScaleSetName $VmssName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $KeyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId;
    

    Uwaga

    Składnia służąca do wartości parametru dysku — szyfrowanie — magazyn kluczy jest ciągiem pełny identyfikator: / subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]The syntax for the value of disk-encryption-keyvault parameter is the full identifier string: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
    Składnia wartości parametru klucza szyfrowania jest pełny identyfikator URI do KEK, podobnie jak w: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]The syntax for the value of the key-encryption-key parameter is the full URI to the KEK as in: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

  • Pobierz stan szyfrowania dla zestawu skalowania maszyn wirtualnych: Użyj Get AzVmssDiskEncryption polecenia cmdlet.Get encryption status for a virtual machine scale set: Use the Get-AzVmssDiskEncryption cmdlet.

    get-AzVmssVMDiskEncryption -ResourceGroupName "MyVMScaleSetResourceGroup" -VMScaleSetName "MySecureVmss"
    
  • Wyłącz szyfrowanie dla zestawu skalowania maszyn wirtualnych: Użyj AzVmssDiskEncryption Wyłącz polecenia cmdlet.Disable encryption on a virtual machine scale set: Use the Disable-AzVmssDiskEncryption cmdlet.

    Disable-AzVmssDiskEncryption -ResourceGroupName "MyVMScaleSetResourceGroup" -VMScaleSetName "MySecureVmss"
    

Szyfruj zestawów skalowania maszyn wirtualnych przy użyciu wiersza polecenia platformy AzureEncrypt virtual machine scale sets with Azure CLI

Użyj Włącz az vmss szyfrowania Aby włączyć szyfrowanie na zestaw skalowania maszyn wirtualnych Windows.Use the az vmss encryption enable to enable encryption on a Windows virtual machine scale set. Jeśli ustawisz zasad uaktualniania na zestawie skalowania, aby ręcznie uruchomić szyfrowanie za pomocą az vmss update-instances.If you set the upgrade policy on the scale set to manual, start the encryption with az vmss update-instances. Grupa zasobów, zestaw skalowania maszyn wirtualnych i magazynu kluczy powinien zostały już utworzone jako warunki wstępne.The resource group, virtual machine scale set, and key vault should have already been created as prerequisites.

  • Szyfruj uruchamianie zestawu skalowania maszyn wirtualnychEncrypt a running virtual machine scale set

     az vmss encryption enable --resource-group "MyVMScaleSetResourceGroup" --name "MySecureVmss" --disk-encryption-keyvault "MySecureVault" 
    
  • Uruchomionej maszyny wirtualnej zestawu skalowania przy użyciu klucza KEK opakowywać klucz szyfrowaniaEncrypt a running virtual machine scale set using KEK to wrap the key

     az vmss encryption enable --resource-group "MyVMScaleSetResourceGroup" --name "MySecureVmss" --disk-encryption-keyvault "MySecureVault" --key-encryption-key "MyKEK" --key-encryption-keyvault "MySecureVault" 
    
    

    Uwaga

    Składnia służąca do wartości parametru dysku — szyfrowanie — magazyn kluczy jest ciągiem pełny identyfikator: / subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]The syntax for the value of disk-encryption-keyvault parameter is the full identifier string: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
    Składnia wartości parametru klucza szyfrowania jest pełny identyfikator URI do KEK, podobnie jak w: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]The syntax for the value of the key-encryption-key parameter is the full URI to the KEK as in: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

  • Pobierz stan szyfrowania dla zestawu skalowania maszyn wirtualnych: Użyj az vmss encryption showGet encryption status for a virtual machine scale set: Use az vmss encryption show

     az vmss encryption show --resource-group "MyVMScaleSetResourceGroup" --name "MySecureVmss"
    
  • Wyłącz szyfrowanie dla zestawu skalowania maszyn wirtualnych: Użyj az vmss szyfrowanie wyłączoneDisable encryption on a virtual machine scale set: Use az vmss encryption disable

     az vmss encryption disable --resource-group "MyVMScaleSetResourceGroup" --name "MySecureVmss"
    

Ustawia szablony usługi Azure Resource Manager dla Windows skalowania maszyn wirtualnychAzure Resource Manager templates for Windows virtual machine scale sets

Do szyfrowania lub odszyfrowywania skalowania maszyn wirtualnych Windows ustawia, należy użyć szablonów usługi Azure Resource Manager i poniższymi instrukcjami:To encrypt or decrypt Windows virtual machine scale sets, use the Azure Resource Manager templates and instructions below:

Nowe maszyny wirtualne IaaS utworzone na podstawie szyfrowane klienta wirtualnego dysku twardego i kluczy szyfrowania New IaaS VMs created from customer-encrypted VHD and encryption keys

W tym scenariuszu można włączyć szyfrowanie przy użyciu poleceń cmdlet programu PowerShell lub interfejsu wiersza polecenia.In this scenario, you can enable encrypting by using PowerShell cmdlets or CLI commands.

Postępuj zgodnie z instrukcjami w dodatku do przygotowania obrazów zaszyfrowane wstępnie, których można użyć na platformie Azure.Use the instructions in the appendix for preparing pre-encrypted images that can be used in Azure. Po utworzeniu obrazu, do tworzenia zaszyfrowanych maszyn wirtualnych platformy Azure za pomocą kroki opisane w następnej sekcji.After the image is created, you can use the steps in the next section to create an encrypted Azure VM.

Ważne

Jest to konieczne do migawki i/lub kopii zapasowej dysku zarządzanego na podstawie wystąpienia maszyny Wirtualnej poza i przed włączeniem usługi Azure Disk Encryption.It is mandatory to snapshot and/or backup a managed disk based VM instance outside of, and prior to enabling Azure Disk Encryption. Migawkę dysku zarządzanego, może zostać pobrany z portalu lub kopia zapasowa Azure mogą być używane.A snapshot of the managed disk can be taken from the portal, or Azure Backup can be used. Tworzenie kopii zapasowych upewnij się, że opcja odzyskiwania możliwe w przypadku dowolnego nieoczekiwany błąd podczas szyfrowania.Backups ensure that a recovery option is possible in the case of any unexpected failure during encryption. Po nawiązaniu kopii zapasowej polecenia cmdlet Set-AzVMDiskEncryptionExtension może służyć do szyfrowania dysków zarządzanych, określając parametr - skipVmBackup.Once a backup is made, the Set-AzVMDiskEncryptionExtension cmdlet can be used to encrypt managed disks by specifying the -skipVmBackup parameter. Polecenie Set-AzVMDiskEncryptionExtension zakończy się niepowodzeniem dla maszyn wirtualnych dysku zarządzanego na podstawie, dopóki nie wykonano kopii zapasowej, a ten parametr został określony.The Set-AzVMDiskEncryptionExtension command will fail against managed disk based VMs until a backup has been made and this parameter has been specified.

Szyfrowanie lub wyłączenie szyfrowania może spowodować ponowne uruchomienie maszyny Wirtualnej.Encrypting or disabling encryption may cause the VM to reboot.

Szyfrowanie maszyn wirtualnych przy użyciu wstępnie zaszyfrowanych dysków VHD za pomocą programu Azure PowerShell Encrypt VMs with pre-encrypted VHDs with Azure PowerShell

Można włączyć szyfrowanie dysków na zaszyfrowane wirtualnego dysku twardego za pomocą polecenia cmdlet programu PowerShell AzVMOSDisk zestaw.You can enable disk encryption on your encrypted VHD by using the PowerShell cmdlet Set-AzVMOSDisk. W poniższym przykładzie zapewnia niektórych wspólnych parametrów.The example below gives you some common parameters.

$VirtualMachine = New-AzVMConfig -VMName "MySecureVM" -VMSize "Standard_A1"
$VirtualMachine = Set-AzVMOSDisk -VM $VirtualMachine -Name "SecureOSDisk" -VhdUri "os.vhd" Caching ReadWrite -Windows -CreateOption "Attach" -DiskEncryptionKeyUrl "https://mytestvault.vault.azure.net/secrets/Test1/514ceb769c984379a7e0230bddaaaaaa" -DiskEncryptionKeyVaultId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myKVresourcegroup/providers/Microsoft.KeyVault/vaults/mytestvault"
New-AzVM -VM $VirtualMachine -ResourceGroupName "MyVirtualMachineResourceGroup"

Włącz szyfrowanie dla dysków nowo dodane daneEnable encryption on a newly added data disk

Możesz Dodaj nowy dysk do maszyny Wirtualnej Windows przy użyciu programu PowerShell, lub za pośrednictwem witryny Azure portal.You can add a new disk to a Windows VM using PowerShell, or through the Azure portal.

Włącza szyfrowanie na nowo dodany dysk przy użyciu programu Azure PowerShellEnable encryption on a newly added disk with Azure PowerShell

Szyfrowanie nowego dysku dla maszyn wirtualnych Windows za pomocą programu Powershell, należy określić nową wersję sekwencji.When using Powershell to encrypt a new disk for Windows VMs, a new sequence version should be specified. Wersja sekwencji musi być unikatowa.The sequence version has to be unique. Poniższy skrypt generuje identyfikator GUID wersji sekwencji.The script below generates a GUID for the sequence version. W niektórych przypadkach dysk nowo dodane dane mogą być szyfrowane automatycznie przez rozszerzenie usługi Azure Disk Encryption.In some cases, a newly added data disk might be encrypted automatically by the Azure Disk Encryption extension. Automatyczne szyfrowanie występuje przeważnie, po ponownym uruchomieniu maszyny Wirtualnej, po nowy dysk przejściu do trybu online.Auto encryption usually occurs when the VM reboots after the new disk comes online. Jest to zazwyczaj spowodowane tym, ponieważ określono "All" dla typu woluminu podczas szyfrowania dysku wcześniej został uruchomiony na maszynie Wirtualnej.This is typically caused because "All" was specified for the volume type when disk encryption previously ran on the VM. W przypadku automatycznego szyfrowania na dysku nowo dodane dane, firma Microsoft zaleca, ponownie uruchom polecenie cmdlet Set-AzVmDiskEncryptionExtension nowej wersji sekwencji.If auto encryption occurs on a newly added data disk, we recommend running the Set-AzVmDiskEncryptionExtension cmdlet again with new sequence version. Jeśli nowy dysk danych jest automatycznie zaszyfrowane i nie powinna być szyfrowane, najpierw odszyfrować wszystkie dyski, a następnie ponownie zaszyfrować przy użyciu nowej wersji sekwencji, określając system operacyjny dla typu woluminu.If your new data disk is auto encrypted and you do not wish to be encrypted, decrypt all drives first then re-encrypt with a new sequence version specifying OS for the volume type.

  • Szyfruj uruchomionej maszyny Wirtualnej: Poniższy skrypt inicjuje zmiennych i uruchamia polecenie cmdlet Set-AzVMDiskEncryptionExtension.Encrypt a running VM: The script below initializes your variables and runs the Set-AzVMDiskEncryptionExtension cmdlet. Grupa zasobów, maszyny Wirtualnej i magazynu kluczy powinien zostały już utworzone jako warunki wstępne.The resource group, VM, and key vault should have already been created as prerequisites. Zamień MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM i MySecureVault własnymi wartościami.Replace MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM, and MySecureVault with your values. W tym przykładzie użyto "All" dla parametru - VolumeType zawiera woluminy zarówno systemu operacyjnego i danych.This example uses "All" for the -VolumeType parameter, which includes both OS and Data volumes. Jeśli chcesz szyfrowania woluminu systemu operacyjnego, należy użyć "System operacyjny" dla parametru - VolumeType.If you only want to encrypt the OS volume, use "OS" for the -VolumeType parameter.

     $KVRGname = 'MyKeyVaultResourceGroup';
     $VMRGName = 'MyVirtualMachineResourceGroup';
     $vmName = 'MySecureVM';
     $KeyVaultName = 'MySecureVault';
     $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
     $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
     $KeyVaultResourceId = $KeyVault.ResourceId;
     $sequenceVersion = [Guid]::NewGuid();
    
     Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
    
  • Szyfruj przy użyciu klucza KEK uruchomionej maszyny Wirtualnej: W tym przykładzie użyto "All" dla parametru - VolumeType zawiera woluminy zarówno systemu operacyjnego i danych.Encrypt a running VM using KEK: This example uses "All" for the -VolumeType parameter, which includes both OS and Data volumes. Jeśli chcesz szyfrowania woluminu systemu operacyjnego, należy użyć "System operacyjny" dla parametru - VolumeType.If you only want to encrypt the OS volume, use "OS" for the -VolumeType parameter.

    $KVRGname = 'MyKeyVaultResourceGroup';
    $VMRGName = 'MyVirtualMachineResourceGroup';
    $vmName = 'MyExtraSecureVM';
    $KeyVaultName = 'MySecureVault';
    $keyEncryptionKeyName = 'MyKeyEncryptionKey';
    $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
    $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
    $KeyVaultResourceId = $KeyVault.ResourceId;
    $keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
    $sequenceVersion = [Guid]::NewGuid();
    
    Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;
    
    

    Uwaga

    Składnia służąca do wartości parametru dysku — szyfrowanie — magazyn kluczy jest ciągiem pełny identyfikator: / subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]The syntax for the value of disk-encryption-keyvault parameter is the full identifier string: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
    Składnia wartości parametru klucza szyfrowania jest pełny identyfikator URI do KEK, podobnie jak w: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]The syntax for the value of the key-encryption-key parameter is the full URI to the KEK as in: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

Włącza szyfrowanie na nowo dodany dysk przy użyciu wiersza polecenia platformy AzureEnable encryption on a newly added disk with Azure CLI

Po uruchomieniu polecenia, aby włączyć szyfrowanie polecenia wiersza polecenia platformy Azure automatycznie zapewni nowej wersji sekwencji dla Ciebie.The Azure CLI command will automatically provide a new sequence version for you when you run the command to enable encryption. W przykładzie użyto "All" dla parametru typu woluminu.The example uses "All" for the volume-type parameter. Może być konieczna zmiana parametru typu woluminu do systemu operacyjnego, jeśli tylko Szyfrujesz dysk systemu operacyjnego.You may need to change the volume-type parameter to OS if you're only encrypting the OS disk. W przeciwieństwie do składni programu Powershell interfejsu wiersza polecenia nie wymaga od użytkownika podczas włączania szyfrowania wersji unikatowy ciąg.In contrast to Powershell syntax, the CLI does not require the user to provide a unique sequence version when enabling encryption. Interfejs wiersza polecenia automatycznie generuje i używa własną wartość wersji unikatowy ciąg.The CLI automatically generates and uses its own unique sequence version value.

  • Szyfruj uruchomionej maszyny Wirtualnej:Encrypt a running VM:

    az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type "All"
    
  • Szyfruj przy użyciu klucza KEK uruchomionej maszyny Wirtualnej:Encrypt a running VM using KEK:

    az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type "All"
    

Wyłącz szyfrowanieDisable encryption

Można wyłączyć szyfrowanie przy użyciu programu Azure PowerShell, interfejsu wiersza polecenia platformy Azure lub przy użyciu szablonu usługi Resource Manager.You can disable encryption using Azure PowerShell, the Azure CLI, or with a Resource Manager template. Wyłączenie szyfrowania dysku danych na maszynie Wirtualnej Windows, gdy zostały zaszyfrowane zarówno systemu operacyjnego i dysków z danymi nie działa zgodnie z oczekiwaniami.Disabling data disk encryption on Windows VM when both OS and data disks have been encrypted doesn't work as expected. Zamiast tego Wyłącz szyfrowanie dla wszystkich dysków.Disable encryption on all disks instead.

  • Wyłącz szyfrowanie dysków za pomocą programu Azure PowerShell: Aby wyłączyć szyfrowanie, użyj AzVMDiskEncryption Wyłącz polecenia cmdlet.Disable disk encryption with Azure PowerShell: To disable the encryption, use the Disable-AzVMDiskEncryption cmdlet.

    Disable-AzVMDiskEncryption -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM' -VolumeType "all"
    
  • Wyłącz szyfrowanie za pomocą wiersza polecenia platformy Azure: Aby wyłączyć szyfrowanie, użyj az vm encryption, wyłącz polecenia.Disable encryption with the Azure CLI: To disable encryption, use the az vm encryption disable command.

    az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type "all"
    
  • Wyłącz szyfrowanie za pomocą szablonu usługi Resource Manager:Disable encryption with a Resource Manager template:

    1. Kliknij przycisk Wdróż na platformie Azure z wyłączenie szyfrowania dysków na uruchomioną maszynę Wirtualną Windows szablonu.Click Deploy to Azure from the Disable disk encryption on running Windows VM template.
    2. Wybierz subskrypcję, grupy zasobów, lokalizację, maszyny Wirtualnej, typ woluminu, postanowienia prawne i umowy.Select the subscription, resource group, location, VM, volume type, legal terms, and agreement.
    3. Kliknij przycisk zakupu umożliwia wyłączenie szyfrowania dysku na uruchomionej maszynie Wirtualnej Windows.Click Purchase to disable disk encryption on a running Windows VM.

Kolejne krokiNext steps