Schnellstart: Erstellen und Verschlüsseln einer Windows-VM mit PowerShell in Azure
Gilt für: ✔️ Windows-VMs
Das Azure PowerShell-Modul dient zum Erstellen und Verwalten von Azure-Ressourcen über die PowerShell-Befehlszeile oder mit Skripts. In dieser Schnellstartanleitung erfahren Sie, wie Sie mit dem Azure PowerShell-Modul einen virtuellen Windows-Computer (VM) und einen Schlüsseltresor zum Speichern von Verschlüsselungsschlüsseln erstellen und den virtuellen Computer verschlüsseln.
Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
Erstellen einer Ressourcengruppe
Erstellen Sie mit New-AzResourceGroup eine Azure-Ressourcengruppe. Eine Ressourcengruppe ist ein logischer Container, in dem Azure-Ressourcen bereitgestellt und verwaltet werden:
New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"
Erstellen eines virtuellen Computers
Erstellen Sie mit New-AzVM einen virtuellen Azure-Computer. Sie müssen dem Cmdlet Anmeldeinformationen übergeben.
$cred = Get-Credential
New-AzVM -Name MyVm -Credential $cred -ResourceGroupName MyResourceGroup -Image win2016datacenter -Size Standard_D2S_V3
Die Bereitstellung des virtuellen Computers dauert ein paar Minuten.
Erstellen eines für Verschlüsselungsschlüssel konfigurierten Schlüsseltresors
Bei der Azure-Datenträgerverschlüsselung werden die Verschlüsselungsschlüssel in Azure Key Vault gespeichert. Erstellen Sie mit New-AzKeyvault einen Schlüsseltresor. Um dem Schlüsseltresor die Speicherung von Verschlüsselungsschlüsseln zu ermöglichen, verwenden Sie den Parameter „-EnabledForDiskEncryption“.
Wichtig
Jeder Schlüsseltresor muss einen eindeutigen Namen haben. Das folgende Beispiel erstellt einen Schlüsseltresor mit dem Namen myKV. Ihren eigenen müssen Sie jedoch mit einem anderen Namen versehen.
New-AzKeyvault -name MyKV -ResourceGroupName myResourceGroup -Location EastUS -EnabledForDiskEncryption
Verschlüsseln des virtuellen Computers
Verschlüsseln Sie Ihre VM mit Set-AzVmDiskEncryptionExtension.
Set-AzVmDiskEncryptionExtension benötigt einige Werte aus Ihrem Schlüsseltresorobjekt. Sie können diese Werte erhalten, indem Sie den eindeutigen Namen Ihres Schlüsseltresors an Get-AzKeyvault übergeben.
$KeyVault = Get-AzKeyVault -VaultName MyKV -ResourceGroupName MyResourceGroup
Set-AzVMDiskEncryptionExtension -ResourceGroupName MyResourceGroup -VMName MyVM -DiskEncryptionKeyVaultUrl $KeyVault.VaultUri -DiskEncryptionKeyVaultId $KeyVault.ResourceId
Nach einigen Minuten gibt der Prozess die folgende Ausgabe zurück:
RequestId IsSuccessStatusCode StatusCode ReasonPhrase
--------- ------------------- ---------- ------------
True OK OK
Sie können den Verschlüsselungsvorgang durch Ausführung von Get-AzVmDiskEncryptionStatus überprüfen.
Get-AzVmDiskEncryptionStatus -VMName MyVM -ResourceGroupName MyResourceGroup
Wenn die Verschlüsselung aktiviert ist, werden in der zurückgegebenen Ausgabe die folgenden Felder angezeigt:
OsVolumeEncrypted : Encrypted
DataVolumesEncrypted : NoDiskFound
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage : Provisioning succeeded
Bereinigen von Ressourcen
Wenn die Ressourcengruppe, die VM und alle dazugehörigen Ressourcen nicht mehr benötigt werden, können Sie sie mit dem Cmdlet Remove-AzResourceGroup entfernen:
Remove-AzResourceGroup -Name "myResourceGroup"
Nächste Schritte
In diesem Schnellstart haben Sie einen virtuellen Computer und einen Schlüsseltresor erstellt, der für Verschlüsselungsschlüssel aktiviert wurde, und die VM verschlüsselt. Fahren Sie mit dem nächsten Artikel fort, um weitere Informationen zu den Voraussetzungen für Azure Disk Encryption und virtuelle IaaS-Computer zu erhalten.