Linux 用 Azure Disk Encryption (Microsoft.Azure.Security.AzureDiskEncryptionForLinux)

概要

Azure Disk Encryption は、Linux の DM-Crypt サブシステムを活用して、特定の Azure Linux ディストリビューションでディスク全体の暗号化を提供します。 このソリューションは、ディスク暗号化キーとシークレットを管理できるように、Azure Key Vault と統合されています。

前提条件

前提条件の完全な一覧については、「Linux VM に対する Azure Disk Encryption」の特に次のセクションを参照してください。

• サポートされている VM とオペレーティング システム
• 追加の VM 要件
• ネットワーク要件
• 暗号化キーのストレージ要件

拡張機能のスキーマ

Azure Disk Encryption (ADE) 用の拡張スキーマには、次の 2 つのバージョンがあります。

• v1.1 - Microsoft Entra のプロパティを使用しない、推奨される新しいスキーマ。
• v0.1 - Microsoft Entra プロパティを必要とする古いスキーマ。

ターゲット スキーマを選択するには、typeHandlerVersion プロパティを、使用するスキーマのバージョンと同じ値に設定する必要があります。

スキーマ v1.1: Microsoft Entra ID なし (推奨)

V1.1 スキーマは推奨されており、Microsoft Entra のプロパティを必要としません。

Note

DiskFormatQuery パラメーターは非推奨になりました。 この機能は、暗号化時のデータ ディスクのフォーマットで推奨される EncryptFormatAll オプションに代わり、置き換えられました。

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "AzureDiskEncryptionForLinux",
        "typeHandlerVersion": "1.1",
        "autoUpgradeMinorVersion": true,
        "settings": {
          "DiskFormatQuery": "[diskFormatQuery]",
          "EncryptionOperation": "[encryptionOperation]",
          "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
          "KeyVaultURL": "[keyVaultURL]",
          "KeyVaultResourceId": "[KeyVaultResourceId]",
          "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
          "KekVaultResourceId": "[KekVaultResourceId",
          "SequenceVersion": "sequenceVersion]",
          "VolumeType": "[volumeType]"
        }
  }
}

スキーマ v0.1: Microsoft Entra ID を使用

0.1 スキーマでは、AADClientID と、AADClientSecret または AADClientCertificate のいずれかを必要とします。

AADClientSecretの使用

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientSecret": "[aadClientSecret]",
      "Passphrase": "[passphrase]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryptionForLinux",
    "typeHandlerVersion": "0.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "DiskFormatQuery": "[diskFormatQuery]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KeyVaultURL": "[keyVaultURL]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

AADClientCertificateの使用

{
  "type": "extensions",
  "name": "[name]",
  "apiVersion": "2019-07-01",
  "location": "[location]",
  "properties": {
    "protectedSettings": {
      "AADClientCertificate": "[aadClientCertificate]",
      "Passphrase": "[passphrase]"
    },
    "publisher": "Microsoft.Azure.Security",
    "type": "AzureDiskEncryptionForLinux",
    "typeHandlerVersion": "0.1",
    "settings": {
      "AADClientID": "[aadClientID]",
      "DiskFormatQuery": "[diskFormatQuery]",
      "EncryptionOperation": "[encryptionOperation]",
      "KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
      "KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
      "KeyVaultURL": "[keyVaultURL]",
      "SequenceVersion": "sequenceVersion]",
      "VolumeType": "[volumeType]"
    }
  }
}

プロパティ値

注: すべてのプロパティ値は大文字と小文字が区別されます。

名前	値/例	データ型
apiVersion	2019-07-01	date
publisher	Microsoft.Azure.Security	string
type	AzureDiskEncryptionForLinux	string
typeHandlerVersion	1.1、0.1	INT
(0.1 スキーマ) AADClientID	xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx	guid
(0.1 スキーマ) AADClientSecret	password	string
(0.1 スキーマ) AADClientCertificate	thumbprint	string
(省略可能) (0.1 スキーマ) パスフレーズ	password	string
DiskFormatQuery	{"dev_path":"","name":"","file_system":""}	JSON 辞書
EncryptionOperation	EnableEncryption、EnableEncryptionFormatAll	string
(省略可能 - 既定値 RSA-OAEP) KeyEncryptionAlgorithm	'RSA-OAEP'、'RSA-OAEP-256'、'RSA1_5'	string
KeyVaultURL	url	string
KeyVaultResourceId	url	string
(省略可能) KeyEncryptionKeyURL	url	string
(省略可能) KekVaultResourceId	url	string
(省略可能) SequenceVersion	UNIQUEIDENTIFIER	string
VolumeType	OS、Data、All	string

テンプレートのデプロイ

スキーマ v1.1 に基づくテンプレートのデプロイの例については、Azure クイックスタート テンプレートの encrypt-running-linux-vm-without-aad を参照してください。

スキーマ v0.1 に基づくテンプレートのデプロイの例については、Azure クイックスタート テンプレートの encrypt-running-linux-vm を参照してください。

警告

• これまで Microsoft Entra ID で Azure Disk Encryption を使用して VM を暗号化していた場合は、引き続きこのオプションを使用して VM を暗号化する必要があります。
• Linux OS ボリュームを暗号化する場合、VM は利用不可と見なす必要があります。 暗号化プロセス中にアクセスする必要がある、開かれたファイルがブロックされる問題を回避するために、暗号化の進行中は SSH login を避けることを強くお勧めします。 進行状況を確認するには、Get-AzVMDiskEncryptionStatus PowerShell コマンドレットまたは vm encryption show CLI コマンドを使用します。 30GB の OS ボリュームに対するこのプロセスの実行には、数時間に加え、データ ボリュームを暗号化するための時間がかかることが予測されます。 データ ボリュームの暗号化の時間は、データ ボリュームのサイズと数に比例します。encrypt format all オプションはインプレース暗号化より高速ですが、ディスク上のすべてのデータが失われます。
• Linux VM での暗号化の無効化は、データ ボリュームに対してのみサポートされます。 OS ボリュームが暗号化されている場合、暗号化の無効化はデータ ボリュームまたは OS ボリュームではサポートされません。

注意

また、VolumeType パラメーターが All に設定されている場合は、正しくマウントされている場合にのみ、データ ディスクが暗号化されます。

トラブルシューティングとサポート

トラブルシューティング

トラブルシューティングについては、「Azure Disk Encryption トラブルシューティング ガイド」を参照してください。

サポート

この記事についてさらにヘルプが必要な場合は、いつでも MSDN の Azure フォーラムと Stack Overflow フォーラムで Azure エキスパートに問い合わせることができます。

または、Azure サポート インシデントを送信できます。 Azure サポートに移動して、[サポートを受ける] を選択します。 Azure サポートの使用方法の詳細については、「 Azure Support FAQ (Microsoft Azure サポートに関する FAQ)」を参照してください。

次のステップ

• VM 拡張機能の詳細については、「Linux 用の仮想マシンの拡張機能とその機能」を参照してください。
• Linux 用の Azure Disk Encryption の詳細については、「Linux Virtual Machines」を参照してください。