Azure Resource Manager テンプレートへの暗号化の追加によるセキュアな VM デプロイの自動化
会社がクラウド移行の一環としていくつかのサーバーをデプロイしているとします。 デプロイ時には仮想マシン (VM) ディスクを暗号化する必要があるため、ディスクが攻撃を受けやすくなることはありません。 このプロセスを自動化して、暗号化を自動的に有効化するように Azure Resource Manager テンプレートを変更することをお勧めします。
ここでは、Azure Resource Manager テンプレートを使用して、新しい Windows VM の暗号化を自動的に有効にする方法を見ていきます。
Azure Resource Manager テンプレートとは
Resource Manager テンプレートは、Azure にデプロイするリソース セットを定義するための JSON ファイルです。 新規作成することも、VM など一部の Azure リソースについては、Azure portal を使用して生成することもできます。 手動の VM デプロイでは必須情報を入力する必要がありますが、VM を Azure にデプロイする代わりに、テンプレートを保存します。 テンプレートを再利用し、その特定の VM 構成を作成できます。
あらゆる種類の管理タスクを自動化するために使用できるサンプル テンプレートはこちらにあります。 実際、前回の演習で手動で実行した VM 暗号化は、これらのテンプレートの 1 つを使用して実行できます。
GitHub テンプレートを使用する
実際のテンプレート ソースは GitHub に保存されています。 GitHub でテンプレートを参照し、そのページから Azure に直接デプロイできます。
![GitHub テンプレートのスクリーンショット。[Azure にデプロイ] ボタンが強調されています。](media/5-deploy-from-github.png)
テンプレートがデプロイされると、Azure によって必須の入力フィールドのリストが表示されます。
次に、テンプレートを実行してリソースを作成、修正、削除できます。
Azure portal でテンプレートを実行する
使用するテンプレートが既にわかっている場合、あるいは自分の Azure アカウントにテンプレートを保存している場合は、[リソースの作成]>[テンプレートのデプロイ] リソースを使用して、ポータルで定義済みのテンプレートを見つけて実行できます。 名前でテンプレートを検索したり、テンプレートを編集してパラメーターや動作を変更したり、GUI から直接テンプレートを実行したりできます。
コマンド ラインからテンプレートを実行する
テンプレートの URL がわかると、Azure PowerShell でそれを実行できます。 たとえば、次の PowerShell コマンドでディスク暗号化テンプレートを実行できます。
New-AzResourceGroupDeployment `
-Name encrypt-disk `
-ResourceGroupName <resource-group-name> `
-TemplateUri https://raw.githubusercontent.com/azure/azure-quickstart-templates/master/201-encrypt-running-windows-vm-without-aad/azuredeploy.json
または、Azure CLI を使用する場合は、az deployment group create コマンドを実行します。
az deployment group create --resource-group <my-resource-group> --name <my-deployment-name> \
--template-uri https://raw.githubusercontent.com/azure/azure-quickstart-templates/master/201-encrypt-running-windows-vm-without-aad/azuredeploy.json