Windows용 Azure Disk Encryption(Microsoft.Azure.Security.AzureDiskEncryption)
개요
Azure Disk Encryption은 BitLocker를 사용하여 Windows를 실행하는 Azure 가상 머신에서 전체 디스크 암호화를 제공합니다. 이 솔루션은 Azure Key Vault와 통합되어 키 자격 증명 모음 구독의 디스크 암호화 키와 비밀을 관리합니다.
필수 조건
사전 요구 사항의 전체 목록은 Windows VM용 Azure Disk Encryption, 특히 다음 섹션을 참조하세요.
확장 스키마
Azure Disk Encryption(ADE)에는 두 가지 버전의 확장 스키마가 있습니다.
- v2.2 - Microsoft Entra 속성을 사용하지 않는 최신 권장 스키마
- v1.1 - Microsoft Entra 속성이 필요한 이전 스키마
대상 스키마를 선택하려면 typeHandlerVersion 속성을 사용하려는 스키마 버전과 동일하게 설정해야 합니다.
스키마 v2.2: Microsoft Entra ID 없음(권장)
v2.2 스키마는 모든 새 VM에 권장되며 Microsoft Entra 속성이 필요하지 않습니다.
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "2.2",
"autoUpgradeMinorVersion": true,
"settings": {
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
스키마 v1.1: Microsoft Entra ID 사용
1.1 스키마는 aadClientID 및 aadClientSecret와 AADClientCertificate 중 하나가 필요하며, 새 VM에는 권장되지 않습니다.
aadClientSecret사용:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientSecret": "[aadClientSecret]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "1.1",
"settings": {
"AADClientID": "[aadClientID]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
AADClientCertificate사용:
{
"type": "extensions",
"name": "[name]",
"apiVersion": "2019-07-01",
"location": "[location]",
"properties": {
"protectedSettings": {
"AADClientCertificate": "[aadClientCertificate]"
},
"publisher": "Microsoft.Azure.Security",
"type": "AzureDiskEncryption",
"typeHandlerVersion": "1.1",
"settings": {
"AADClientID": "[aadClientID]",
"EncryptionOperation": "[encryptionOperation]",
"KeyEncryptionAlgorithm": "[keyEncryptionAlgorithm]",
"KeyVaultURL": "[keyVaultURL]",
"KeyVaultResourceId": "[keyVaultResourceID]",
"KeyEncryptionKeyURL": "[keyEncryptionKeyURL]",
"KekVaultResourceId": "[kekVaultResourceID]",
"SequenceVersion": "sequenceVersion]",
"VolumeType": "[volumeType]"
}
}
}
속성 값
참고: 모든 값은 대/소문자를 구분합니다.
| 이름 | 값/예제 | 데이터 형식 |
|---|---|---|
| apiVersion | 2019-07-01 | 날짜 |
| publisher | Microsoft.Azure.Security | string |
| type | AzureDiskEncryption | string |
| typeHandlerVersion | 2.2, 1.1 | string |
| (0.1 스키마) AADClientID | xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx | guid |
| (1.1 스키마) AADClientSecret | password | string |
| (1.1 스키마) AADClientCertificate | thumbprint | string |
| EncryptionOperation | EnableEncryption | string |
| (선택 사항 - 기본 RSA-OAEP) KeyEncryptionAlgorithm | 'RSA-OAEP', 'RSA-OAEP-256', 'RSA1_5' | string |
| KeyVaultURL | url | string |
| KeyVaultResourceId | url | string |
| (선택 사항) KeyEncryptionKeyURL | url | string |
| (선택 사항) KekVaultResourceId | url | string |
| (선택 사항) SequenceVersion | uniqueidentifier | string |
| VolumeType | OS, Data, All | string |
템플릿 배포
스키마 v2.2를 기반으로 하는 템플릿 배포의 예는 Azure 빠른 시작 템플릿 encrypt-running-windows-vm-without-aad를 참조하세요.
스키마 v1.1을 기반으로 하는 템플릿 배포의 예는 Azure 빠른 시작 템플릿 encrypt-running-windows-vm을 참조하세요.
참고 항목
또한 VolumeType 매개 변수를 All로 설정하면 데이터 디스크는 형식이 올바르게 지정된 경우에만 암호화됩니다.
문제 해결 및 지원
문제 해결
문제 해결 방법은 Azure Disk Encryption 문제 해결 가이드를 참조하세요.
지원
이 문서의 어디에서든 도움이 필요한 경우 MSDN Azure 및 Stack Overflow 포럼에서 Azure 전문가에게 문의할 수 있습니다.
또는 Azure 기술 지원 인시던트를 제출할 수 있습니다. Azure 지원으로 이동하여 지원받기를 선택합니다. Azure 지원을 사용하는 방법에 대한 자세한 내용은 Microsoft Azure 지원 FAQ를 참조하세요.
다음 단계
- 확장에 대한 자세한 내용은 Windows용 가상 머신 확장 및 기능을 참조하세요.
- Windows용 Azure Disk Encryption에 대한 자세한 내용은 Windows 가상 머신을 참조하세요.