Windows VM'lerinde Azure Disk Şifrelemesi senaryoları

  • Makale

Şunlar için geçerlidir: ✔️ Windows VM'leri ✔️ Esnek ölçek kümeleri

Windows sanal makineleri (VM) için Azure Disk Şifrelemesi, Windows’un BitLocker özelliğini kullanarak işletim sistemi diskini ve veri diskini şifreler. Ayrıca VolumeType parametresi All olduğunda geçici disklerin de şifrelenmesini sağlar.

Azure Disk Şifrelemesi, disk şifreleme anahtarlarını ve gizli dizilerini denetlemenize ve yönetmenize yardımcı olmak için Azure Key Vault ile tümleşiktir. Hizmete genel bakış için bkz. Windows VM’leri için Azure Disk Şifrelemesi.

Önkoşullar

Disk şifrelemesini yalnızca desteklenen VM boyutlarına ve işletim sistemlerine sahip olan sanal makinelere uygulayabilirsiniz. Aşağıdaki önkoşulları da karşılamanız gerekir:

Kısıtlamalar

Daha önce bu sanal makineyi şifrelemek için Microsoft Entra ID ile Azure Disk Şifrelemesi’ni kullandıysanız, sanal makinenizi şifrelerken bu seçeneği kullanmaya devam etmeniz gerekir. Ayrıntılar için bkz. Microsoft Entra ID ile Azure Disk Şifrelemesi (önceki sürüm).

Diskler şifrelenmeden önce anlık görüntü almanız ve/veya yedekleme oluşturmanız gerekir. Yedeklemeler, şifreleme sırasında beklenmeyen bir hata oluşması durumunda kurtarma seçeneğinin mümkün olmasını sağlar. Yönetilen disklere sahip olan sanal makinelerin şifreleme öncesinde yedeklenmesi gerekir. Yedekleme yapıldıktan sonra, -skipVmBackup parametresini belirterek yönetilen diskleri şifrelemek için Set-AzVMDiskEncryptionExtension cmdlet'ini kullanabilirsiniz. Şifrelenmiş sanal makineleri yedekleme ve geri yükleme hakkında daha fazla bilgi için bkz. Şifrelenmiş Azure sanal makinelerini yedekleme ve geri yükleme.

Sanal makinenin şifrelenmesi veya şifrelemenin devre dışı bırakılması, yeniden başlatılmasına neden olabilir.

Azure Disk Şifrelemesi aşağıdaki senaryolar, özellikler ve teknolojilerle çalışmaz:

  • Temel katman sanal makinelerini veya klasik sanal makine oluşturma yöntemiyle oluşturulan sanal makinelerin şifrelenmesi.
  • Ntfs gerektirme gibi BitLocker'ın tüm gereksinimleri ve kısıtlamaları. Daha fazla bilgi için bkz . BitLocker'a genel bakış.
  • Yazılım tabanlı RAID sistemleriyle yapılandırılmış VM'leri şifreleme.
  • windows Depolama Alanları ile yapılandırılmış Depolama Alanları Doğrudan (S2D) veya 2016 öncesi Windows Server sürümleriyle yapılandırılmış VM'leri şifreleme.
  • Şirket içi anahtar yönetim sistemiyle tümleştirme.
  • Azure Dosyalar (paylaşılan dosya sistemi).
  • Ağ Dosya Sistemi (NFS).
  • Dinamik birimler.
  • Her kapsayıcı için dinamik birimler oluşturan Windows Server kapsayıcıları.
  • Kısa ömürlü işletim sistemi diskleri.
  • iSCSI diskleri.
  • DFS, GFS, DRDB ve CephFS gibi (ancak bunlarla sınırlı olmamak üzere) paylaşılan/dağıtılmış dosya sistemlerinin şifrelenmesini sağlar.
  • Şifrelenmiş vm'yi başka bir aboneliğe veya bölgeye taşıma.
  • Şifrelenmiş sanal makine görüntüsünün veya anlık görüntüsünün başka sanal makineler dağıtmak için kullanılması.
  • Yazma Hızlandırıcısı diskleri olan M serisi VM'ler.
  • ADE'yi Konakta Şifreleme veya müşteri tarafından yönetilen anahtarlarla sunucu tarafı şifreleme (SSE + CMK) ile şifrelenmiş diskleri olan bir VM'ye uygulama. Bir veri diskine SSE + CMK uygulamak veya ADE ile şifrelenmiş bir VM'ye SSE + CMK yapılandırılmış bir veri diski eklemek de desteklenmeyen bir senaryodur.
  • ADE ile şifrelenmiş veya ADE ile şifrelenmiş bir VM'yi Konakta Şifreleme'ye veya müşteri tarafından yönetilen anahtarlarla sunucu tarafı şifrelemeye geçirme.
  • Yük devretme kümelerindeki VM'leri şifreleme.
  • Azure ultra disklerinin şifrelenmesini sağlar.
  • Premium SSD v2 disklerinin şifresi.
  • İlkenin DENY etkisiyle etkinleştirildiği aboneliklerdeki Secrets should have the specified maximum validity period VM'lerin şifresi.
  • İlkenin DENY etkisiyle etkinleştirildiği aboneliklerdeki Key Vault secrets should have an expiration date VM'lerin şifrelenmesini sağlama

Araçları yükleme ve Azure'a bağlanma

Azure Disk Şifrelemesi etkinleştirilebilir ve Azure CLI ve Azure PowerShell. Bunu yapmak için araçları yerel olarak yüklemeniz ve Azure aboneliğinize bağlanmanız gerekir.

Azure CLI

Azure CLI 2.0, Azure kaynaklarını yönetmeye yönelik bir komut satırı aracıdır. CLI, verileri esnek bir şekilde sorgulamak, uzun süre çalışan işlemleri engelleyici olmayan işlemler olarak desteklemek ve betik oluşturma işlemini kolaylaştırmak için tasarlanmıştır. Azure CLI'yi yükleme makalesindeki adımları izleyerek yerel olarak yükleyebilirsiniz.

Azure CLI ile Azure hesabınızda oturum açmak için az login komutunu kullanın.

az login

Altında oturum açmak için bir kiracı seçmek istiyorsanız şunu kullanın:

az login --tenant <tenant>

Birden çok aboneliğiniz varsa ve belirli bir abonelik belirtmek istiyorsanız az account list ile abonelik listenizi alın ve az account set ile belirtin.

az account list
az account set --subscription "<subscription name or ID>"

Daha fazla bilgi için bkz . Azure CLI 2.0'ı kullanmaya başlama.

Azure PowerShell

Azure PowerShell az modülü, Azure kaynaklarınızı yönetmek için Azure Resource Manager modelini kullanan bir cmdlet kümesi sağlar. Azure Cloud Shell ile tarayıcınızda kullanabilir veya Azure PowerShell modülünü yükleme yönergelerini kullanarak yerel makinenize yükleyebilirsiniz.

Yerel olarak zaten yüklediyseniz, Azure Disk Şifrelemesi yapılandırmak için Azure PowerShell SDK sürümünün en son sürümünü kullandığınızdan emin olun. Azure PowerShell sürümünün en son sürümünü indirin.

Azure PowerShell ile Azure hesabınızda oturum açmak için Connect-AzAccount cmdlet'ini kullanın.

Connect-AzAccount

Birden çok aboneliğiniz varsa ve bir abonelik belirtmek istiyorsanız, bunları listelemek için Get-AzSubscription cmdlet'ini ve ardından Set-AzContext cmdlet'ini kullanın:

Set-AzContext -Subscription <SubscriptionId>

Get-AzContext cmdlet'ini çalıştırmak doğru aboneliğin seçildiğini doğrular.

Azure Disk Şifrelemesi cmdlet'lerinin yüklendiğini onaylamak için Get-command cmdlet'ini kullanın:

Get-command *diskencryption*

Daha fazla bilgi için bkz . Azure PowerShell'i kullanmaya başlama.

Mevcut veya çalışan bir Windows VM'de şifrelemeyi etkinleştirme

Bu senaryoda, Resource Manager şablonunu, PowerShell cmdlet'lerini veya CLI komutlarını kullanarak şifrelemeyi etkinleştirebilirsiniz. Sanal makine uzantısı için şema bilgilerine ihtiyacınız varsa Windows uzantısı için Azure Disk Şifrelemesi makalesine bakın.

Azure PowerShell ile mevcut veya çalışan VM'lerde şifrelemeyi etkinleştirme

Azure'da çalışan bir IaaS sanal makinesinde şifrelemeyi etkinleştirmek için Set-AzVMDiskEncryptionExtension cmdlet'ini kullanın.

  • Çalışan bir VM'yi şifreleme: Aşağıdaki betik, değişkenlerinizi başlatır ve Set-AzVMDiskEncryptionExtension cmdlet'ini çalıştırır. Kaynak grubu, VM ve anahtar kasası önkoşul olarak zaten oluşturulmuş olmalıdır. MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM ve MySecureVault değerleriniz ile değiştirin.

     $KVRGname = 'MyKeyVaultResourceGroup';
 $VMRGName = 'MyVirtualMachineResourceGroup';
 $vmName = 'MySecureVM';
 $KeyVaultName = 'MySecureVault';
 $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
 $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
 $KeyVaultResourceId = $KeyVault.ResourceId;

 Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId;

  • KEK kullanarak çalışan bir VM'i şifreleme:

    $KVRGname = 'MyKeyVaultResourceGroup';
$VMRGName = 'MyVirtualMachineResourceGroup';
$vmName = 'MyExtraSecureVM';
$KeyVaultName = 'MySecureVault';
$keyEncryptionKeyName = 'MyKeyEncryptionKey';
$KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
$diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
$KeyVaultResourceId = $KeyVault.ResourceId;
$keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;

Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId;

    Not

    Disk-encryption-keyvault parametresinin değerinin söz dizimi tam tanımlayıcı dizesidir: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
    Anahtar-şifreleme-anahtar parametresinin değerinin söz dizimi KEK'nin tam URI'sidir; örneğin: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

  • Disklerin şifrelendiğini doğrulayın: IaaS VM'sinin şifreleme durumunu denetlemek için Get-AzVmDiskEncryptionStatus cmdlet'ini kullanın.

    Get-AzVmDiskEncryptionStatus -ResourceGroupName 'MyVirtualMachineResourceGroup' -VMName 'MySecureVM'

Şifrelemeyi devre dışı bırakmak için bkz . Şifrelemeyi devre dışı bırakma ve şifreleme uzantısını kaldırma.

Azure CLI ile mevcut veya çalışan VM'lerde şifrelemeyi etkinleştirme

Azure'da çalışan bir IaaS sanal makinesinde şifrelemeyi etkinleştirmek için az vm encryption enable komutunu kullanın.

  • Çalışan vm'leri şifreleme:

    az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type [All|OS|Data]

  • KEK kullanarak çalışan bir VM'i şifreleme:

    az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type [All|OS|Data]

    Not

    Disk-encryption-keyvault parametresinin değerinin söz dizimi tam tanımlayıcı dizesidir: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
    Anahtar-şifreleme-anahtar parametresinin değerinin söz dizimi, KEK'nin tam URI'sidir; örneğin: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

  • Disklerin şifrelendiğini doğrulayın: IaaS VM'sinin şifreleme durumunu denetlemek için az vm encryption show komutunu kullanın.

    az vm encryption show --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup"

Şifrelemeyi devre dışı bırakmak için bkz . Şifrelemeyi devre dışı bırakma ve şifreleme uzantısını kaldırma.

Resource Manager şablonunu kullanma

Çalışan bir Windows VM'sini şifrelemek için Resource Manager şablonunu kullanarak Azure'daki mevcut veya çalışan IaaS Windows VM'lerinde disk şifrelemeyi etkinleştirebilirsiniz.

  1. Azure hızlı başlangıç şablonunda Azure'a Dağıt'a tıklayın.

  2. Aboneliği, kaynak grubunu, konumu, ayarları, yasal koşulları ve sözleşmeyi seçin. Mevcut veya çalışan IaaS VM'sinde şifrelemeyi etkinleştirmek için Satın Al'a tıklayın.

Aşağıdaki tabloda, mevcut veya çalışan VM'ler için Resource Manager şablon parametreleri listelenmiştir:

Parametre Açıklama
vmName Şifreleme işlemini çalıştıracak VM'nin adı.
keyVaultName BitLocker anahtarının karşıya yüklenmesi gereken anahtar kasasının adı. Cmdlet'ini (Get-AzKeyVault -ResourceGroupName <MyKeyVaultResourceGroupName>). Vaultname veya Azure CLI komutunu kullanarak alabilirsiniz az keyvault list --resource-group "MyKeyVaultResourceGroup"
keyVaultResourceGroup Anahtar kasasını içeren kaynak grubunun adı
keyEncryptionKeyURL Anahtar şifreleme anahtarının URL'si, https://< keyvault-name.vault.azure.net/key/>< key-name> biçimindedir. KEK kullanmak istemiyorsanız, bu alanı boş bırakın.
volumeType Şifreleme işleminin gerçekleştirdiği birimin türü. Geçerli değerler işletim sistemi, Veri ve Tümü'lerdir.
forceUpdateTag İşlemin her zorlanması gerektiğinde GUID gibi benzersiz bir değer geçirin.
resizeOSDisk sistem birimi bölünmeden önce işletim sistemi bölümü tam işletim sistemi VHD'sini kaplar şekilde yeniden boyutlandırılmalıdır.
konum Tüm kaynakların konumu.

Lsv2 VM'leri için NVMe disklerinde şifrelemeyi etkinleştirme

Bu senaryoda, Lsv2 serisi VM'ler için NVMe disklerinde Azure Disk Şifrelemesi etkinleştirme açıklanmaktadır. Lsv2 serisi yerel NVMe depolama alanına sahiptir. Yerel NVMe Diskleri geçicidir ve VM'nizi durdurur/serbest bırakırsanız bu disklerdeki veriler kaybolur (Bkz. Lsv2 serisi).

NVMe disklerinde şifrelemeyi etkinleştirmek için:

  1. NVMe disklerini başlatın ve NTFS birimleri oluşturun.
  2. VolumeType parametresi Tümü olarak ayarlanmış şekilde VM'de şifrelemeyi etkinleştirin. Bu, NVMe diskleri tarafından yedeklenen birimler de dahil olmak üzere tüm işletim sistemi ve veri diskleri için şifrelemeyi etkinleştirir. Bilgi için bkz . Mevcut veya çalışan bir Windows VM'de şifrelemeyi etkinleştirme.

Şifreleme aşağıdaki senaryolarda NVMe disklerinde kalıcı olur:

  • VM yeniden başlatma
  • Sanal makine ölçek kümesi yeniden oluşturma
  • İşletim sistemini değiştirme

NVMe diskleri aşağıdaki senaryolarda başlatılmaz:

  • Serbest bırakmadan sonra VM'i başlatma
  • Hizmet düzeltme
  • Yedekleme

Bu senaryolarda VM başlatıldıktan sonra NVMe disklerinin başlatılması gerekir. NVMe disklerinde şifrelemeyi etkinleştirmek için komutunu çalıştırarak NVMe diskleri başlatıldıktan sonra Azure Disk Şifrelemesi yeniden etkinleştirin.

Kısıtlamalar bölümünde listelenen senaryolara ek olarak, NVMe disklerinin şifrelenmesi aşağıdakiler için desteklenmez:

Müşteri tarafından şifrelenmiş VHD ve şifreleme anahtarlarından oluşturulan yeni IaaS VM'leri

Bu senaryoda, PowerShell cmdlet'lerini veya CLI komutlarını kullanarak önceden şifrelenmiş bir VHD'den ve ilişkili şifreleme anahtarlarından yeni bir VM oluşturabilirsiniz.

Önceden şifrelenmiş bir Windows VHD hazırlama başlığındaki yönergeleri kullanın. Görüntü oluşturulduktan sonra, bir sonraki bölümdeki adımları kullanarak şifrelenmiş bir Azure VM oluşturabilirsiniz.

Azure PowerShell ile önceden şifrelenmiş VHD'lerle VM'leri şifreleme

Set-AzVMOSDisk PowerShell cmdlet'ini kullanarak şifrelenmiş VHD'nizde disk şifrelemesini etkinleştirebilirsiniz. Aşağıdaki örnekte bazı yaygın parametreler verilmiştir.

$VirtualMachine = New-AzVMConfig -VMName "MySecureVM" -VMSize "Standard_A1"
$VirtualMachine = Set-AzVMOSDisk -VM $VirtualMachine -Name "SecureOSDisk" -VhdUri "os.vhd" Caching ReadWrite -Windows -CreateOption "Attach" -DiskEncryptionKeyUrl "https://mytestvault.vault.azure.net/secrets/Test1/514ceb769c984379a7e0230bddaaaaaa" -DiskEncryptionKeyVaultId "/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myKVresourcegroup/providers/Microsoft.KeyVault/vaults/mytestvault"
New-AzVM -VM $VirtualMachine -ResourceGroupName "MyVirtualMachineResourceGroup"

Yeni eklenen veri diskinde şifrelemeyi etkinleştirme

PowerShell'i kullanarak veya Azure portalı aracılığıyla Windows VM'sine yeni bir disk ekleyebilirsiniz.

Not

Yeni eklenen veri diski şifrelemesi yalnızca PowerShell veya CLI aracılığıyla etkinleştirilmelidir. Şu anda Azure portalı yeni disklerde şifrelemeyi etkinleştirmeyi desteklememektedir.

Azure PowerShell ile yeni eklenen diskte şifrelemeyi etkinleştirme

Windows VM'leri için yeni bir diski şifrelemek için PowerShell kullanırken yeni bir sıra sürümü belirtilmelidir. Sıralı sürümün benzersiz olması gerekir. Aşağıdaki betik, sıralı sürüm için bir GUID oluşturur. Bazı durumlarda, yeni eklenen bir veri diski Azure Disk Şifrelemesi uzantısı tarafından otomatik olarak şifrelenebilir. Otomatik şifreleme genellikle yeni disk çevrimiçi olduktan sonra VM yeniden başlatıldığında gerçekleşir. Bunun nedeni genellikle daha önce VM'de disk şifrelemesi çalıştırıldığında birim türü için "Tümü" belirtilmiş olmasıdır. Yeni eklenen bir veri diskinde otomatik şifreleme gerçekleşirse Set-AzVmDiskEncryptionExtension cmdlet'ini yeni sıralı sürümle yeniden çalıştırmanızı öneririz. Yeni veri diskiniz otomatik olarak şifreleniyorsa ve şifrelenmek istemiyorsanız, önce tüm sürücülerin şifresini çözerek birim türü için işletim sistemini belirten yeni bir sıralı sürümle yeniden şifreleyin.

  • Çalışan bir VM'yi şifreleme: Aşağıdaki betik, değişkenlerinizi başlatır ve Set-AzVMDiskEncryptionExtension cmdlet'ini çalıştırır. Kaynak grubu, VM ve anahtar kasası önkoşul olarak zaten oluşturulmuş olmalıdır. MyKeyVaultResourceGroup, MyVirtualMachineResourceGroup, MySecureVM ve MySecureVault değerleriniz ile değiştirin. Bu örnekte, işletim sistemi ve Veri birimlerini içeren -VolumeType parametresi için "Tümü" kullanılır. Yalnızca işletim sistemi birimini şifrelemek istiyorsanız - VolumeType parametresi için "OS" kullanın.

     $KVRGname = 'MyKeyVaultResourceGroup';
 $VMRGName = 'MyVirtualMachineResourceGroup';
 $vmName = 'MySecureVM';
 $KeyVaultName = 'MySecureVault';
 $KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
 $diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
 $KeyVaultResourceId = $KeyVault.ResourceId;
 $sequenceVersion = [Guid]::NewGuid();

 Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;

  • KEK kullanarak çalışan bir VM'yi şifreleme: Bu örnekte hem işletim sistemi hem de Veri birimlerini içeren -VolumeType parametresi için "Tümü" kullanılır. Yalnızca işletim sistemi birimini şifrelemek istiyorsanız - VolumeType parametresi için "OS" kullanın.

    $KVRGname = 'MyKeyVaultResourceGroup';
$VMRGName = 'MyVirtualMachineResourceGroup';
$vmName = 'MyExtraSecureVM';
$KeyVaultName = 'MySecureVault';
$keyEncryptionKeyName = 'MyKeyEncryptionKey';
$KeyVault = Get-AzKeyVault -VaultName $KeyVaultName -ResourceGroupName $KVRGname;
$diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;
$KeyVaultResourceId = $KeyVault.ResourceId;
$keyEncryptionKeyUrl = (Get-AzKeyVaultKey -VaultName $KeyVaultName -Name $keyEncryptionKeyName).Key.kid;
$sequenceVersion = [Guid]::NewGuid();

Set-AzVMDiskEncryptionExtension -ResourceGroupName $VMRGname -VMName $vmName -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId -KeyEncryptionKeyUrl $keyEncryptionKeyUrl -KeyEncryptionKeyVaultId $KeyVaultResourceId -VolumeType "All" –SequenceVersion $sequenceVersion;

    Not

    Disk-encryption-keyvault parametresinin değerinin söz dizimi tam tanımlayıcı dizesidir: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
    Anahtar-şifreleme-anahtar parametresinin değerinin söz dizimi KEK'nin tam URI'sidir; örneğin: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

Azure CLI ile yeni eklenen diskte şifrelemeyi etkinleştirme

Şifrelemeyi etkinleştirmek için komutunu çalıştırdığınızda Azure CLI komutu sizin için otomatik olarak yeni bir sıralı sürüm sağlar. Örnek, birim türü parametresi için "Tümü" kullanır. Yalnızca işletim sistemi diskini şifrelerseniz birim türü parametresini işletim sistemi olarak değiştirmeniz gerekebilir. PowerShell söz diziminin aksine, CLI şifrelemeyi etkinleştirirken kullanıcının benzersiz bir dizi sürümü sağlamasını gerektirmez. CLI otomatik olarak kendi benzersiz dizi sürümü değerini oluşturur ve kullanır.

  • Çalışan vm'leri şifreleme:

    az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault "MySecureVault" --volume-type "All"

  • KEK kullanarak çalışan bir VM'i şifreleme:

    az vm encryption enable --resource-group "MyVirtualMachineResourceGroup" --name "MySecureVM" --disk-encryption-keyvault  "MySecureVault" --key-encryption-key "MyKEK_URI" --key-encryption-keyvault "MySecureVaultContainingTheKEK" --volume-type "All"

Şifrelemeyi devre dışı bırakma ve şifreleme uzantısını kaldırma

Azure disk şifreleme uzantısını devre dışı bırakabilir ve Azure disk şifreleme uzantısını kaldırabilirsiniz. Bunlar iki ayrı işlemdir.

ADE'yi kaldırmak için önce şifrelemeyi devre dışı bırakmanız ve ardından uzantıyı kaldırmanız önerilir. Şifreleme uzantısını devre dışı bırakmadan kaldırırsanız diskler yine de şifrelenir. Uzantıyı kaldırdıktan sonra şifrelemeyi devre dışı bırakırsanız uzantı yeniden yüklenir (şifre çözme işlemini gerçekleştirmek için) ve ikinci kez kaldırılması gerekir.

Şifrelemeyi devre dışı bırakma

Şifrelemeyi Azure PowerShell, Azure CLI veya Resource Manager şablonuyla devre dışı bırakabilirsiniz. Şifrelemeyi devre dışı bırakmak uzantıyı kaldırmaz (bkz. Şifreleme uzantısını kaldırma).

Uyarı

Hem işletim sistemi hem de veri diskleri şifrelendiğinde veri diski şifrelemesinin devre dışı bırakılması beklenmeyen sonuçlara neden olabilir. Bunun yerine tüm disklerde şifrelemeyi devre dışı bırakın.

Şifrelemeyi devre dışı bırakmak, disklerin şifresini çözmek için BitLocker'ın arka plan işlemini başlatır. Şifrelemeyi yeniden etkinleştirmeye çalışmadan önce bu işlemin tamamlanması için yeterli süre verilmelidir.

  • Azure PowerShell ile disk şifrelemesini devre dışı bırakma: Şifrelemeyi devre dışı bırakmak için Disable-AzVMDiskEncryption cmdlet'ini kullanın.

    Disable-AzVMDiskEncryption -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM" -VolumeType "all"

  • Azure CLI ile şifrelemeyi devre dışı bırakma: Şifrelemeyi devre dışı bırakmak için az vm encryption disable komutunu kullanın.

    az vm encryption disable --name "MySecureVM" --resource-group "MyVirtualMachineResourceGroup" --volume-type "all"

  • Resource Manager şablonuyla şifrelemeyi devre dışı bırakma:

    1. Çalışan Windows VM'sinde disk şifrelemesini devre dışı bırak şablonundan Azure'a Dağıt'a tıklayın.
    2. Aboneliği, kaynak grubunu, konumu, VM'yi, birim türünü, yasal koşulları ve sözleşmeyi seçin.
    3. Çalışan bir Windows VM'de disk şifrelemesini devre dışı bırakmak için Satın Al'a tıklayın.

Şifreleme uzantısını kaldırma

Disklerinizin şifresini çözmek ve şifreleme uzantısını kaldırmak istiyorsanız, uzantıyı kaldırmadan önce şifrelemeyi devre dışı bırakmanız gerekir; bkz. Şifrelemeyi devre dışı bırakma.

Şifreleme uzantısını Azure PowerShell veya Azure CLI kullanarak kaldırabilirsiniz.

  • Azure PowerShell ile disk şifrelemesini devre dışı bırakma: Şifrelemeyi kaldırmak için Remove-AzVMDiskEncryptionExtension cmdlet'ini kullanın.

    Remove-AzVMDiskEncryptionExtension -ResourceGroupName "MyVirtualMachineResourceGroup" -VMName "MySecureVM"

  • Azure CLI ile şifrelemeyi devre dışı bırakın: Şifrelemeyi kaldırmak için az vm extension delete komutunu kullanın.

    az vm extension delete -g "MyVirtualMachineResourceGroup" --vm-name "MySecureVM" -n "AzureDiskEncryption"

Sonraki adımlar