本文內(nèi)容主要包括如下 3 個大的方面：

• 如何對 Azure IaaS VM 啟用 Azure 磁盤加密
• 如何查看虛擬機(jī)加密狀態(tài)
• 如何枚舉 Azure 密鑰保管庫中存儲的加密密鑰

先決條件

為保證順利實施 Azure VM 磁盤加密，需要大家的操作環(huán)境滿足如下先決條件：

• Azure 訂閱：這個沒啥好說的吧
• Azure PowerShell：請務(wù)必使用最新版本的 Azure PowerShell Version 1.2.1 來配置 Azure Disk Encryption。前文簡介時已經(jīng)提過，Azure Disk Encryption 不支持 Azure SDK Version 1.1.0
• Azure 密鑰保管庫：Azure Disk Encryption 使用 Azure 密鑰保管庫進(jìn)行密鑰存儲，為了保證加密密鑰不能跨越 Azure 數(shù)據(jù)中心邊界，所以 Azure Disk Encryption 需要密鑰保管庫與要加密的 VM 共存于同一區(qū)域。
• Azure Active Directory：為將加密密鑰寫入特定的密鑰保管庫，Azure Disk Encryption 需要使用 Azure AD 的應(yīng)用程序客戶端 ID和密鑰以保證有權(quán)限讀寫 Azure 密鑰保管庫。
• Azure VM：Azure Disk Encryption 功能僅適用于使用 ARM 創(chuàng)建的 Azure VM。

由于 Azure 磁盤加密與 Azure 密鑰保管庫結(jié)合得異常緊密，甚至可以說是 Azure 密鑰保管庫分化出來的一個子功能，因此需要大家必需事先了解如何創(chuàng)建和管理Azure Key Vault密鑰保管庫。

加密Azure VM

在滿足上述所列的前提條件后，我們便可以開始著手加密一臺 Azure VM。請按如下步驟在 Azure PowerShell 中進(jìn)行操作：

1登錄 Azure 管理員賬號

Login-AzureRmAccount

2獲取可用 Azure 訂閱

Get-AzureRmSubscription

3選擇要加密 Azure VM 所在訂閱

Select-AzureRmSubscription -SubscriptionName "<訂閱名稱>"

4在正式加密 Azure VM 之前，我們先在 PowerShell 中預(yù)先初始化一些變量，諸如：資源組名稱、指定要加密的虛擬機(jī)、密鑰保管庫、Azure AD 信息等。

$rgName = ‘資源組名稱';$vmName = ‘虛擬機(jī)名稱'; $aadClientID = 'Azure AD 應(yīng)用程序客戶端ID';$aadClientSecret = 'Azure AD 應(yīng)用程序密鑰'; $KeyVaultName = ‘KeyVault名稱';$KeyVault = Get-AzureRmKeyVault -VaultName $KeyVaultName -ResourceGroupName $rgname;$diskEncryptionKeyVaultUrl = $KeyVault.VaultUri;$KeyVaultResourceId = $KeyVault.ResourceId;

5在虛擬機(jī)加密過程中，所產(chǎn)生的加密密鑰將被寫入到密鑰保管庫，因此 Azure AD 應(yīng)用程序必需有將機(jī)密數(shù)據(jù)寫入到密鑰保管庫的權(quán)限。大家可以使用如下命令來進(jìn)行授權(quán)：

Set-AzureRmKeyVaultAccessPolicy -VaultName $KeyVaultName -ServicePrincipalName $aadClientID -PermissionsToKeys all -PermissionsToSecrets all -ResourceGroupName $rgname;

6使用如下命令啟用 Azure 密鑰保管庫對 Azure Disk Encryption 磁盤加密的支持功能：

Set-AzureRmKeyVaultAccessPolicy -VaultName $KeyVaultName -ResourceGroupName $rgname –EnabledForDiskEncryption

在所有準(zhǔn)備工作都完成之后，當(dāng)然就是要實際對 Azure VM 進(jìn)行加密操作了。使用 Set-AzureRmVmDiskEncryptionExtension 可直接啟用 Azure VM 的加密選項，該 cmdlet 會使用指定 Azure AD 憑據(jù)將加密密鑰寫入到密鑰保管庫之后開始對虛擬機(jī)執(zhí)行加密操作。

Set-AzureRmVMDiskEncryptionExtension -ResourceGroupName $rgname -VMName $vmName -AadClientID $aadClientID -AadClientSecret $aadClientSecret -DiskEncryptionKeyVaultUrl $diskEncryptionKeyVaultUrl -DiskEncryptionKeyVaultId $KeyVaultResourceId;

由于加密操作過程會執(zhí)行 10 至 15分鐘，時間會比較長，而且可能會重啟虛擬機(jī)，所以大家在操作前最好先保存正常執(zhí)行的操作。

一旦你已經(jīng)啟用或部署加密的 Azure VM，可以使用 Get-AzureRmVmDiskEncryptionStatus cmdlet 查看系統(tǒng)盤、數(shù)據(jù)盤加密狀態(tài)和加密密鑰所在密鑰保管庫的實際 URL：

Get-AzureRmVmDiskEncryptionStatus? -ResourceGroupName $rgname -VMName $vmName

列出已加密虛擬機(jī)

如果您的訂閱中有很多虛擬機(jī)，并要分別查看虛擬機(jī)的系統(tǒng)盤的數(shù)據(jù)盤的加密狀態(tài)，可以使用如下 Powershell 腳本：

$osVolEncrypted = {(Get-AzureRmVMDiskEncryptionStatus -ResourceGroupName $_.ResourceGroupName -VMName $_.Name).OsVolumeEncrypted}$dataVolEncrypted= {(Get-AzureRmVMDiskEncryptionStatus -ResourceGroupName $_.ResourceGroupName -VMName $_.Name).DataVolumesEncrypted}Get-AzureRmVm | Format-Table @{Label=”VM”; Expression={$_.Name}}, @{Label=”系統(tǒng)盤加密狀態(tài)”; Expression=$osVolEncrypted}, @{Label=”數(shù)據(jù)盤加密狀態(tài)”; Expression=$dataVolEncrypted} -AutoSize

列出加密磁盤對應(yīng)密鑰

要查看訂閱中所有已使用 Azure Disk Encryption 功能加密的磁盤及其在密鑰保管庫中所對應(yīng)的加密密鑰，可以使用如下腳本：

Get-AzureKeyVaultSecret -VaultName $KeyVaultName | where {$_.Tags.ContainsKey('DiskEncryptionKeyFileName')} | format-table @{Label='VM'; Expression={$_.Tags['MachineName']}}, @{Label='VolumeLetter'; Expression={$_.Tags['VolumeLetter']}}, @{Label='EncryptionKeyURL'; Expression={$_.Id}}