Her ne kadar managed disk kullandiginizda storage seviyesinde sifrelemeye sahip olsaniz da yine de disk sifrelemeyi alternatif cozum olarak kullanabilirsiniz.
Bunun icin, managed disk kullanan bir VM’ye ihtiyacimiz var. Bununla bitmiyor elbette. Sifreleme operasyonlarini yerine getirmek icin uygun yetkilere sahip bir Azure AD application ihtiyacimiz da var. Son olarak sifreleme operasyonunun kendisini yerine getirmek ve sifreleme anahtarlarini muhfaza edecek bir Key Vault da gerekiyor. Tum bunlara sahipsek baslayabiliriz. Ben bu yazida KeyVault’u da yeni olusturacagim.
Once Azure AD’yi olusturalim.
[crayon]
$AzureADClientSecret = “OylesineBirParolaAmaKarmasikOlsaDahaiyiElbette:)” | ConvertTo-SecureString -AsPlainText -Force
$AzureADApplication = New-AzureRmADApplication -DisplayName “VMapp01” -HomePage “https://localhost/VMapp01” -IdentifierUris “https://localhost/VMapp01” -Password $AzureADClientSecret
$AzureADApplicationID = $AzureADApplication.ApplicationId
$ServicePrincipal = New-AzureRmADServicePrincipal –ApplicationId $AzureADApplicationID.Guid
[/crayon]
Uygulama olustuktan sonra yeni bir Key Vault olusturup bu uygulamaya Key Vault uzerinde yetki vermeye geldi sira.
[crayon]
$AzureKeyVault = New-AzureRmKeyVault -VaultName YENIKEYVAULT001 -ResourceGroupName ResourceGroup001 -Sku Standard -Location “EastUS” -WarningAction SilentlyContinue
Set-AzureRmKeyVaultAccessPolicy -VaultName YENIKEYVAULT001 -ServicePrincipalName $AzureADApplicationID -PermissionsToKeys wrapKey -PermissionsToSecrets Set -WarningAction SilentlyContinue
Set-AzureRmKeyVaultAccessPolicy -VaultName YENIKEYVAULT001 -EnabledForDiskEncryption -WarningAction SilentlyContinue
[/crayon]
Artik hem uygulama hazir hem Key Vault hazir hem de Key Vault uzerindeki yetkiler hazir. Simdi VM uzerinde sifreleme operasyonunu baslatabiliriz.
[crayon]
$AzureADClientSecret = “OylesineBirParolaAmaKarmasikOlsaDahaiyiElbette:)”
Set-AzureRmVMDiskEncryptionExtension -ResourceGroupName ResourceGroup001 -VMName YENIVM001 -AadClientID $AzureADApplicationID.Guid -AadClientSecret $AzureADClientSecret -DiskEncryptionKeyVaultUrl $AzureKeyVault.VaultUri -DiskEncryptionKeyVaultId $AzureKeyVault.ResourceId
[/crayon]
VM kendini restart edecek ve akabinde BitLocker drive encryption operasyonu baslayacak. Bu operasyon saatlerce surebilir ancak arka planda yapildigi icin BM uzerinde devam eden isleriniz icin bir sorun olusturmayacaktir.
Ve bitti. Kontrol edelim.
[crayon]
Get-AzureRmVM -Name YENIVM001 -ResourceGroupName ResourceGroup001 | select extensions
[/crayon]
Guzel.