暗号化された Azure 仮想マシンのバックアップと復元
この記事では、Azure Backup サービスを使用して、暗号化されたディスクを含む Windows または Linux の Azure 仮想マシン (VM) をバックアップおよび復元する方法について説明します。 詳細については、「Azure VM バックアップの暗号化」を参照してください。
プラットフォーム マネージド キーを使用した暗号化
既定では、VM 内のすべてのディスクは、Storage Service Encryption を使用するプラットフォーム マネージド キー (PMK) を使用して、保存時に自動的に暗号化されます。 目的とする暗号化をサポートするために必要な特定の操作は行わずに、Azure Backup を使用して、これらの VM をバックアップできます。 プラットフォーム マネージド キーを使用した暗号化の詳細については、こちらの記事を参照してください。
カスタマー マネージド キーを使用した暗号化
カスタマー マネージド キー (CMK) を使用してディスクを暗号化する場合は、ディスクの暗号化に使用されるキーは Azure Key Vault に格納され、ユーザーによって管理されます。 CMK を使用する Storage Service Encryption (SSE) は、Azure Disk Encryption (ADE) 暗号化とは異なります。 ADE では、オペレーティング システムの暗号化ツールを使用します。 SSE では、ストレージ サービス内のデータを暗号化することで、VM に任意の OS またはイメージを使用できます。
ディスクの暗号化にカスタマー マネージド キーを使用する VM のバックアップまたは復元を行うために、明示的な操作は必要ありません。 コンテナーに格納されているこれらの VM のバックアップ データは、コンテナーで使用される暗号化と同じ方法で暗号化されます。
カスタマー マネージド キーを使用したマネージド ディスクの暗号化の詳細については、こちらの記事を参照してください。
ADE を使用した暗号化のサポート
Azure Backup では、その OS またはデータ ディスクを Azure Disk Encryption (ADE) で暗号化している Azure VM のバックアップをサポートしています。 ADE では、Windows VM の暗号化に BitLocker を使用し、Linux VM には dm-crypt 機能を使用します。 ADE は、ディスク暗号化キーとシークレットを管理できるように、Azure Key Vault と統合されています。 Key Vault のキーの暗号化キー (KEK) は、さらにセキュリティ層を追加するために使用できます。これにより、Key Vault に記述する前に暗号化のシークレットが暗号化されます。
次の表にまとめられているように、Azure Backup では、Microsoft Entra アプリの有無に関係なく、ADE を使用して Azure VM をバックアップして復元することができます。
| VM ディスクの種類 | ADE (BEK/dm-crypt) | ADE と KEK |
|---|---|---|
| アンマネージド | はい | はい |
| マネージド | はい | はい |
制限事項
- 同じサブスクリプション内で ADE により暗号化された VM をバックアップして復元できます。
- Azure Backup では、スタンドアロン キーを使用して暗号化された VM がサポートされます。 VM を暗号化するために使用された証明書の一部であるキーは、現在サポートされていません。
- Azure Backup では、リージョンをまたがる復元がサポートされており、暗号化された Azure VM を Azure のペアになっているリージョンに復元できます。 詳細については、「サポート マトリックス」を参照してください。
- ADE で暗号化された VM は、ファイルまたはフォルダー レベルで復旧することはできません。 ファイルとフォルダーを復元するには、VM 全体を復旧する必要があります。
- VM を復元する場合、ADE で暗号化された VM に既存の VM を置き換えるオプションを使用することはできません。 このオプションは、暗号化されていないマネージド ディスクに対してのみサポートされています。
開始する前に
開始する前に、以下を行います。
- ADE が有効にされた 1 つまたは複数の Windows または Linux の VM があることを確認します。
- Azure VM バックアップのサポート マトリックスを確認します。
- Recovery Services のバックアップ コンテナーをまだお持ちでない場合は、作成します。
- 既にバックアップが有効になっている VM に対して暗号化を有効にしている場合、中断せずにバックアップを継続できるように、Key Vault へのアクセス許可を Backup に提供する必要があるだけです。 これらのアクセス許可に関する詳細を参照してください。
さらに、状況によっては、いくつか行う必要があることがあります。
- VM に VM エージェントをインストールする: Azure Backup では、マシンで実行されている Azure VM エージェントに拡張機能をインストールすることで、Azure VM がバックアップされます。 VM が Azure Marketplace のイメージから作成されている場合は、エージェントがインストールされ、実行されます。 カスタム VM を作成する場合、またはオンプレミスのマシンを移行する場合は、手動でのエージェントのインストールが必要な場合があります。
バックアップ ポリシーを構成する
Recovery Services のバックアップ コンテナーをまだ作成していない場合は、こちらの手順に従ってください。
[バックアップ センター] に移動し、[概要] タブの [+ バックアップ] をクリックします。
[データソースの種類] として [Azure 仮想マシン] を選択し、作成したコンテナーを選択して、 [続行] をクリックします。
コンテナーに関連付けるポリシーを選択し、 [OK] を選択します。
- バックアップ ポリシーでは、バックアップが取得されるタイミングと、それらが保存される期間を指定します。
- 既定のポリシーの詳細がドロップダウン メニューの下に一覧表示されます。
既定のポリシーを使用する必要がない場合は、 [新規作成] を選択して、カスタム ポリシーを作成します。
[仮想マシン] で [追加] を選択します。
選択したポリシーを使用してバックアップする暗号化された VM を選び、 [OK] を選択します。
Azure Key Vault を使用する場合は、コンテナー ページ上で、Azure Backup に Key Vault 内のキーとシークレットへの読み取り専用のアクセス権が必要なことを示すメッセージが表示されます。
このメッセージを受け取った場合は、操作は必要ありません。
このメッセージを受け取った場合は、以下の手順に示されたように、アクセス許可を設定する必要があります。
[バックアップの有効化] を選択して、コンテナーにバックアップ ポリシーをデプロイし、選択した VM に対してバックアップを有効にします。
RBAC 対応キー コンテナーを使って ADE 暗号化 VM をバックアップする
Azure RBAC 対応キー コンテナーを使った ADE 暗号化 VM のバックアップを有効にするには、キー コンテナーのアクセス制御にロールの割り当てを追加して、バックアップ管理サービス Microsoft Entra アプリにキー コンテナー管理者ロールを割り当てる必要があります。
使用できるさまざまなロールを参照してください。 キー コンテナー管理者ロールは、シークレットとキーの両方について "取得"、"一覧表示"、"バックアップ" を行うアクセス許可を許可できます。
Azure RBAC 対応キー コンテナーの場合、次のアクセス許可セットを持つカスタム ロールを作成できます。 カスタム ロールを作成する方法を参照してください。
| アクション | 説明 |
|---|---|
| Microsoft.KeyVault/vaults/keys/backup/action | キーのバックアップ ファイルを作成します。 |
| Microsoft.KeyVault/vaults/secrets/backup/action | シークレットのバックアップ ファイルを作成します。 |
| Microsoft.KeyVault/vaults/secrets/getSecret/action | シークレットの値を取得します。 |
| Microsoft.KeyVault/vaults/keys/read | 指定したコンテナー内のキーを一覧表示するか、プロパティと公開マテリアルを読み取ります。 |
| Microsoft.KeyVault/vaults/secrets/readMetadata/action | シークレットの値ではなく、プロパティを一覧表示または表示します。 |
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/backup/action",
"Microsoft.KeyVault/vaults/secrets/backup/action",
"Microsoft.KeyVault/vaults/secrets/getSecret/action",
"Microsoft.KeyVault/vaults/keys/read",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action"
],
"notDataActions": []
}
]
バックアップ ジョブをトリガーする
初回バックアップはスケジュールに従って実行されますが、次のようにすぐに実行することもできます。
- [バックアップ センター] に移動し、 [バックアップ インスタンス] メニュー項目を選択します。
- [データソースの種類] として [Azure 仮想マシン] を選択し、バックアップ用に構成した VM を検索します。
- 該当する行を右クリックするか、その他アイコン (...) を選択し、 [今すぐバックアップ] をクリックします。
- [今すぐバックアップ] で、カレンダー コントロールを使用して復旧ポイントを保持する最終日を選択します。 [OK] をクリックします。
- ポータルの通知を監視します。 ジョブの進行状況を監視するには、 [バックアップ センター]>[バックアップ ジョブ] の順に移動し、 [進行中] のジョブの一覧をフィルター処理します。 VM のサイズによっては、最初のバックアップの作成に時間がかかる場合があります。
アクセス許可を付与する
Azure Backup では、キーとシークレット、および関連付けられた VM がバックアップするために、読み取り専用のアクセス権が必要です。
- 自身の Key Vault は、Azure サブスクリプションの Microsoft Entra テナントに関連付けられます。 メンバー ユーザーの場合は、さらに操作しなくても、Azure Backup によって Key Vault へのアクセス権が取得されます。
- ゲスト ユーザーの場合は、キー コンテナーにアクセスするために、Azure Backup にアクセス許可を提供する必要があります。 暗号化された VM のバックアップを構成するには、キー コンテナーにアクセスできる必要があります。
Key Vault に対する Azure RBAC のアクセス許可を付与するには、こちらの記事を参照してください。
アクセス許可を設定するには
Azure portal で [すべてのサービス] を選択して、キー コンテナーを検索します。
バックアップをしている暗号化された VM と関連付けられたキー コンテナーを選択します。
ヒント
VM と関連付けられたキー コンテナーを特定するには、次の PowerShell コマンドを使用します。 リソース グループ名と VM 名を置き換えます。
Get-AzVm -ResourceGroupName "MyResourceGroup001" -VMName "VM001" -Status次の行でキー コンテナー名を探します。
SecretUrl : https://<keyVaultName>.vault.azure.net[アクセス ポリシー]>[アクセス ポリシーの追加] の順に選択します。
[アクセス ポリシーの追加]>、 [テンプレートからの構成 (省略可能)] で、 [Azure Backup] を選択します。
- [キーのアクセス許可] と [シークレットのアクセス許可] に、必要なアクセス許可が事前入力されます。
- VM が BEK のみを使用して暗号化される場合、シークレットのみを対象としたアクセス許可が必要なため、 [キーのアクセス許可] の選択を解除する必要があります。
[追加] を選択します。 [Backup Management Service](バックアップ管理サービス) が、 [アクセス ポリシー] に追加されます。
[保存] を選択して、Azure Backup にアクセス許可を提供します。
PowerShell または CLI を使用してアクセス ポリシーを設定することもできます。
次のステップ
問題が発生した場合は、以下の記事を確認します。
- 暗号化された Azure VM をバックアップして復元するときの一般的なエラー
- Azure VM エージェント/バックアップの拡張機能に関する問題