ARMと組み合わせてDesired State Configurationを使用する方法。要求された状態での資格情報の保護ARMによって実装されたコンフィグレーション
対象範囲: - ARMテンプレートを使用して展開されたAzure仮想マシンがあります。 - VMはARMテンプレートの拡張リソースをDesired State Configuration用に持っています。 - 機密性の高いパラメータをDesired State Configurationに渡す必要があります(追加のローカルWindowsアカウントをDSC) - 設定ファイルは、暗号化に使用する公開鍵を知るために使用され、解読にどの証明書を使用する必要があるかをVMに知らせるために使用されます(拇印で) - ARMを使用する場合は、別のプロパティで - 私は、DSCサービスが自動的にドキュメントの暗号化のための証明書をVMに追加することに気付きました。
質問:これを箱から取り除きたいのであれば、私はconfigurationDataFileを先に作成し、どこかに(blobなどのように)保存する必要があります。 しかし、VM上の「すぐに使える」証明書は、ARMテンプレートがデプロイされた後にのみ認識されます。
異なるインクリメンタルDSCテンプレートを使用せずに、VM上ですぐに使用できるDSC証明書を使用して、DSCで暗号化/復号化を行う方法があるかどうかは疑問でした。 展開時に、証明書の拇印をすぐに確認するにはどうすればよいですか? (アームテンプレートで?) 実際には、すべてのデプロイメントでConfigurationDataファイルを変換する必要がありますか(VMの正しい拇印を見つける)、または、このボックスは証明書を作成しましたか?
「KeyEncipherment」、「DataEncipherment」、および「Document Encryption」をサポートする証明書が必要です。設定を作成している場合はいつでも、この証明書秘密鍵がインストールされている必要があります。 mofファイルの暗号化の詳細については、こちらを参照してください。https://docs.microsoft.com/en-us/powershell/dsc/securemof –