Storage Service Encryption with Customer Managed Keys の限定版プレビューを発表

執筆者: Lavanya Kasarabada (Senior Program Manager, Azure Storage)

このポストは、6 月 8 日に投稿された Announcing Storage Service Encryption with Customer Managed Keys limited preview の翻訳です。

 

Azure Key Vault と統合された Azure Storage Service Encryption with Customer Managed Keys のプレビュー版がリリースされ、Azure Blob Storage の Storage Service Encryption でお客様自身が管理する暗号化キーを使用できるようになりました。マイクロソフトが管理するキーを使用した Azure Blob Storage および Azure File Storage 用の Storage Service Encryption は既に提供されています。

Storage Service Encryption with Customer Managed Keys では Azure Key Vault が使用されるため、FIPS 140-2 レベル 2 準拠 HSM (ハードウェア セキュリティ モデル) が支える可用性と拡張性に優れた安全なストレージに RSA 暗号化キーを保存できます。Azure Key Vault によりキーの管理プロセスが効率化されるため、データの暗号化に使用するキーの管理、運用、使用の監査を十全に行えます。

この機能については、法令遵守や HIPAA および BAA への準拠の一環として機密データを保護する必要のある企業のお客様から、特に多くのご要望が寄せられていました。

使用を開始するには、RSA キーを生成して Azure Key Vault にインポートし、Storage Service Encryption を有効化します。Azure Storage ではエンベロープ手法による暗号化が使用され、完全に透過的に暗号化と複号化が処理されます。データは AES ベースのキーを使用して暗号化され、Azure Key Vault に保存されているユーザーが管理するキーを使用して保護されます。

お客様は自社のコンプライアンス ポリシーに従い Azure Key Vault のキーのローテーションを行うことができます。キーのローテーションを行うと Azure Storage がキーの新しいバージョンを検出し、そのストレージ アカウントのアカウント暗号化キーを再暗号化します。これで全データが再暗号化されるわけではなく、またユーザーはこれ以上の操作を行う必要はありません。

また、Azure Key Vault のキーへのアクセス権を取り消すことで、ストレージ アカウントへのアクセス権を取り消すことができます。キーへのアクセス権を取り消す方法は複数あります。詳しくは Azure PowerShell の Key Vault コマンドレット (英語) や、Azure CLI の Key Vault コマンド (英語) をご覧ください。アクセス権の取り消しにより Azure Storage がアカウント暗号化キーにアクセスできなくなるため、ストレージ アカウントのすべての BLOB へのアクセスが阻止されます。

この機能は、Premium Storage をはじめとする Azure Blob Storage のあらゆる種類の冗長ストレージで有効化でき、マイクロソフトが管理するキーをお客様が管理するキーに切り替えることができます。機能を有効化しても追加料金は発生しません。

この機能は Azure ポータル、Azure PowerShell (英語)、Azure CLI、または Microsoft Azure Storage Resource Provider API (英語) を使用して、どの Azure Resource Manager ストレージ アカウントでも有効化できます。

プレビュー版の利用をご希望の方は、ssediscussions@microsoft.com までメールでお問い合わせください。詳細は「Azure Key Vault のユーザーが管理するキーを使用した Storage Service Encryption (英語)」を参照してください。