Azure Key Vault の仮想ネットワーク サービス エンドポイント
Azure Key Vault の仮想ネットワーク サービス エンドポイントを使用すると、指定した仮想ネットワークに対するアクセスを制限できます。 エンドポイントでは、IPv4 (インターネット プロトコル バージョン 4) アドレス範囲のリストへのアクセスを制限することもできます。 このようなソースの外部からお使いのキー コンテナーに接続するユーザーはすべて、アクセスを拒否されます。
この制限には重要な例外が 1 つあります。 ユーザーが信頼できる Microsoft サービスを許可するようにオプトインした場合、このようなサービスからの接続はファイアウォールを介して行われます。 たとえば、Office 365 Exchange Online、Office 365 SharePoint Online、Azure コンピューティング、Azure Resource Manager、Azure Backup などのサービスが含まれます。 このようなユーザーでも有効な Microsoft Entra トークンを提示する必要があり、要求された操作を実行できるアクセス許可 (アクセス ポリシーとして構成) を持っている必要があります。 詳細については、仮想ネットワーク サービス エンドポイントに関するページを参照してください。
使用シナリオ
既定で (インターネット トラフィックを含む) すべてのネットワークからのトラフィックに対するアクセスを拒否するように Key Vault ファイアウォールと仮想ネットワークを構成することができます。 特定の Azure 仮想ネットワークやパブリック インターネット IP アドレスの範囲からのトラフィックにアクセスを許可できるため、アプリケーションに対してセキュリティで保護されたネットワーク境界を構築することができます。
注意
Key Vault ファイアウォールと仮想ネットワーク規則は、Key Vault のデータ プレーンにのみ適用されます。 Key Vault のコントロール プレーン操作 (作成、削除、変更操作、アクセス ポリシーの設定、ファイアウォールと仮想ネットワーク規則の設定、ARM テンプレートによるシークレットまたはキーのデプロイなど) は、ファイアウォールや仮想ネットワーク規則の影響を受けません。
サービス エンドポイントの使用方法の例をいくつか次に示します。
- Key Vault を使用して暗号化キー、アプリケーションのシークレット、証明書を保存しており、パブリック インターネットからキー コンテナーへのアクセスをブロックする場合。
- 自分のアプリケーションまたはリストで指定した少数のホストのみが自分のキー コンテナーに接続できるように、キー コンテナーへのアクセスをロックする場合。
- Azure 仮想ネットワークでアプリケーションを実行していて、この仮想ネットワークはすべての受信および送信トラフィックに対してロックされている。 それでもアプリケーションで、シークレットまたは証明書を取得したり、暗号キーを使用したりするために、キー コンテナーに接続する必要がある場合。
信頼された Azure サービスにアクセスを許可する
他のアプリに対するネットワーク ルールを維持しながら、キー コンテナーに信頼された Azure サービスへのアクセス権を付与できます。 それにより、これらの信頼されたサービスでは、強力な認証を使用してキー コンテナーに安全に接続します。
ネットワーク設定を構成することによって、信頼された Azure サービスへのアクセス権を付与できます。 ステップ バイ ステップ ガイダンスについては、この記事のネットワーク構成オプションを参照してください。
信頼された Azure サービスにアクセスを許可する場合は、次の種類のアクセスを許可します。
- サブスクリプションに登録されているリソースに対する選択された操作のための信頼されたアクセス。
- マネージド ID に基づくリソースへの信頼されたアクセス。
- フェデレーション ID 資格情報を使用した、テナントにまたがる信頼されたアクセス
信頼できるサービス
信頼できるサービスを許可するオプションが有効な場合にキー コンテナーへのアクセスが許可されている信頼できるサービスの一覧を次に示します。
信頼できるサービス | サポートされる使用シナリオ |
---|---|
Azure API Management | MSI を使用してキー コンテナーからカスタムドメイン用の証明書をデプロイする |
Azure App Service | App Service は、Azure Web アプリ証明書をキー コンテナー経由でデプロイする場合にのみ信頼されます。個別アプリ自体については、キー コンテナーの IP ベース ルールに送信 IP を追加できます。 |
Azure Application Gateway | HTTPS 対応リスナーに Key Vault 証明書を使用する |
Azure Backup | Azure Backup を使用して、Azure 仮想マシンのバックアップ中に関連するキーとシークレットのバックアップと復元を許可する。 |
Azure Batch | Batch アカウント用のカスタマー マネージド キーを構成するおよびユーザー サブスクリプションの Batch アカウント用の Key Vault |
Azure Bot Service | Azure AI Bot Service での保存データの暗号化 |
Azure CDN | Azure CDN カスタム ドメインで HTTPS を構成する: Azure CDN にお使いのキー コンテナーへのアクセス権を付与する |
Azure Container Registry | カスタマー マネージド キーを使用したレジストリの暗号化 |
Azure Data Factory | データ ファクトリからキー コンテナー内のデータ ストア資格情報を取得する |
Azure Data Lake Store | 顧客が管理するキーによる Azure Data Lake Store 内のデータの暗号化。 |
Azure Database for MySQL 単一サーバー | Azure Database for MySQL 単一サーバーのデータ暗号化 |
Azure Database for MySQL フレキシブル サーバー | Azure Database for MySQL フレキシブル サーバーのデータ暗号化 |
Azure Database for PostgreSQL 単一サーバー | Azure Database for PostgreSQL 単一サーバーのデータ暗号化 |
Azure Database for PostgreSQL フレキシブル サーバー | Azure Database for PostgreSQL フレキシブル サーバーのデータ暗号化 |
Azure Databricks | 高速で使いやすい、コラボレーション対応の Apache Spark ベースの分析サービス |
Azure Disk Encryption ボリューム暗号化サービス | 仮想マシンのデプロイ中に、BitLocker キー (Windows VM) または DM パスフレーズ (Linux VM) とキー暗号化キーへのアクセスを許可する。 これにより、Azure Disk Encryption が有効になります。 |
Azure Disk Storage | ディスク暗号化セット (DES) で構成されている場合。 詳細については、カスタマー マネージド キーを使用した Azure Disk Storage のサーバー側暗号化に関する記事を参照してください。 |
Azure Event Hubs | カスタマー マネージト キーのシナリオでキー コンテナーへのアクセスを許可する |
Azure ExpressRoute | ExpressRoute Direct で MACsec を使用する場合 |
Azure Firewall Premium | Azure Firewall Premium の証明書 |
Azure Front Door クラシック | HTTPS に Key Vault 証明書を使用する |
Azure Front Door Standard/Premium | HTTPS に Key Vault 証明書を使用する |
Azure Import/Export | Azure Key Vault でユーザーが管理するキーを Import/Export サービスのために使用する |
Azure Information Protection | Azure Information Protection のテナント キーへのアクセスを許可する。 |
Azure Machine Learning | 仮想ネットワーク内の Azure Machine Learning をセキュリティで保護する |
Azure Policy スキャン | シークレットのコントロール プレーン ポリシー、データ プレーンに格納されているキー |
Azure Resource Manager テンプレート展開サービス | デプロイ時にセキュリティで保護された値を渡す。 |
Azure Service Bus | カスタマー マネージト キーのシナリオでキー コンテナーへのアクセスを許可する |
Azure SQL データベース | Azure SQL Database と Azure Synapse Analytics に対する Transparent Data Encryption での Bring Your Own Key のサポート。 |
Azure Storage | Azure Key Vault で顧客が管理するキーを Storage Service Encryption に使用する。 |
Azure Synapse Analytics | Azure Key Vault でのユーザーが管理するキーを使用したデータ暗号化 |
Azure Virtual Machines 展開サービス | ユーザー管理のキー コンテナーから VM に証明書を展開する。 |
Exchange Online、SharePoint Online、M365DataAtRestEncryption | カスタマー キーを使用した保存データの暗号化のために、カスタマー マネージド キーへのアクセスを許可します。 |
Microsoft Purview | Microsoft Purview でのソース認証用の資格情報の使用 |
注意
対応するサービスが Key Vault にアクセスできるように、関連するKey Vault RBACロールの割り当てまたはアクセスポリシー (レガシー) を設定する必要があります。
次のステップ
- 詳しい手順については、「Azure Key Vault のファイアウォールと仮想ネットワークを構成する」を参照してください。
- 「Azure Key Vault のセキュリティの概要」を参照してください。