Azure Managed Lustre でカスタマー マネージド暗号化キーを使用する

Azure Key Vaultを使用して、Azure Managed Lustre ファイル システムに格納されているデータの暗号化に使用されるキーの所有権を制御できます。 この記事では、Azure Managed Lustre を使用したデータ暗号化にカスタマー マネージド キーを使用する方法について説明します。

注意

Azure に格納されているすべてのデータは、既定で Microsoft マネージド キーを使用して保存時に暗号化されます。 この記事の手順に従う必要があるのは、データが Azure Managed Lustre クラスターに格納されるときにデータの暗号化に使用されるキーを管理する場合のみです。

VM ホスト暗号化 は、Lustre ディスクのカスタマー キーを追加した場合でも、Azure Managed Lustre ファイル システムにデータを保持するマネージド ディスク上のすべての情報を保護します。 カスタマー マネージド キーを追加すると、高いセキュリティ ニーズに対して追加レベルのセキュリティが提供されます。 詳細については、「 Azure ディスク ストレージのサーバー側暗号化」を参照してください。

Azure Managed Lustre のカスタマー マネージド キー暗号化を有効にするには、次の 3 つの手順があります。

1. キーを格納する Azure Key Vaultを設定します。
2. そのキー コンテナーにアクセスできるマネージド ID を作成します。
3. ファイル システムを作成するときに、 カスタマー マネージド キーの暗号化を選択 し、使用するキー コンテナー、キー、マネージド ID を指定します。

この記事では、これらの手順について詳しく説明します。

ファイル システムを作成した後は、カスタマー マネージド キーと Microsoft マネージド キーを変更することはできません。

前提条件

既存のキー コンテナーとキーを使用することも、Azure Managed Lustre で使用する新しいキーコンテナーを作成することもできます。 キー コンテナーとキーが正しく構成されていることを確認するには、次の必須設定を参照してください。

キー コンテナーとキーを作成する

暗号化キーを格納する Azure キー コンテナーを設定します。 Azure Managed Lustre を使用するには、キー コンテナーとキーがこれらの要件を満たしている必要があります。

キー コンテナーのプロパティ

Azure Managed Lustre で使用するには、次の設定が必要です。 必要に応じて一覧表示されないオプションを構成できます。

基本:

• サブスクリプション - Azure Managed Lustre クラスターに使用されるのと同じサブスクリプションを使用します。
• リージョン - キー コンテナーは、Azure Managed Lustre クラスターと同じリージョンに存在する必要があります。
• 価格レベル - Standard レベルは、Azure Managed Lustre で使用するのに十分です。
• 論理的な削除 - Azure Managed Lustre では、キー コンテナーでまだ構成されていない場合、論理的な削除が有効になります。
• 消去保護 - 消去 保護を有効にします。

アクセス ポリシー:

• アクセス構成 - Azure ロールベースのアクセス制御に設定します。

ネットワーク :

• パブリック アクセス - 有効にする必要があります。

• アクセスを許可する - [すべてのネットワーク] を選択するか、アクセスを制限する必要がある場合は、[選択したネットワーク] を選択します

  • [選択したネットワーク] が選択されている場合は、下の [例外] セクションで [信頼された Microsoft サービスにこのファイアウォールのバイパスを許可する] オプションを有効にする必要があります。

注意

既存のキー コンテナーを使用している場合は、ネットワーク設定セクションを確認して、[アクセスの 許可 ] が [ すべてのネットワークからのパブリック アクセスを許可する] に設定されていることを確認するか、必要に応じて変更を加えることができます。

キーのプロパティ

• キーの種類 - RSA
• RSA キー サイズ - 2048
• 有効 - はい

キー コンテナーのアクセス許可:

• Azure Managed Lustre システムを作成するユーザーには、Key Vault共同作成者ロールと同等のアクセス許可が必要です。 Azure Key Vault を設定および管理するには、同じアクセス許可が必要です。

  詳細については、「キー コンテナーへのアクセスをセキュリティで保護する」を参照してください。

詳細については、Azure Key Vaultの基本に関するページを参照してください。

ユーザー割り当てマネージド ID を作成する

Azure Managed Lustre ファイル システムでは、キー コンテナーにアクセスするためにユーザー割り当てマネージド ID が必要です。

マネージド ID は、Microsoft Entra IDを介して Azure サービスにアクセスするときにユーザー ID の代わりに使用されるスタンドアロン ID 資格情報です。 他のユーザーと同様に、ロールとアクセス許可を割り当てることができます。 マネージド ID の詳細を確認してください。

ファイル システムを作成する前に、この ID を作成し、キー コンテナーへのアクセス権を付与します。

注意

キー コンテナーにアクセスできないマネージド ID を指定した場合、ファイル システムを作成することはできません。

詳細については、マネージド ID のドキュメントを参照してください。

• ユーザー割り当てマネージド ID を作成する
• リソース アクセスの割り当て

カスタマー マネージド暗号化キーを使用して Azure Managed Lustre ファイル システムを作成する

Azure Managed Lustre ファイル システムを作成するときは、[ディスク暗号化キー] タブを使用して、[ディスク暗号化キーの種類] 設定で [カスタマー マネージド] を選択します。 カスタマー キーの設定とマネージド ID に関するその他のセクションが表示されます。

カスタマー マネージド キーは作成時にのみ設定できることに注意してください。 既存の Azure Managed Lustre ファイル システムに使用される暗号化キーの種類を変更することはできません。

カスタマー キーの設定

[カスタマー キーの設定] のリンクを選択して、キー コンテナー、キー、およびバージョンの設定を選択します。 このページから新しい Azure Key Vaultを作成することもできます。 新しいキー コンテナーを作成する場合は、マネージド ID にアクセス権を付与することを忘れないでください。

Azure Key Vaultが一覧に表示されない場合は、次の要件をチェックします。

• ファイル システムはキー コンテナーと同じサブスクリプションに含まれていますか?
• ファイル システムはキー コンテナーと同じリージョンにありますか?
• Azure portal とキー コンテナーの間にネットワーク接続がありますか?

コンテナーを選択したら、使用可能なオプションから個々のキーを選択するか、新しいキーを作成します。 キーは、2,048 ビット RSA キーである必要があります。

選択したキーのバージョンを指定します。 バージョン管理の詳細については、Azure Key Vault のドキュメントを参照してください。

マネージド ID の設定

[ マネージド ID] のリンクを選択し、Azure Managed Lustre ファイル システムがキー コンテナーへのアクセスに使用する ID を選択します。

これらの暗号化キーの設定を構成したら、[ 確認と作成 ] タブに進み、通常どおりファイル システムの作成を完了します。

次の手順

これらの記事では、Azure Key Vault とカスタマー マネージド キーを使用して Azure でデータを暗号化する方法が詳しく説明されています。

• ストレージ暗号化の概要
• カスタマー マネージド キーを使用したディスク暗号化