論理的な削除と消去保護を使用した Azure Key Vault の回復の管理

この記事では、Azure Key Vault の 2 つの回復機能である論理的な削除と消去保護について説明します。 このドキュメントでは、これらの機能の概要について説明し、Azure portal、Azure CLI、Azure PowerShell を使用してそれらを管理する方法を示します。

Key Vault の詳細については、以下を参照してください。

前提条件

  • Azure サブスクリプション - 無料アカウントを作成します

  • Azure PowerShell

  • Azure CLI

  • キー コンテナー - Azure portalAzure CLI、または Azure PowerShell を使用して作成できます

  • 論理的に削除されたコンテナーに対して操作を実行するには、ユーザーには次のアクセス許可 (サブスクリプション レベル) が必要です。

    権限 説明
    Microsoft.KeyVault/locations/deletedVaults/read 論理的に削除された Key Vault のプロパティを表示します。
    Microsoft.KeyVault/locations/deletedVaults/purge/action 論理的に削除された Key Vault を消去します。
    Microsoft.KeyVault/locations/operationResults/read コンテナーの消去状態を確認するために必要です
    Key Vault Contributor 論理的に削除されたコンテナーを回復するために必要です

論理的な削除および消去保護とは

論理的な削除と消去保護は、Key Vault の 2 つの異なる回復機能です。

論理的な削除は、キー コンテナーおよびキー コンテナー内に格納されているキー、シークレット、証明書が誤って削除されるのを防ぐように設計されています。 論理的な削除はごみ箱のようなものと考えることができます。 キー コンテナーまたはキー コンテナー オブジェクトを削除すると、ユーザーが構成可能な保持期間または既定の 90 日の間、回復可能な状態に維持されます。 論理的に削除された状態のキー コンテナーは、消去することもできます。これは、完全に削除されることを意味します。 これにより、同じ名前でキー コンテナーとキー コンテナー オブジェクトを作成し直すことができます。 キー コンテナーとオブジェクトの回復と削除のどちらについても、昇格されたアクセス ポリシーのアクセス許可が必要です。 いったん有効にした論理的な削除を、無効にすることはできません。

重要

直ちに、キー コンテナーで論理的な削除を有効にする必要があります。 論理的な削除をオプトアウトする機能は非推奨になり、2025 年 2 月に削除される予定です。 詳細については、こちらを参照してください

キー コンテナーの名前はグローバルに一意であることに注意してください。そのため、論理的に削除された状態のキー コンテナーと同じ名前のキー コンテナーを作成することはできません。 同様に、キー、シークレット、証明書の名前は、キー コンテナー内で一意です。 論理的に削除された状態の別のものと同じ名前で、シークレット、キー、または証明書を作成することはできません。

消去保護は、悪意のある内部関係者によってキー コンテナー、キー、シークレット、証明書が削除されるのを防ぐように設計されています。 これは、時間ベースのロック機能を備えたごみ箱と考えてください。 構成可能な保持期間中であればいつでも、項目を回復できます。 キー コンテナーは、保持期間が経過するまでは、完全に削除したり消去したりできません。 保持期間が経過すると、キー コンテナーまたはキー コンテナー オブジェクトは自動的に消去されます。

Note

消去保護は、管理者のロールまたはアクセス許可によって消去保護を上書き、無効化、または回避することができないように設計されています。 Microsoft を含むすべてのユーザーは、いったん有効にされた消去保護は、無効にしたり上書きしたりできません。 つまり、キー コンテナー名を再利用するには、最初に削除されたキー コンテナーを回復するか、保持期間が経過するまで待つ必要があります。

論理的な削除の詳細については、「Azure Key Vault の論理的な削除の概要」を参照してください。

キー コンテナーで論理的な削除が有効になっているかどうかを確認し、論理的な削除を有効にする

  1. Azure ポータルにログインします。
  2. キー コンテナーを選択します。
  3. [プロパティ] ブレードをクリックします。
  4. 論理的な削除の横にあるオプション ボタンが、"回復を有効にする" に設定されているかどうかを確認します。
  5. キー コンテナーで論理的な削除が有効になっていない場合は、オプション ボタンをクリックして論理的な削除を有効にし、[保存] をクリックします。

[プロパティ] では、有効にするための値として [論理的な削除] が強調表示されます。

削除されたシークレットを消去および回復するためのアクセス権をサービス プリンシパルに許可する

  1. Azure ポータルにログインします。
  2. キー コンテナーを選択します。
  3. [アクセス ポリシー] ブレードをクリックします。
  4. テーブルで、アクセスを許可するセキュリティ プリンシパルの行を見つけます (または、新しいセキュリティ プリンシパルを追加します)。
  5. キー、証明書、シークレットのドロップダウンをクリックします。
  6. ドロップダウンの一番下までスクロールし、[回復] と [削除] をクリックします
  7. セキュリティ プリンシパルがほとんどの操作を実行するには、取得と一覧表示の機能も必要です。

左側のナビゲーション ウィンドウで、[アクセス ポリシー] が強調表示されます。[アクセス ポリシー] には [Secret Positions]\(シークレット位置\) のドロップダウン リストが表示され、4 つの項目が選択されます: 取得、一覧表示、回復、消去

論理的に削除されたキー コンテナーを一覧表示、回復、または消去する

  1. Azure ポータルにログインします。
  2. ページの上部にある検索バーをクリックします。
  3. "Key Vault" サービスを検索します。 個々のキー コンテナーはクリックしないでください。
  4. 画面の上部で、[Manage deleted vaults](削除されたコンテナーを管理する) オプションをクリックします
  5. 画面の右側にコンテキスト ペインが表示されます。
  6. サブスクリプションを選択します。
  7. キー コンテナーが論理的に削除されている場合は、右側のコンテキスト ペインに表示されます。
  8. コンテナーの数が多すぎる場合は、コンテキスト ペインの下部にある [さらに読み込む] をクリックするか、CLI または PowerShell を使用して結果を取得します。
  9. 回復または消去するコンテナーが見つかったら、その隣にあるチェック ボックスをオンにします。
  10. キー コンテナーを回復する場合は、コンテキスト ペインの下部にある回復オプションを選択します。
  11. キー コンテナーを完全に削除する場合は、消去オプションを選択します。

キー コンテナーで、[Manage deleted vaults]\(削除されたコンテナーの管理\) オプションが協調表示されます。

[Manage deleted vaults]\(削除されたコンテナーの管理\) では、表示された唯一のキー コンテナーが選択された状態で強調表示され、[回復] が強調表示されます。

論理的に削除されたシークレット、キー、証明書を一覧表示、回復、または消去する

  1. Azure ポータルにログインします。
  2. キー コンテナーを選択します。
  3. 管理するシークレットの種類 (キー、シークレット、または証明書) に対応するブレードを選択します。
  4. 画面の上部で、[Manage deleted (keys, secrets, or certificates)](削除された (キー、シークレット、または証明書) の管理) をクリックします
  5. 画面の右側にコンテキスト ペインが表示されます。
  6. シークレット、キー、または証明書が一覧に表示されない場合は、論理的に削除された状態ではありません。
  7. 管理するシークレット、キー、または証明書を選択します。
  8. コンテキスト ペインの下部にある回復または消去のオプションを選択します。

[キー] では、[Manage deleted keys]\(削除されたキーの管理\) オプションが協調表示されます。

次のステップ