論理的な削除と消去保護を使用した Azure Key Vault の回復の管理

この記事では、Azure Key Vault の 2 つの回復機能である論理的な削除と消去保護について説明します。 このドキュメントでは、これらの機能の概要について説明し、Azure portal、Azure CLI、Azure PowerShell を使用してそれらを管理する方法を示します。

Key Vault の詳細については、以下を参照してください。

前提条件

  • Azure サブスクリプション - 無料アカウントを作成します

  • Azure PowerShell

  • Azure CLI

  • キー コンテナー - Azure portalAzure CLI、または Azure PowerShell を使用して作成できます

  • 論理的に削除されたコンテナーに対して操作を実行するには、ユーザーには次のアクセス許可 (サブスクリプション レベル) が必要です。

    権限 説明
    Microsoft.KeyVault/locations/deletedVaults/read 論理的に削除された Key Vault のプロパティを表示します。
    Microsoft.KeyVault/locations/deletedVaults/purge/action 論理的に削除された Key Vault を消去します。
    Microsoft.KeyVault/locations/operationResults/read コンテナーの消去状態を確認するために必要です
    Key Vault Contributor 論理的に削除されたコンテナーを回復するために必要です

論理的な削除および消去保護とは

論理的な削除と消去保護は、Key Vault の 2 つの異なる回復機能です。

重要

論理的な削除を有効にすることは、キー コンテナーと資格情報が誤って削除されないように保護するために重要です。 ただし、場合によってはアプリケーション ロジックの変更や、サービス プリンシパルに対する追加のアクセス許可の付与が必要になるため、論理的な削除の有効化は破壊的変更と見なされます。 以下の手順を使用して論理的な削除を有効にする前に、こちらのドキュメントを参照して、アプリケーションがこの変更と互換性があることをご確認ください。

論理的な削除は、キー コンテナーおよびキー コンテナー内に格納されているキー、シークレット、証明書が誤って削除されるのを防ぐように設計されています。 論理的な削除はごみ箱のようなものと考えることができます。 キー コンテナーまたはキー コンテナー オブジェクトを削除すると、ユーザーが構成可能な保持期間または既定の 90 日の間、回復可能な状態に維持されます。 論理的に削除された状態のキー コンテナーは、消去することもできます。これは、完全に削除されることを意味します。 これにより、同じ名前でキー コンテナーとキー コンテナー オブジェクトを作成し直すことができます。 キー コンテナーとオブジェクトの回復と削除のどちらについても、昇格されたアクセス ポリシーのアクセス許可が必要です。 いったん有効にした論理的な削除を、無効にすることはできません。

キー コンテナーの名前はグローバルに一意であることに注意してください。そのため、論理的に削除された状態のキー コンテナーと同じ名前のキー コンテナーを作成することはできません。 同様に、キー、シークレット、証明書の名前は、キー コンテナー内で一意です。 論理的に削除された状態の別のものと同じ名前で、シークレット、キー、または証明書を作成することはできません。

消去保護は、悪意のある内部関係者によってキー コンテナー、キー、シークレット、証明書が削除されるのを防ぐように設計されています。 これは、時間ベースのロック機能を備えたごみ箱と考えてください。 構成可能な保持期間中であればいつでも、項目を回復できます。 キー コンテナーは、保持期間が経過するまでは、完全に削除したり消去したりできません。 保持期間が経過すると、キー コンテナーまたはキー コンテナー オブジェクトは自動的に消去されます。

Note

消去保護は、管理者のロールまたはアクセス許可によって消去保護を上書き、無効化、または回避することができないように設計されています。 Microsoft を含むすべてのユーザーは、いったん有効にされた消去保護は、無効にしたり上書きしたりできません。 つまり、キー コンテナー名を再利用するには、最初に削除されたキー コンテナーを回復するか、保持期間が経過するまで待つ必要があります。

論理的な削除の詳細については、「Azure Key Vault の論理的な削除の概要」を参照してください。

キー コンテナーで論理的な削除が有効になっているかどうかを確認し、論理的な削除を有効にする

  1. Azure ポータルにログインします。
  2. キー コンテナーを選択します。
  3. [プロパティ] ブレードをクリックします。
  4. 論理的な削除の横にあるオプション ボタンが、"回復を有効にする" に設定されているかどうかを確認します。
  5. キー コンテナーで論理的な削除が有効になっていない場合は、オプション ボタンをクリックして論理的な削除を有効にし、[保存] をクリックします。

On Properties, Soft-delete is highlighted, as is the value to enable it.

削除されたシークレットを消去および回復するためのアクセス権をサービス プリンシパルに許可する

  1. Azure ポータルにログインします。
  2. キー コンテナーを選択します。
  3. [アクセス ポリシー] ブレードをクリックします。
  4. テーブルで、アクセスを許可するセキュリティ プリンシパルの行を見つけます (または、新しいセキュリティ プリンシパルを追加します)。
  5. キー、証明書、シークレットのドロップダウンをクリックします。
  6. ドロップダウンの一番下までスクロールし、[回復] と [削除] をクリックします
  7. セキュリティ プリンシパルがほとんどの操作を実行するには、取得と一覧表示の機能も必要です。

In the left navigation pane, Access policies is highlighted. On Access policies, the Secret Positions drop-down list is shown, and four items are selected: Get, List, Recover, and Purge.

論理的に削除されたキー コンテナーを一覧表示、回復、または消去する

  1. Azure ポータルにログインします。
  2. ページの上部にある検索バーをクリックします。
  3. [最近のサービス] で、[Key Vault] をクリックします。 個々のキー コンテナーはクリックしないでください。
  4. 画面の上部で、[Manage deleted vaults](削除されたコンテナーを管理する) オプションをクリックします
  5. 画面の右側にコンテキスト ペインが表示されます。
  6. サブスクリプションを選択します。
  7. キー コンテナーが論理的に削除されている場合は、右側のコンテキスト ペインに表示されます。
  8. コンテナーの数が多すぎる場合は、コンテキスト ペインの下部にある [さらに読み込む] をクリックするか、CLI または PowerShell を使用して結果を取得します。
  9. 回復または消去するコンテナーが見つかったら、その隣にあるチェック ボックスをオンにします。
  10. キー コンテナーを回復する場合は、コンテキスト ペインの下部にある回復オプションを選択します。
  11. キー コンテナーを完全に削除する場合は、消去オプションを選択します。

On Key vaults, the Manage deleted vaults option is highlighted.

On Manage deleted key vaults, the only listed key vault is highlighted and selected, and the Recover button is highlighted.

論理的に削除されたシークレット、キー、証明書を一覧表示、回復、または消去する

  1. Azure ポータルにログインします。
  2. キー コンテナーを選択します。
  3. 管理するシークレットの種類 (キー、シークレット、または証明書) に対応するブレードを選択します。
  4. 画面の上部で、[Manage deleted (keys, secrets, or certificates)](削除された (キー、シークレット、または証明書) の管理) をクリックします
  5. 画面の右側にコンテキスト ペインが表示されます。
  6. シークレット、キー、または証明書が一覧に表示されない場合は、論理的に削除された状態ではありません。
  7. 管理するシークレット、キー、または証明書を選択します。
  8. コンテキスト ペインの下部にある回復または消去のオプションを選択します。

On Keys, the Manage deleted keys option is highlighted.

次のステップ