Azure Key Vault のアクセス ポリシーの問題のトラブルシューティング

よく寄せられる質問

シークレット、キー、または証明書を一覧表示または取得できません。 "問題が発生しました" というエラーが表示されます

シークレットの表示、取得、作成またはアクセスで問題が発生している場合は、その操作を実行するためのアクセス ポリシーが定義されていることを確認してください。Key Vault のアクセス ポリシー

キー コンテナーが、いつ、どのようにアクセスされているのかを確認するにはどうすればよいですか?

1 つまたは複数のキー コンテナーを作成したら、いつ、どのように、誰によってキー コンテナーがアクセスされるのかを監視するのが一般的です。 Azure Key Vault のログを有効にすることによって、監視を行うことができます。ログを有効にするためのステップバイステップ ガイドについては、こちらをご覧ください。

キー コンテナーの可用性、サービスの待ち時間、または他のパフォーマンス メトリックを監視するにはどうすればよいですか?

サービスのスケーリングを開始すると、キー コンテナーに送信される要求の数が増加します。 このような需要により要求の待機時間が長くなる可能性があり、極端な場合には要求がスロットルされてサービスのパフォーマンスを低下させます。 キー コンテナーのパフォーマンス メトリックを監視し、特定のしきい値についてアラートを受け取ることができます。監視を構成するためのステップバイステップ ガイドについては、こちらをご覧ください。

アクセス ポリシーを変更できません。どうすれば変更できますか?

ユーザーは、アクセス ポリシーを変更するのに十分な Microsoft Entra のアクセス許可を持っている必要があります。 この場合、上位の共同作成者ロールをユーザーに与える必要があります。

"Unknown Policy (不明なポリシー)" というエラーが表示されます。 どのような意味ですか?

[不明] セクションにアクセス ポリシーが表示される理由は 2 つあります。

• 以前アクセス権を持っていたユーザーが、存在しなくなりました。
• アクセス ポリシーが、サービス プリンシパルではなくアプリケーションの objectid を使って、PowerShell で追加されました。

キー コンテナー オブジェクトごとにアクセス制御を割り当てるにはどうすればよいですか?

個々のキー、シークレット、証明書にロールを割り当てることは避ける必要があります。 一般的なガイダンスの例外:

個々のシークレットを複数のアプリケーション間で共有する必要があるシナリオ。たとえば、あるアプリケーションが他のアプリケーションのデータにアクセスする必要がある場合など

アクセス制御ポリシーを使用して Key Vault の認証を提供するにはどうすればよいですか?

Key Vault に対してクラウドベースのアプリケーションの認証を行うための最も簡単な方法は、マネージド ID を使用することです。詳細については、「Azure Key Vault に対する認証」を参照してください。 オンプレミス アプリケーションを作成している場合、ローカル開発を行っている場合、またはそれ以外でマネージド ID を使用できない場合は、代わりにサービス プリンシパルを手動で登録し、アクセス制御ポリシーを使ってキー コンテナーへのアクセスを提供できます。 アクセス制御ポリシーの割り当てに関する記事を参照してください。

AD グループにキー コンテナーへのアクセス権を付与するにはどうすればよいですか?

Azure CLI の az keyvault set-policy コマンド、または Azure PowerShell の Set-AzKeyVaultAccessPolicy コマンドレットを使用して、AD グループにキー コンテナーに対するアクセス許可を付与します。 CLI でのアクセス ポリシーの割り当ておよび PowerShell でのアクセス ポリシーの割り当てに関する記事を参照してください。

またアプリケーションには、キー コンテナーに割り当てられた IAM (Identity and Access Management: ID とアクセス管理) ロールが少なくとも 1 つ必要となります。 それがないとログインすることができず、サブスクリプションにアクセスする権限の不足でエラーになります。 マネージド ID を持つ Microsoft Entra グループでは、トークンを更新して有効になるまでに、長時間かかる場合があります。 「認可にマネージド ID を使用する場合の制限」を参照してください

既存のアクセス ポリシーを削除せずに、ARM テンプレートを使用して Key Vault を再デプロイするにはどうすればよいですか?

現在、Key Vault を再デプロイすると、Key Vault のアクセス ポリシーが削除され、ARM テンプレートのアクセス ポリシーに置き換えられます。 Key Vault のアクセス ポリシーに増分オプションはありません。 Key Vault のアクセス ポリシーを保持するには、Key Vault の既存のアクセス ポリシーを読み取り、ARM テンプレートにそれらのポリシーを設定して、アクセスの停止を回避する必要があります。

このシナリオに役立つ可能性があるもう 1 つの選択肢は、アクセス ポリシーの代替として Azure RBAC とロールを利用することです。 Azure RBAC を使うと、ポリシーを再度指定しなくても、キー コンテナーを再デプロイできます。 このソリューションの詳細はこちらでご覧いただけます。

次のエラーの種類に対して推奨されるトラブルシューティングの手順

• HTTP 401:認証されていない要求 - トラブルシューティングの手順
• HTTP 403:アクセス許可が不十分 - トラブルシューティングの手順
• HTTP 429:要求が多すぎる - トラブルシューティングの手順
• キー コンテナーに対する削除アクセス許可があるかどうかを確認します。CLI でのアクセス ポリシーの割り当て、PowerShell でのアクセス ポリシーの割り当て、またはポータルでのアクセス ポリシーの割り当てに関する記事を参照してください。
• コードでキー コンテナーへの認証に問題がある場合は認証 SDK を使用してください

キー コンテナーが調整されているときに実装する必要があるベスト プラクティスは何ですか?

こちらに記載されているベスト プラクティスに従ってください。

次の手順

キー コンテナー認証エラーのトラブルシューティング方法について学習します: Key Vault トラブルシューティング ガイド