Azure Key Vault とはWhat is Azure Key Vault?

Azure Key Vault は、次の問題の解決に役立ちますAzure Key Vault helps solve the following problems

  • Azure Key Vault を使用すると、トークン、パスワード、証明書、API キー、その他のシークレットを安全に格納し、それらへのアクセスを厳密に制御できます。Azure Key Vault can be used to Securely store and tightly control access to tokens, passwords, certificates, API keys, and other secrets
  • Azure Key Vault は、キー管理ソリューションとしても使用できます。Azure Key Vault can also be used as a Key Management solution. Azure Key Vault により、データの暗号化に使用される暗号化キーの作成と制御が簡単になります。Azure Key Vault makes it easy to create and control the encryption keys used to encrypt your data.
  • Azure Key Vault は、Azure および内部の接続されているリソースで使用するためのパブリックおよびプライベートの Secure Sockets Layer/Transport Layer Security (SSL/TLS) 証明書を簡単にプロビジョニング、管理、展開することができるサービスでもあります。Azure Key Vault is also a service that lets you easily provision, manage, and deploy public and private Secure Sockets Layer/Transport Layer Security (SSL/TLS) certificates for use with Azure and your internal connected resources.
  • シークレットとキーは、ソフトウェアまたは FIPS 140-2 レベル 2 検証済み HSM で保護できますThe secrets and keys can be protected either by software or FIPS 140-2 Level 2 validates HSMs

基本的な概念Basic concepts

Azure Key Vault は、シークレットを安全に保管し、それにアクセスするためのツールです。Azure Key Vault is a tool for securely storing and accessing secrets. シークレットは、API キー、パスワード、証明書など、アクセスを厳密に制御する必要がある任意のものです。A secret is anything that you want to tightly control access to, such as API keys, passwords, or certificates. 以下に重要な用語を示します。Here are some key terms:

  • テナント: テナントは、Microsoft クラウド サービスの特定のインスタンスを所有および管理する組織です。Tenant: A tenant is the organization that owns and manages a specific instance of Microsoft cloud services. この用語は、組織の Azure と Office 365 のサービスのセットを正確に指すために最も頻繁に使用されます。It’s most often used in an exact manner to refer to the set of Azure and Office 365 services for an organization.
  • コンテナー所有者: コンテナー所有者は、キー コンテナーを作成し、それにフル アクセスして制御することができます。Vault owner: A vault owner can create a key vault and gain full access and control over it. コンテナー所有者は、だれがシークレットとキーにアクセスしたかをログに記録するように監査を設定することもできます。The vault owner can also set up auditing to log who accesses secrets and keys. 管理者は、キーのライフサイクルを制御できます。Administrators can control the key lifecycle. 新しいバージョンのキーへの切り替え、キーのバックアップ、および関連タスクを行うことができます。They can roll to a new version of the key, back it up, and do related tasks.
  • リソース: リソースは、Azure を通じて使用できる管理可能な要素です。Resource: A resource is a manageable item that's available through Azure. 一般的なリソースとしては、仮想マシン、ストレージ アカウント、Web アプリ、データベース、仮想ネットワークなどがありますが、他にもさまざまなリソースが存在します。Some common resources are a virtual machine, storage account, web app, database, and virtual network, but there are many more.
  • リソース グループ: リソース グループは、Azure ソリューションの関連するリソースを保持するコンテナーです。Resource group: A resource group is a container that holds related resources for an Azure solution. リソース グループには、ソリューションのすべてのリソースか、グループとして管理したいリソースのみを含めることができます。The resource group can include all the resources for the solution, or only those resources that you want to manage as a group. 組織にとって最も有用になるように、リソースをリソース グループに割り当てる方法を決定します。You decide how you want to allocate resources to resource groups, based on what makes the most sense for your organization.
  • コンテナー コンシューマー: コンテナー コンシューマーは、コンテナー所有者によってアクセスを許可されると、キー コンテナー内のアセットに対してアクションを実行できます。Vault consumer: A vault consumer can perform actions on the assets inside the key vault when the vault owner grants the consumer access. 使用可能なアクションは、付与されるアクセス許可によって異なります。The available actions depend on the permissions granted.
  • Azure Active Directory (Azure AD): Azure AD は、テナント向けの Active Directory サービスです。Azure Active Directory (Azure AD): Azure AD is the Active Directory service for a tenant. 各ディレクトリには、1 つまたは複数のドメインが存在します。Each directory has one or more domains. ディレクトリには複数のサブスクリプションを関連付けることができますが、テナントは 1 つだけです。A directory can have many subscriptions associated with it, but only one tenant.
  • Azure テナント ID: テナント ID は、Azure サブスクリプション内で Azure AD インスタンスを一意に識別する方法です。Azure tenant ID: A tenant ID is a unique way to identify an Azure AD instance within an Azure subscription.
  • マネージド サービス ID: Azure Key Vault では、資格情報およびその他のキーやシークレットを安全に保管する方法が提供されますが、コードでそれらを取得するには Key Vault に認証される必要があります。Managed Service Identity: Azure Key Vault provides a way to securely store credentials and other keys and secrets, but your code needs to authenticate to Key Vault to retrieve them. マネージド サービス ID を使用すると、Azure AD で自動的に管理される ID が Azure サービスに提供されるため、この問題の解決が簡単になります。Managed Service Identity makes solving this problem simpler by giving Azure services an automatically managed identity in Azure AD. この ID を使用すると、コードに資格情報が含まれていなくても、Key Vault または Azure AD 認証をサポートする任意のサービスの認証を受けることができます。You can use this identity to authenticate to Key Vault or any service that supports Azure AD authentication, without having any credentials in your code. 詳しくは、「Azure リソースのマネージド サービス ID」をご覧ください。For more information, see Managed Service Identity for Azure resources.

    マネージド サービス ID のしくみの図

Key Vault の役割Key Vault roles

次の表を使用して、Key Vault が開発者やセキュリティ管理者のニーズを満たすのに役立つ方法を十分に理解します。Use the following table to better understand how Key Vault can help to meet the needs of developers and security administrators.

RoleRole 問題の説明Problem statement Azure Key Vault による解決Solved by Azure Key Vault
Azure アプリケーションの開発者Developer for an Azure application "署名と暗号化のキーを使用する Azure のアプリケーションを作成したいが、ソリューションが地理的に分散したアプリケーションに合うように、これらのキーをアプリケーションの外部に設定したい。“I want to write an application for Azure that uses keys for signing and encryption, but I want these keys to be external from my application so that the solution is suitable for an application that is geographically distributed.

これらのキーとシークレットは、自分でコードを記述せずに保護したい。I want these keys and secrets to be protected, without having to write the code myself. さらに、簡単にアプリケーションから最適なパフォーマンスで使用できるようにしたい。"I also want these keys and secrets to be easy for me to use from my applications, with optimal performance.”
√ キーは、資格情報コンテナーに格納され、必要に応じて、URI によって呼び出されます。√ Keys are stored in a vault and invoked by URI when needed.

√ キーは、業界標準のアルゴリズム、キーの長さ、ハードウェア セキュリティ モジュールを使用して、Azure によってセキュリティで保護されています。√ Keys are safeguarded by Azure, using industry-standard algorithms, key lengths, and hardware security modules.

√ キーは、アプリケーションと同じ Azure データセンターに存在する HSM で処理されます。√ Keys are processed in HSMs that reside in the same Azure datacenters as the applications. この方法では、オンプレミスなどの別の場所に存在するキーより、信頼性が向上し、待機時間が削減されます。This method provides better reliability and reduced latency than keys that reside in a separate location, such as on-premises.
サービスとしてのソフトウェア (SaaS) の開発者Developer for software as a service (SaaS) "顧客のテナント キーやシークレットに対して義務や潜在的責任を負いたくない。“I don’t want the responsibility or potential liability for my customers’ tenant keys and secrets.

顧客がキーを自分で所有して管理すれば、オペレーターは自分の専門分野である、中心的なソフトウェア機能を提供することに集中できます。I want customers to own and manage their keys so that I can concentrate on doing what I do best, which is providing the core software features.”
√ 顧客は Azure に自分のキーをインポートして管理できます。√ Customers can import their own keys into Azure, and manage them. SaaS アプリケーションが顧客のキーを使用して暗号化操作を実行する必要がある場合は、Key Vault がアプリケーションに代わって、これらの操作を行います。When a SaaS application needs to perform cryptographic operations by using their customers’ keys, Key Vault does these operations on behalf of the application. アプリケーションには、顧客のキーは表示されません。The application does not see the customers’ keys.
最高セキュリティ責任者 (CSO)Chief security officer (CSO) "アプリケーションが、セキュリティで保護されたキー管理のために FIPS 140-2 レベル 2 HSM に準拠していることを確認したい。“I want to know that our applications comply with FIPS 140-2 Level 2 HSMs for secure key management.

組織が、キーのライフサイクルを管理し、キーの使用状況を確実に監視できるようにしたい。I want to make sure that my organization is in control of the key lifecycle and can monitor key usage.

複数の Azure サービスとリソースを使用しているが、Azure の 1 つの場所からキーを管理したい。"And although we use multiple Azure services and resources, I want to manage the keys from a single location in Azure.”
√ HSM は、FIPS 140-2 レベル 2 で検証済みです。√ HSMs are FIPS 140-2 Level 2 validated.

√ Key Vault は、マイクロソフトがキーを確認または抽出しないように作られています。√ Key Vault is designed so that Microsoft does not see or extract your keys.

√ キーの使用状況は、ほぼリアルタイムで記録されます。√ Key usage is logged in near real time.

√ コンテナーは、Azure にあるコンテナーの数、サポートするリージョン、使用するアプリケーションに関係なく、1 つのインターフェイスを提供します。√ The vault provides a single interface, regardless of how many vaults you have in Azure, which regions they support, and which applications use them.

Azure サブスクリプションを持つユーザーはだれでも、Key Vault を作成して使用できます。Anybody with an Azure subscription can create and use key vaults. Key Vault は開発者とセキュリティ管理者にとってメリットがありますが、組織の他の Azure サービスを管理する組織の管理者がこれを実装し、管理できます。Although Key Vault benefits developers and security administrators, it can be implemented and managed by an organization’s administrator who manages other Azure services for an organization. たとえば、この管理者は Azure のサブスクリプションを使用してサインインし、キーの保存先に組織の資格情報コンテナーを作成し、次のような運用タスクを担当できます。For example, this administrator can sign in with an Azure subscription, create a vault for the organization in which to store keys, and then be responsible for operational tasks, such as:

  • キーやシークレットの作成やインポートCreate or import a key or secret
  • キーやシークレットの取り消しや削除Revoke or delete a key or secret
  • ユーザーまたはアプリケーションに Key Vault へのアクセスを許可します。結果、ユーザーまたはアプリケーションはそのキーおよびシークレットを管理または使用できるようになります。Authorize users or applications to access the key vault, so they can then manage or use its keys and secrets
  • キーの使用状況の構成 (署名や暗号化など)Configure key usage (for example, sign or encrypt)
  • キーの使用状況の監視Monitor key usage

この管理者は、開発者にアプリケーションから呼び出す URI を提供し、セキュリティ管理者にキーの使用状況のログ情報を提供します。This administrator would then provide developers with URIs to call from their applications, and provide their security administrator with key usage logging information.

Azure Key Vault の概要

開発者は、API を使用してキーを直接管理することもできます。Developers can also manage the keys directly, by using APIs. 詳細については、「 Azure Key Vault 開発者ガイド」を参照してください。For more information, see the Key Vault developer's guide.

次の手順Next steps

管理者用の概要チュートリアルについては、「Azure Key Vault の概要」をご覧ください。For a getting-started tutorial for an administrator, see Get started with Azure Key Vault.

Key Vault の使用状況に関するログ記録について詳しくは、「Azure Key Vault のログ記録」をご覧ください。For more information about usage logging for Key Vault, see Azure Key Vault logging.

Azure Key Vault でキーとシークレットを使用する方法について詳しくは、「キー、シークレット、証明書について」をご覧ください。For more information about using keys and secrets with Azure Key Vault, see About keys, secrets, and certificates.

Azure Key Vault は、ほとんどのリージョンで使用できます。Azure Key Vault is available in most regions. 詳細については、 Key Vault の価格のページを参照してください。For more information, see the Key Vault pricing page.