Azure portal を使用して、マネージド ディスクでカスタマー マネージド キーを使用し、サーバー側の暗号化を有効にする

適用対象: ✔️ Linux VM ✔️ Windows VM ✔️

Azure Disk Storage を使用すると、選択した場合は、マネージド ディスクにサーバー側の暗号化 (SSE) を使用しているときに独自のキーを管理できます。 カスタマー マネージド キーを使用する SSE とその他のマネージド ディスクの暗号化の概念については、ディスクの暗号化の記事の「カスタマー マネージド キー」セクションを参照してください (カスタマー マネージド キー)

制限

現在、カスタマー マネージド キーには次の制限があります。

  • 2,048 ビット、3,072 ビットおよび 4,096 ビットのサイズのソフトウェアと HSM の RSA キーのみがサポートされており、その他のキーまたはサイズはサポートされていません。
    • HSM キーには、premium レベルの Azure Key Vault が必要です。
  • サーバー側の暗号化とカスタマー マネージド キーを使用して暗号化されたカスタム イメージから作成されたディスクは、同じカスタマー マネージド キーを使用して暗号化する必要があり、同じサブスクリプション内に存在する必要があります。
  • サーバー側の暗号化とカスタマー マネージド キーで暗号化されたディスクから作成されたスナップショットは、同じカスタマー マネージド キーを使用して暗号化する必要があります。
  • お使いのカスタマー マネージド キー (ディスク暗号化セット、VM、ディスク、およびスナップショット) に関連するほとんどのリソースは、同じサブスクリプションとリージョンに存在する必要があります。
    • Azure Key Vault は異なるサブスクリプションから使用できますが、リージョンとテナントをディスク暗号化セットと同じにする必要があります。
  • カスタマー マネージド キーで暗号化されたディスク、スナップショット、イメージは、別のリソース グループおよびサブスクリプションへは移動できません。
  • 現在または以前に Azure Disk Encryption を使用して暗号化されたマネージド ディスクは、カスタマー マネージド キーを使用して暗号化することはできません。
  • サブスクリプションごとに、リージョンに最大で 1000 のディスク暗号化セットしか作成できません。
  • カスタマー マネージド キーを共有イメージ ギャラリーで使用する方法の詳細については、「プレビュー:イメージの暗号化にカスタマー マネージド キーを使用する」を参照してください。

以下のセクションには、マネージド ディスクに対してカスタマー マネージド キーを有効にして使用する方法が含まれています。

ディスクにカスタマー マネージド キーを設定する作業を初めて実行するときは、特定の順序でリソースを作成する必要があります。 最初に、Azure キー コンテナーの作成と設定を行う必要があります。

Azure Key Vault のセットアップ

  1. Azure Portal にサインインします。

  2. **[キー コンテナー]** を検索して選択します。

    Screenshot of the Azure portal with the search dialog box expanded.

    重要

    デプロイを成功させるには、ディスク暗号化セット、VM、ディスク、スナップショットがすべて同じリージョンとサブスクリプションに存在している必要があります。 Azure Key Vault は異なるサブスクリプションから使用できますが、リージョンとテナントをディスク暗号化セットと同じにする必要があります。

  3. **[+ 作成]** を選択して、新しいキー コンテナーを作成します。

  4. 新しいリソース グループを作成します。

  5. キー コンテナー名を入力し、リージョンを選択して、価格レベルを選択します。

    Note

    Key Vault インスタンスを作成する場合、論理的な削除と消去保護を有効にする必要があります。 論理的な削除では、Key Vault は削除されたキーを特定の保持期間 (既定では90日) にわたって保持します。 消去保護では、保持期間が経過するまで、削除されたキーを完全に削除できないようになります。 これらの設定は、誤って削除したためにデータが失われるのを防ぎます。 これらの設定は、Key Vault を使用してマネージド ディスクを暗号化する場合は必須です。

  6. **[確認および作成]** を選択し、選択内容を確認してから、 **[作成]** を選択します。

    Screenshot of the Azure Key Vault creation experience. Showing the particular values you create

  7. キー コンテナーのデプロイが完了したら、それを選択します。

  8. **[設定]****[キー]** を選択します。

  9. [Generate/Import](生成/インポート) を選択します。

    Screenshot of the Key Vault resource settings pane. Shows the generate/import button inside settings.

  10. **[キーの種類]****[RSA]****[RSA キー サイズ]****[2048]** に設定されているので、どちらもそのままにしておきます。

  11. 必要に応じて残りの選択項目を入力したら、 **[作成]** を選択します。

    Screenshot of the create a key pane that appears once generate/import button is selected

Azure RBAC ロールを追加する

Azure キー コンテナーとキーを作成したら、Azure RBAC ロールを追加して、ディスク暗号化セットで Azure キー コンテナーを使用できるようにする必要があります。

  1. **[アクセス制御 (IAM)]** を選択し、ロールを追加します。
  2. **Key Vault Administrator(キー コンテナー管理者)****所有者**、または **共同作成者** のいずれかのロールを追加します。

ディスク暗号化セットを設定する

  1. **ディスク暗号化セット**を検索して選択します。

  2. **[ディスク暗号化セット]** ペインで、 **[+ 作成]** を選択します。

  3. リソース グループを選択し、暗号化セットに名前を付け、キー コンテナーと同じリージョンを選択します。

  4. **[SSE Encryption type (SSE 暗号化の種類)]** で、 **[Encryption at-rest with a customer-managed key (カスタマー マネージド キーを使用した保存時の暗号化)]** を選択します。

    Note

    特定の種類の暗号化を使用してディスク暗号化セットを作成すると、そのセットを変更することはできません。 別の種類の暗号化を使用したい場合は、新しいディスク暗号化セットを作成する必要があります。

  5. **[クリックしてキーを選択します]** を選択します。

  6. 以前に作成したキー コンテナーとキー、およびバージョンを選択します。

  7. [選択] を選択します。

  8. [カスタマー マネージド キーの自動ローテーション](../articles/virtual-machines/disk-encryption.md#automatic-key-rotation-of-customer-managed-keys)を有効にする場合は、 **[Auto key rotation (自動キー ローテーション)]** を選択します。

  9. [確認および作成][作成] の順に選択します。

    Screenshot of the disk encryption creation pane. Showing the subscription, resource group, disk encryption set name, region, and key vault + key selector.

  10. デプロイされたディスク暗号化セットに移動し、表示されたアラートを選択します。

    Screenshot of user selecting the 'To associate a disk, image, or snapshot with this disk encryption set, you must grant permissions to the key vault' alert.

  11. これにより、キー コンテナーのアクセス許可がディスク暗号化セットに付与されます。

    Screenshot of confirmation that permissions have been granted.

VM をデプロイする

キー コンテナーとディスク暗号化セットの作成と設定が完了したので、暗号化を使用して VM をデプロイできます。 VM のデプロイ プロセスは標準的なデプロイ プロセスと似ています。唯一の違いは、VM を他のリソースと同じリージョンにデプロイしたうえで、カスタマー マネージド キーを使用する必要があることです。

  1. Virtual Machines」で検索し、 [+ 追加] を選択して、VM を作成します。

  2. [基本] ブレードで、ディスク暗号化セットおよび Azure Key Vault と同じリージョンを選択します。

  3. [基本] ブレードで、必要に応じてその他の値を入力します。

    Screenshot of the VM creation experience, with the region value highlighted.

  4. [ディスク] ブレードで、 [顧客が管理するキーを使用した保存時の暗号化] を選択します。

  5. [ディスク暗号化セット] ボックスの一覧で、使用するディスク暗号化セットを選択します。

  6. 必要に応じて、残りの選択を行います。

    Screenshot of the VM creation experience, the disks blade. With the disk encryption set drop-down highlighted.

既存のディスクで有効にする

注意事項

VM にアタッチされているすべてのディスクでディスク暗号化を有効にするには、VM を停止する必要があります。

  1. 使用しているディスク暗号化セットのいずれかと同じリージョンにある VM に移動します。

  2. VM を開き、 [停止] を選択します。

    Screenshot of the main overlay for your example VM, with the Stop button highlighted.

  3. VM の停止が完了した後に、 [ディスク] を選択し、暗号化するディスクを選択します。

    Screenshot of your example VM, with the Disks blade open. The OS disk is highlighted, as an example disk for you to select.

  4. [暗号化] を選択し、 [顧客が管理するキーを使用した保存時の暗号化] を選択してから、ボックスの一覧で、ディスク暗号化セットを選択します。

  5. [保存] を選択します。

    Screenshot of your example OS disk. The encryption blade is open, encryption at rest with a customer-managed key is selected, as well as your example Azure Key Vault. After making those selections, the save button is selected.

  6. 暗号化する VM にアタッチされている他のすべてのディスクに対して、このプロセスを繰り返します。

  7. 使用するディスクでカスタマー マネージド キーへの切り替えが完了し、暗号化するアタッチ済みディスクが他になくなったら、VM を起動することができます。

重要

カスタマー マネージド キーは、Azure Active Directory (Azure AD) の 1 つの機能である Azure リソース用マネージド ID に依存します。 カスタマー マネージド キーを構成すると、内部でマネージド ID がリソースに自動的に割り当てられます。 その後、サブスクリプション、リソース グループ、またはマネージド ディスクを 1 つの Azure AD ディレクトリから別のディレクトリに移動した場合、そのマネージド ディスクに関連付けられているマネージド ID は新しいテナントに転送されないため、カスタマー マネージド キーが機能しなくなることがあります。 詳細については、「Azure AD ディレクトリ間のサブスクリプションの転送」を参照してください。

既存のディスク暗号化セットでキーの自動キー交換を有効にする

  1. 自動キー交換を有効にしたいディスク暗号化セットに移動します。
  2. [設定][キー] を選択します。
  3. [自動キー交換] を選択し、 [保存] を選択します。

次のステップ