Azure Disk Encryption に対応した Key Vault の構成

  • 6 分

Azure Disk Encryption を使用して新しい VM に暗号化を適用するために、Contoso がディスク暗号化のキーとシークレットを制御および管理するための Key Vault を構成する必要があります。

Note

Azure Disk Encryption を有効にする前の別のタスクとして Key Vault を作成することができます。あるいは、Azure Disk Encryption を有効化している途中で Key Vault を作成することもできます。

Key Vault を構成するためには 次の 3 つの手順を行う必要があります。

  1. リソース グループを作成します。 これは省略可能な手順です。 Key Vault のホストとなるリソース グループを作成するか、既に存在するものを使用することができます。 Azure portal、Azure コマンド ライン インターフェイス (Azure CLI)、または PowerShell を使用してリソース グループを作成できます。
  2. Key Vault を作成します。 Azure portal、Azure CLI、または PowerShell を使用して Key Vault を作成できます。
  3. Key Vault に高度なアクセス ポリシーを設定します。 Azure では、Key Vault 内の暗号化のキーまたはシークレットへのアクセスが必要です。 これにより Azure はそれらを VM で使用可能にしてボリュームを開始および復号化できるようになります。

ヒント

作成時に、-enabled-for-disk-encryption パラメーターを使用してディスク暗号化の Key Vault を有効にしなかった場合は、その高度なアクセス ポリシーを更新する必要があります。

Azure CLI の使用

Azure CLI を使用して Key Vault を作成および構成する手順は次のとおりです。

  1. リソース グループを作成します。

    リソース グループを Azure CLI で作成するには、次の手順を実行します。

    1. 次のコマンドを使用して Azure にサインインします。

      az login

    2. 次のコマンドを実行してリソース グループを作成し、名前と場所を必要に応じて変更します。

      az group create --name "ContosoResourceGroup" --location eastus

  2. 次の手順では、Key Vault を作成します。 次のコマンドを Azure CLI で実行して Key Vault を作成し、名前、リソース グループ名、場所を必要に応じて変更します。

    az keyvault create --name "ContosoADEKeyVault" --resource-group "ContosoResourceGroup" --location "eastus" --enabled-for-disk-encryption

    Note

    各 Key Vault に一意の名前が必要です。

  3. Key Vault に高度なアクセス ポリシーを設定します。

    次のコマンドを Azure CLI で実行して、このプロセスを完了します。

    1. 最初に、ディスク暗号化の Vault を有効にします。 これは必須です。

      az keyvault update --name "ContosoADEKeyVault" --resource-group "ContosoResourceGroup" --enabled-for-disk-encryption "true"

    2. 次に、次のコマンドを実行して Key Vault を、必要に応じてデプロイに有効にします。 これにより Microsoft.Compute ソース プロバイダーは Key Vault の中のシークレットを、VM を作成するときなどのリソース作成で参照されるときに取得することができます。

      az keyvault update --name "ContosoADEKeyVault" --resource-group "ContosoResourceGroup" --enabled-for-deployment "true"

    3. 最後に、必要に応じて、リソース マネージャーが Key Vault からシークレットを取得できるようにして、Key Vault を Template deployment で有効にします。 次のコードを使用して、Key Vault を Template deployment で有効にします。

      az keyvault update --name "ContosoADEKeyVault" --resource-group "ContosoResourceGroup" --enabled-for-template-deployment "true"

PowerShell の使用

PowerShell コマンドを使用して Key Vault の作成や構成をすることもできます。

  1. 次の PowerShell コマンドを使用してリソース グループを作成します。

    New-AzResourceGroup -Name "ContosoResourceGroup" -Location "EastUS"

  2. 次の PowerShell コマンドを使用して Key Vault を作成します。

    New-AzKeyvault -name ContosoADEKeyVault -ResourceGroupName ContosoResourceGroup -Location EastUS -EnabledForDiskEncryption

  3. Key Vault に高度なアクセス ポリシーを設定します。 次の PowerShell コマンドを使用して Key Vault のアクセス ポリシーを構成します。

    Set-AzKeyVaultAccessPolicy -VaultName 'ContosoADEKVault' -ResourceGroupName 'ContosoResourceGroup' -enabled-for-disk-encryption -EnabledForDeployment -EnabledForTemplateDeployment

重要

上述のコマンドの Key Vault 名とリソース グループ名は、実際の環境に合わせて変更するようにしてください。

ポータルの使用

最後に、Azure portal を使用して Key Vault を作成します。 これにより、前のセクションで説明した 3 つの手順すべてを結び付けることができます。

portal を使用して Key Vault を作成および構成するには、次の手順に従います。

  1. Azure portal の検索ボックスに「Key vaults」と入力して、[サービス] の一覧で Key Vault を選択します。

  2. [Key Vault] ブレードで、[Key Vault の作成] を選択します。

  3. 適切な [サブスクリプション][リソース グループ][リージョン][価格レベル] を選択します。

    A screenshot of the Create key vault blade in Azure portal. The administrator has entered the details to match the text in the preceding Azure CLI command.

  4. [Next : Access policy] (次へ: アクセス ポリシー)> を選択します。

  5. [Enable Access to](アクセスの有効化) セクションの[アクセス ポリシー] タブで、適切なチェック ボックスをオンにして Key Vault の高度なアクセスポリシーを構成します。

    • Azure VM (デプロイ用)
    • Azure Resource Manager (テンプレート デプロイ用)
    • Azure Disk Encryption (ボリューム暗号化用)

  6. [確認と作成] を選択し、次に [作成] を選択します。

    A screenshot of the Create key vault blade in Azure portal. On the Access policy tab, the administrator is configuring the Enable Access to settings and has selected all check boxes as described in the preceding text.