Azure Key Vault の探索

  • 3 分

Azure Key Vault サービスは、2 種類のコンテナーがサポートされています。コンテナーと、マネージド ハードウェア セキュリティ モジュール (HSM) プールです。 ボールトでは、ソフトウェアと HSM でバックアップされるキー、シークレット、証明書を保存できます。 Managed HSM プールは、HSM でバックアップされるキーにのみ対応しています。

Azure Key Vault は、次の問題の解決に役立ちます。

  • シークレットの管理 - Azure Key Vault を使用すると、トークン、パスワード、証明書、API キー、その他のシークレットを安全に格納し、それらへのアクセスを厳密に制御できます

  • キー管理 - Azure Key Vault は、キー管理ソリューションとしても使用できます。 Azure Key Vault により、データの暗号化に使用される暗号化キーの作成と制御が簡単になります。

  • 証明書管理 - Azure Key Vault は、Azure および内部の接続されているリソースで使用するためのパブリックおよびプライベートの Secure Sockets Layer/トランスポート層セキュリティ (SSL/TLS) 証明書を簡単にプロビジョニング、管理、デプロイすることができるサービスでもあります。

Azure Key Vault には 2 つのサービス レベルがあります。ソフトウェア キーを使用して暗号化する Standard レベルと、ハードウェア セキュリティ モジュール (HSM) で保護されたキーを含む Premium レベルです。 Standard レベルと Premium レベルの比較については、Azure Key Vault の価格のページを参照してください。

Azure Key Vault を使用する主要な利点

  • 一元化されたアプリケーション シークレット - Azure Key Vault でアプリケーション シークレットのストレージを一元化することで、配布を制御できます。 たとえば、接続文字列をアプリのコードに格納する代わりに、Key Vault に安全に格納することができます。 アプリケーションでは、URI を使用して、必要な情報に安全にアクセスできます。 アプリケーションでは、これらの URI を使用して特定のバージョンのシークレットを取得できます。

  • シークレットとキーを安全に格納する - 呼び出し元 (ユーザーまたはアプリケーション) がアクセスを取得するためには、キー コンテナーへのアクセスに適切な認証と承認が必要です。 認証は Microsoft Entra ID を介して行われます。 認可は、Azure ロールベースのアクセス制御 (Azure RBAC) または Key Vault のアクセス ポリシーを使用して行うことができます。 Azure RBAC は、コンテナーの管理と、コンテナーに格納されているデータへのアクセスの両方に使用できます。一方、キー コンテナーのアクセス ポリシーは、コンテナーに格納されているデータにアクセスしようとするときにのみ使用できます。 Azure Key Vault はソフトウェアで保護する方法と、Azure Key Vault Premium レベルを使用し、HSM (ハードウェア セキュリティ モジュール) によってハードウェアで保護する方法とがあります。

  • アクセスの監視と使用 - コンテナーのログ記録を有効にすることで、アクティビティを監視できます。 ユーザーは、ログを管理できます。ユーザーは、アクセスを制限することによってログを保護することができ、不要になったログを削除することもできます。 Azure Key Vault は次のように構成できます。

    • ストレージ アカウントへのアーカイブ。
    • イベント ハブへのストリーム配信。
    • Azure Monitor ログにログを送信します。

  • アプリケーション シークレットの管理の簡略化 - セキュリティ情報は保護され、ライフ サイクルに従い、高度な可用性を保つ必要があります。 Azure Key Vault では、これらの要件を満たすプロセスが次の方法で簡略化されます。

    • ハードウェア セキュリティ モジュールに関するインハウスの知識の必要性を排除する。
    • 組織の使用量の急増に対応するために急なスケールアップを可能にする。
    • リージョン内およびセカンダリ リージョンに Key Vault の内容をレプリケートする。 データ レプリケーションによって高可用性が確保され、フェールオーバーをトリガーするための管理者の操作が不要になります。
    • ポータル、Azure CLI、および PowerShell を使用した標準 Azure 管理オプションを提供する。
    • パブリック CA から購入した証明書に関する特定のタスク (登録や更新など) を自動化する。