Azure Cloud HSM は、さまざまな方法を使用してハードウェア セキュリティ モジュール (HSM) をデプロイできるようにする、高可用性の FIPS 140-3 レベル 3 で検証されたシングルテナント サービスです。 これらの方法には、Azure CLI、Azure PowerShell、Azure Resource Manager テンプレート (ARM テンプレート)、Terraform、または Azure portal が含まれます。 このクイック スタートでは、Azure portal のデプロイ プロセスについて説明します。
[前提条件]
- アクティブなサブスクリプションを持つ Azure アカウント。 アカウントをお持ちでない場合は、開始する前に 無料アカウント を作成してください。
- HSM リソースとマネージド ID を作成する機能など、サブスクリプションにリソースを作成するための適切なアクセス許可。
- 運用環境では、 プライベート エンドポイントを構成するための既存の仮想ネットワークとサブネット。
注
仮想ネットワークとサブネットの準備ができていない場合でも、最初に HSM を作成し、後でネットワーク接続を追加できます。 「Azure Cloud HSM のネットワーク セキュリティ」で説明されているように、運用環境にはプライベート エンドポイントを使用することを強くお勧めします。
Azure Cloud HSM リソースを作成する
Azure portal を使用して Azure Cloud HSM リソースを作成するには:
Azure portal にサインインします。
Azure Cloud HSM を検索して選択します。
を選択してを作成します。
基本設定を構成する
[基本] タブで、次の 操作 を行います。
Azure のサブスクリプションを選択します。
既存のリソース グループを選択するか、新しいリソース グループを作成します
Cloud HSM リソースは、関連するクライアント仮想ネットワークおよび仮想マシン (VM) リソースとは別のリソース グループにデプロイすることをお勧めします。 この分離により、管理とセキュリティの分離が向上します。
HSM 名、リージョン、SKU (製品レベル) の値を指定します。
HSM 名は一意である必要があります。 選択したリージョンに既に存在する HSM リソース名を指定すると、デプロイは失敗します。
既定の [ドメイン名の再利用] 設定を [テナントの再利用] のままにします。 この設定は、悪意のあるサブドメインの引き継ぎを防ぎ、完全修飾ドメイン名 (FQDN) をテナント内でのみ再利用できるようにするのに役立ちます。
マネージド ID の構成 (省略可能)
[ マネージド ID ] タブで、次のオプションを検討します。
ID なし: バックアップ操作と復元操作を使用する予定がない場合は、このオプションを選択します。
既定では、Azure Cloud HSM は主に HSM で直接処理されるユーザー管理でパスワードベースの認証を使用するため、 ID なし に設定されています。 ただし、バックアップと復元の操作には、マネージド ID が必要です。
![Cloud HSM で既定の [Id なし] オプションが選択されていることを示す ID 構成のタブのスクリーンショット。](media/cloud-hsm-portal-3.png)
User-Assigned ID: ビジネス継続性とディザスター リカバリー (BCDR) には、このオプションを選択することをお勧めします。 各 Cloud HSM クラスターにはマネージド ID を 1 つだけ含めることができますが、複数の HSM に同じマネージド ID を使用することも、異なるマネージド ID を割り当てることもできます。
![Cloud HSM のバックアップと復元の操作で選択された [User-Assigned ID] オプションを示す ID 構成のタブのスクリーンショット。](media/cloud-hsm-portal-4.png)
![Cloud HSM で既定の [Id なし] オプションが選択されていることを示す ID 構成のタブのスクリーンショット。](media/cloud-hsm-portal-3.png#lightbox)
![Cloud HSM のバックアップと復元の操作で選択された [User-Assigned ID] オプションを示す ID 構成のタブのスクリーンショット。](media/cloud-hsm-portal-4.png#lightbox)
バックアップおよび復元操作用にユーザー割り当て ID を構成する方法の詳細については、「 マネージド ID を適用してストレージ アカウントを作成する」を参照してください。
ネットワークの設定
セキュリティで保護された接続を実現するには、Azure Cloud HSM へのプライベート エンドポイントを確立します。 このタスクには、既存の仮想ネットワークが必要です。
[ネットワーク] タブで以下を行います。
仮想ネットワークを含むサブスクリプションを選択します。
仮想ネットワークとサブネットを選択します。
必要に応じて、ドメイン ネーム システム (DNS) 統合設定を構成します。
ヒント
プライベート エンドポイントは、セキュリティにとって非常に重要です。 プライベート リンクを使用して Azure Cloud HSM へのセキュリティで保護された接続を有効にします。 これらの接続により、仮想ネットワークとサービス間のトラフィックが Microsoft バックボーン ネットワークを通過することが保証されます。 この構成により、「 Azure Cloud HSM のネットワーク セキュリティ」で説明されているように、パブリック インターネットへの露出がなくなります。
タグの追加 (省略可能)
タグは、管理とレポート用のリソースを整理および分類するのに役立つ名前と値のペアです。 [ タグ ] タブでは、タグを作成するための詳細を入力できます。 この手順は省略可能ですが、特にエンタープライズ環境では、リソース編成に推奨されます。
Cloud HSM リソースをデプロイする
[ 校閲と送信 ] タブで、次の手順を実行します。
マネージド ID やネットワーク設定など、すべての HSM の詳細を確認します。
[ 作成] を選択して、Azure Cloud HSM リソースのプロビジョニングを開始します。
![[作成] ボタンと共に、リソースの詳細を確認するためのタブを示す Azure portal のスクリーンショット。](media/cloud-hsm-portal-7.png#lightbox)
ポータルには、リソースが作成される間、デプロイが進行中であることが表示されます。 デプロイが完了すると、ポータルに デプロイが完了したと表示されます。
HSM を初期化して構成する
ポータルを使用して Azure Cloud HSM をアクティブ化または構成することはできません。 Azure Cloud HSM SDK とクライアント ツールを使用する必要があります。
Cloud HSM リソースをデプロイしたら、次の手順に従います。
AZURE Cloud HSM SDK を GitHub から、HSM へのネットワーク接続を持つ VM にダウンロードしてインストールします。
Azure Cloud HSM オンボード ガイドの詳細な手順に従って、HSM を初期化して構成します。
Azure Cloud HSM でのユーザー管理の説明に従って、適切な暗号化担当者とユーザー によるユーザー管理を確立します。
Azure Cloud HSM でのキー管理に関するページで説明されているように、最適なセキュリティとパフォーマンスを確保するために、適切なキー管理プラクティスを実装します。
リソースをクリーンアップする
このクイック スタート専用のリソース グループを作成し、これらのリソースを保持する必要がない場合は、リソース グループ全体を削除できます。
Azure portal で、Cloud HSM リソースを含むリソース グループに移動します。
[リソース グループの削除] を選択します。
リソース グループ名を入力して削除を確定し、[削除] を選択 します。
デプロイに関する一般的な問題のトラブルシューティング
デプロイ中に問題が発生した場合:
- リソース名の競合: HSM 名がリージョン内で一意であることを確認します。 名前付けの競合でデプロイが失敗した場合は、別の名前を試してください。
- ネットワーク接続の問題: VM が HSM に適切なネットワーク アクセス権を持っていることを確認します。 ベスト プラクティスについては、 Azure Cloud HSM のネットワーク セキュリティを確認してください。
- 認証エラー: Azure Cloud HSM での認証で詳しく説明されているように、資格情報に正しい形式を使用していることを確認します。
- クライアント接続エラー: Azure Cloud HSM クライアントが実行され、正しく構成されていることを確認します。 クライアント接続に関する一般的な問題については、「 Azure Cloud HSM のトラブルシューティング」を参照してください。