Azure Cloud HSM または Azure Managed HSM に移行する Azure Dedicated HSM のお客様は、この記事のガイダンスを参照できます。 この移行には、新しいキーの作成と、新しいサービスを使用するためのアプリケーションの更新が含まれます。
Warnung
Thales Luna HSM の既知の制限により、既存のキー マテリアルを Azure Dedicated HSM から Azure Cloud HSM または Azure Managed HSM に移行することはできません。 Azure Dedicated HSM から移行するときは、Azure Cloud HSM または Azure Managed HSM で新しいキーを作成する必要があります。
デバイスは顧客のプライベート IP アドレス空間内に割り当てられるため、Microsoft はお客様に割り当てられた専用 HSM にアクセスできません。 お客様は、内部チームと連携して、Azure Cloud HSM または Azure Managed HSM で新しいキーを作成し、新しいキーを使用するようにアプリケーションを更新し、スムーズな移行を確実にするためにテストする責任があります。
Thales Luna HSM の制限
既定のパーティション ポリシー設定 "キーのエクスポート" が無効になっている場合、HSM で保護されたキーを Thales Luna HSM から Azure Cloud HSM または Azure Managed HSM にエクスポートすることはできません。 このモードでは、指定された複製ドメイン内の信頼された Luna HSM の外部に秘密キーが存在しないようにします。
複数のデバイス間で BCDR をサポートするために High-Availability (HA) グループを使用している Azure Dedicated HSM のお客様は、通常、"複製モードがオン" と "キーエクスポート" が無効になっています。 その結果、既存のキー マテリアルを切り替えることはできません。また、Azure Cloud HSM または Azure Managed HSM で新しいキーを作成する必要があります。
"複製モードがオン" で "キーのエクスポート" が無効になっている Thales Luna HSM は、キーをエクスポートできません。
Warnung
Thales Luna HSM でパーティション ポリシーを変更することは破壊的なプロセスです。 パーティション ポリシーの変更を適用すると、HSM がゼロになり、すべての重要なマテリアルと内容が失われます。 パーティション ポリシーの状態がわからない場合は、Azure Dedicated HSM で パーティション showPolicies を実行して、現在のポリシーを表示できます。
Azure Cloud HSM への移行
お客様は、Azure Cloud HSM のオンボード ガイド、統合ガイド、および概要ドキュメントを参照して、Azure Cloud HSM リソースをプロビジョニングおよびアクティブ化できます。 使用シナリオとベスト プラクティスの詳細については、 Azure Cloud HSM に関する FAQ を参照してください。
Azure Cloud HSM をプロビジョニングしてアクティブ化する
Azure Cloud HSM の使用を開始するには、HSM リソースをプロビジョニングしてアクティブ化する必要があります。 詳細な手順については、以下のガイドに従ってください。
Azure Cloud HSM でキーを作成する
Azure Cloud HSM でのキーの作成は簡単です。 キーの作成、一覧表示、削除、バックアップ、復旧、またはインポートの方法については、HSM キーを管理するために必要なすべてのコマンドとガイダンスを提供する Azure Cloud HSM の概要を参照してください。
Azure Cloud HSM を使用したベスト プラクティスの読み取り
Azure Cloud HSM は、暗号化キーを保護するクラウド サービスです。 これらのキーは機密性が高くビジネスクリティカルであるため、承認されたアプリケーションとユーザーのみを許可することで、クラウド HSM へのアクセスをセキュリティで保護してください。 ベスト プラクティスに関する記事では、キーの管理とセキュリティとユーザー管理と共に、アクセス モデルの概要を示します。 それに従う必要がある認証、承認、ロールベースのアクセス制御について説明します。
Azure Managed HSM への移行
お客様は、以下のクイック スタート リファレンス ガイドを使用して、Managed HSM をすばやくプロビジョニングしてアクティブ化できます。
Managed HSM のプロビジョニングとアクティブ化
Azure Managed HSM の使用を開始するには、プロビジョニングしてアクティブ化する必要があります。 詳細な手順については、次のガイドを参照してください。
- Azure Managed HSM の概要
- Azure CLI を使用して Managed HSM をプロビジョニングしてアクティブ化する
- PowerShell を使用してマネージド HSM をプロビジョニングしてアクティブにする
- Azure Resource Manager テンプレートを使用してマネージド HSM をプロビジョニングしてアクティブ化する
Azure Managed HSM でキーを作成する
データをセキュリティで保護するには、Azure Managed HSM でキーを作成することが不可欠です。 詳細な手順については、次のリソースを参照してください。
Azure Managed HSM を使用したベスト プラクティスの読み取り
Azure Managed HSM は、暗号化キーを保護するクラウド サービスです。 これらのキーは機密性が高くビジネス クリティカルであるため、承認されたアプリケーションとユーザーのみを許可することで、マネージド HSM へのアクセスをセキュリティで保護してください。 Managed HSM のアクセス制御に関するベスト プラクティスと記事では、アクセス モデルの概要について説明します。 認証と認可、および従うべきロールベースのアクセス制御について説明します。
よく寄せられる質問
お客様は、専用 HSM キーを Cloud HSM または Managed HSM に移行できますか?
いいえ。Thales Luna HSM の制限により、既存のキーを移行することはできません。 お客様は、Azure Cloud HSM または Azure Managed HSM で新しいキーを作成する必要があります。
お客様は、キーのエクスポートを有効にするために専用 HSM のパーティション ポリシーを変更できますか?
いいえ。 キーの複製またはキーのエクスポートのためにパーティション ポリシーを変更することは、破壊的なプロセスです。 このポリシーは、パーティションの作成時にのみ設定できます。 キーの作成後にこのポリシーを変更すると、出荷時の設定にリセットされ、すべてのキーマテリアルが失われます。 このポリシーは Thales ファームウェアを通じて適用されます。
次のステップ
Azure Cloud HSM と Azure Managed HSM の詳細については、次のリソースを参照してください。
- Azure Cloud HSM の概要: Azure Cloud HSM の機能について説明します。
- Azure Managed HSM の概要: Azure Managed HSM の利点とユース ケースについて説明します。
- Azure Cloud HSM オンボード ガイド: Azure Cloud HSM の使用を開始するための詳細な手順。
- Azure Managed HSM クイック スタート: Azure Managed HSM のプロビジョニングとアクティブ化に関するクイック スタート ガイド。
- Azure Cloud HSM に関する FAQ: Azure Cloud HSM の使用シナリオとベスト プラクティスについて説明します。