Azure Data Explorer は、保存時のストレージ アカウント内のすべてのデータを暗号化します。 規定では、データは Microsoft のマネージド キーで暗号化されます。 暗号化キーをさらに制御するために、データ暗号化に使用するカスタマー マネージド キーを指定できます。
カスタマー マネージド キーは 、Azure Key Vault に格納する必要があります。 独自のキーを作成してキー コンテナーに格納することも、Azure Key Vault API を使用してキーを生成することもできます。 Azure Data Explorer クラスターとキー コンテナーは同じリージョンに存在する必要がありますが、異なるサブスクリプション内に存在する可能性があります。 カスタマー マネージド キーの詳細については、 Azure Key Vault を使用したカスタマー マネージド キーに関するページを参照してください。
この記事では、カスタマー マネージド キーを構成する方法について説明します。
Azure Data Explorer でカスタマー マネージド キーを構成するには、 キー コンテナーに 2 つのプロパティ ( 論理的な削除 と 消去不可) を設定する必要があります。 これらのプロパティは、既定では有効になっていません。 これらのプロパティを有効にするには、新規または既存のキー コンテナーで PowerShell または Azure CLI で論理的な削除の有効化と消去保護の有効化を実行します。 サイズ 2048 の RSA キーのみがサポートされています。 キーの詳細については、「 Key Vault キー」を参照してください。
マネージド ID をクラスターに割り当てる
クラスターのカスタマー マネージド キーを有効にするには、まず、システム割り当てマネージド ID またはユーザー割り当てマネージド ID をクラスターに割り当てます。 このマネージド ID を使用して、キー コンテナーにアクセスするためのアクセス許可をクラスターに付与します。 マネージド ID を構成するには、 マネージド ID を参照してください。
カスタマー マネージド キーを使用して暗号化を有効にする
この手順では、Azure portal を使用してカスタマー マネージド キーの暗号化を有効にする方法について説明します。 既定では、Azure Data Explorer 暗号化では Microsoft マネージド キーが使用されます。 カスタマー マネージド キーを使用するように Azure Data Explorer クラスターを構成し、クラスターに関連付けるキーを指定します。
Azure portal で、Azure Data Explorer クラスター リソースに移動します。
ポータルの左側のウィンドウで [設定]>[暗号化 ]を選択します。
[暗号化] ウィンドウで、[カスタマー マネージド キー] 設定で [オン] を選択します。
[ キーの選択] をクリックします。
[ Azure Key Vault からキーを選択] ウィンドウで、ドロップダウン リストから既存の キー コンテナー を選択します。 [ 新規作成 ] を選択して 新しい Key Vault を作成すると、[ キー コンテナーの作成 ] 画面にルーティングされます。
キーを選択します。
バージョン:
- このキーで常に最新のキー バージョンが使用されるようにするには、[ 常に現在のキー バージョンを使用 する] チェック ボックスをオンにします。
- それ以外の場合は、[ バージョン] を選択します。
[ 選択] をクリックします。
[ ID の種類] で、[ システム割り当て済み ] または [ ユーザー割り当て済み] を選択します。
[ ユーザー割り当て済み] を選択した場合は、ドロップダウンからユーザー割り当て ID を選択します。
キーが含まれる [ 暗号化 ] ウィンドウで、[保存] を選択 します。 CMK の作成が成功すると、通知に成功メッセージが表示 されます。
Azure Data Explorer クラスターのカスタマー マネージド キーを有効にするときにシステム割り当て ID を選択した場合は、クラスターのシステム割り当て ID が存在しない場合は作成します。 さらに、選択した Key Vault 上の Azure Data Explorer クラスターに必要な get、wrapKey、unwrapKey のアクセス許可を提供し、Key Vault のプロパティを取得します。
注
作成後にカスタマー マネージド キーを削除するには、[ オフ] を選択します。
以降のセクションでは、Azure Data Explorer C# クライアントを使用してカスタマー マネージド キー暗号化を構成する方法について説明します。
パッケージをインストールする
認証
この記事の例を実行するには、リソースにアクセスできる Azure AD アプリケーション とサービス プリンシパルを作成します。 サブスクリプション スコープでロールの割り当てを追加し、必要な Azure AD Directory (tenant) ID、 Application ID、および Application Secretを取得できます。
次のコード スニペットは、 Microsoft Authentication Library (MSAL) を使用して、クラスターにアクセスするための Azure AD アプリケーション トークンを取得する方法を示しています。 フローを成功させるには、アプリケーションを Azure AD に登録する必要があります。また、Azure AD によって発行されたアプリケーション キーや Azure AD で登録された X.509v2 証明書など、アプリケーション認証の資格情報が必要です。
既定では、Azure Data Explorer 暗号化では Microsoft マネージド キーが使用されます。 カスタマー マネージド キーを使用するように Azure Data Explorer クラスターを構成し、クラスターに関連付けるキーを指定します。
次のコードを使用してクラスターを更新します。
var tenantId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; // Azure AD Directory (tenant) ID
var clientId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx"; // Application ID
var clientSecret = "PlaceholderClientSecret"; // Application secret
var subscriptionId = "xxxxxxxx-xxxxx-xxxx-xxxx-xxxxxxxxx";
// Create a confidential authentication client for Azure AD:
var authClient = ConfidentialClientApplicationBuilder.Create(clientId)
.WithAuthority($"https://login.microsoftonline.com/{tenantId}")
.WithClientSecret(clientSecret) // can be replaced by .WithCertificate to authenticate with an X.509 certificate
.Build();
// Acquire application token
var result = authClient.AcquireTokenForClient(
new[] { "https://management.core.windows.net/.default" } // Define scopes for accessing Azure management plane
).ExecuteAsync().Result;
var credentials = new TokenCredentials(result.AccessToken, result.TokenType);
var kustoManagementClient = new KustoManagementClient(credentials) { SubscriptionId = subscriptionId };
var resourceGroupName = "testrg";
var clusterName = "mykustocluster";
var clusterPatch = new ClusterUpdate(
keyVaultProperties: new KeyVaultProperties(
keyName: "<keyName>",
keyVersion: "<keyVersion>", // Optional, leave as NULL for the latest version of the key.
keyVaultUri: "https://<keyVaultName>.vault.azure.net/",
userIdentity: "/subscriptions/<identitySubscriptionId>/resourcegroups/<identityResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>" // Use NULL if you want to use system assigned identity.
)
);
await kustoManagementClient.Clusters.UpdateAsync(resourceGroupName, clusterName, clusterPatch);
次のコマンドを実行して、クラスターが正常に更新されたかどうかを確認します。
var clusterData = await kustoManagementClient.Clusters.GetAsync(resourceGroupName, clusterName);
結果にSucceeded値を持つProvisioningStateが含まれている場合、クラスターは正常に更新されました。
次の手順では、Azure CLI クライアントを使用してカスタマー マネージド キーの暗号化を有効にする方法について説明します。 既定では、Azure Data Explorer 暗号化では Microsoft マネージド キーが使用されます。 カスタマー マネージド キーを使用するように Azure Data Explorer クラスターを構成し、クラスターに関連付けるキーを指定します。
次のコマンドを実行して、Azure にサインインします。
az login
クラスターが登録されているサブスクリプションを設定します。
MyAzureSub を、使用する Azure サブスクリプションの名前に置き換えます。
az account set --subscription MyAzureSub
次のコマンドを実行して、クラスターのシステム割り当て ID で新しいキーを設定します
az kusto cluster update --cluster-name "mytestcluster" --resource-group "mytestrg" --key-vault-properties key-name="<key-name>" key-version="<key-version>" key-vault-uri="<key-vault-uri>"
または、ユーザー割り当て ID で新しいキーを設定します。
az kusto cluster update --cluster-name "mytestcluster" --resource-group "mytestrg" --key-vault-properties key-name="<key-name>" key-version="<key-version>" key-vault-uri="<key-vault-uri>" key-user-identity="<user-identity-resource-id>"
次のコマンドを実行し、'keyVaultProperties' プロパティを確認して、クラスターが正常に更新されたことを確認します。
az kusto cluster show --cluster-name "mytestcluster" --resource-group "mytestrg"
次の手順では、PowerShell を使用してカスタマー マネージド キーの暗号化を有効にする方法について説明します。 既定では、Azure Data Explorer 暗号化では Microsoft マネージド キーが使用されます。 カスタマー マネージド キーを使用するように Azure Data Explorer クラスターを構成し、クラスターに関連付けるキーを指定します。
次のコマンドを実行して、Azure にサインインします。
Connect-AzAccount
クラスターが登録されているサブスクリプションを設定します。
Set-AzContext -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
次のコマンドを実行して、システム割り当て ID を使用して新しいキーを設定します。
Update-AzKustoCluster -ResourceGroupName "mytestrg" -Name "mytestcluster" -KeyVaultPropertyKeyName "<key-name>" -KeyVaultPropertyKeyVaultUri "<key-vault-uri>" -KeyVaultPropertyKeyVersion "<key-version>"
または、ユーザー割り当て ID を使用して新しいキーを設定します。
Update-AzKustoCluster -ResourceGroupName "mytestrg" -Name "mytestcluster" -KeyVaultPropertyKeyName "<key-name>" -KeyVaultPropertyKeyVaultUri "<key-vault-uri>" -KeyVaultPropertyKeyVersion "<key-version>" -KeyVaultPropertyUserIdentity "user-assigned-identity-resource-id"
次のコマンドを実行し、'KeyVaultProperty...' プロパティを確認して、クラスターが正常に更新されたかどうかを確認します。
Get-AzKustoCluster -Name "mytestcluster" -ResourceGroupName "mytestrg" | Format-List
次の手順では、Azure Resource Manager テンプレートを使用してカスタマー マネージド キーを構成する方法について説明します。 既定では、Azure Data Explorer 暗号化では Microsoft マネージド キーが使用されます。 この手順では、カスタマー マネージド キーを使用するように Azure Data Explorer クラスターを構成し、クラスターに関連付けるキーを指定します。
システム割り当て ID を使用してキー コンテナーにアクセスする場合は、 userIdentity 空のままにします。 それ以外の場合は、識別情報のリソース ID を設定します。
Azure Portal または PowerShell を使用して、Azure Resource Manager テンプレートをデプロイできます。
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"clusterName": {
"type": "string",
"defaultValue": "[concat('kusto', uniqueString(resourceGroup().id))]",
"metadata": {
"description": "Name of the cluster to create"
}
},
"location": {
"type": "string",
"defaultValue": "[resourceGroup().location]",
"metadata": {
"description": "Location for all resources."
}
}
},
"variables": {},
"resources": [
{
"name": "[parameters('clusterName')]",
"type": "Microsoft.Kusto/clusters",
"sku": {
"name": "Standard_E8ads_v5",
"tier": "Standard",
"capacity": 2
},
"apiVersion": "2019-09-07",
"location": "[parameters('location')]",
"properties": {
"keyVaultProperties": {
"keyVaultUri": "<keyVaultUri>",
"keyName": "<keyName>",
"keyVersion": "<keyVersion>",
"userIdentity": "<userIdentity>"
}
}
}
]
}
キーのバージョンを更新する
キーの新しいバージョンを作成するときは、新しいバージョンを使用するようにクラスターを更新する必要があります。 まず、 Get-AzKeyVaultKey を呼び出して、最新バージョンのキーを取得します。 次に、「カスタマー マネージド キーによる暗号化を有効にする」に示すように、新しいバージョンのキーを使用するようにクラスター のキー コンテナーのプロパティを更新します。
次のステップ