Azure Key Vault を探索する

  • 3 分

Azure Key Vault サービスでは、コンテナーとマネージド ハードウェア セキュリティ モジュール (HSM) プールの 2 種類のコンテナーがサポートされています。 ボールトでは、ソフトウェアと HSM でバックアップされるキー、シークレット、証明書を保存できます。 Managed HSM プールは、HSM でバックアップされるキーにのみ対応しています。

Azure Key Vault は、次の問題の解決に役立ちます。

  • シークレット管理: Azure Key Vault を使用して、トークン、パスワード、証明書、API キー、およびその他のシークレットへのアクセスを安全に格納し、厳密に制御できます

  • キー管理: Azure Key Vault は、キー管理ソリューションとしても使用できます。 Azure Key Vault を使用すると、データの暗号化に使用される暗号化キーを簡単に作成および制御できます。

  • 証明書の管理: Azure Key Vault は、Azure および内部接続リソースで使用するために、パブリックおよびプライベートの Secure Sockets Layer/Transport Layer Security (SSL/TLS) 証明書を簡単にプロビジョニング、管理、デプロイできるサービスでもあります。

Azure Key Vault には、ソフトウェア キーで暗号化される Standard と、ハードウェア セキュリティ モジュール (HSM) で保護されたキーを含む Premium レベルの 2 つのサービス レベルがあります。 Standard レベルと Premium レベルの比較については、 Azure Key Vault の価格に関するページを参照してください。

Azure Key Vault を使用する主な利点

  • 一元化されたアプリケーション シークレット: Azure Key Vault でアプリケーション シークレットのストレージを一元化すると、その配布を制御できます。 たとえば、接続文字列をアプリのコードに格納する代わりに、Key Vault に安全に格納できます。 アプリケーションでは、URI を使用して、必要な情報に安全にアクセスできます。 アプリケーションでは、これらの URI を使用して特定のバージョンのシークレットを取得できます。

  • シークレットとキーを安全に格納します。 キー コンテナーへのアクセスには、呼び出し元 (ユーザーまたはアプリケーション) がアクセスできるようになる前に、適切な認証と承認が必要です。 認証は Microsoft Entra ID によって行われます。 承認は、Azure ロールベースのアクセス制御 (Azure RBAC) または Key Vault アクセス ポリシーを使用して行うことができます。 Azure RBAC は、コンテナーの管理と、コンテナーに格納されているデータへのアクセスの両方に使用できます。 Key Vault アクセス ポリシーは、コンテナーに格納されているデータにアクセスしようとしたときにのみ使用できます。 Azure Key Vault は、ソフトウェアで保護されているか、Azure Key Vault Premium レベルでハードウェア セキュリティ モジュール (HSM) によってハードウェアで保護されている場合があります。

  • アクセスの監視と使用: ボールトのログ記録を有効にすると、アクティビティを監視できます。 ログを制御でき、アクセスを制限してログをセキュリティで保護したり、不要になったログを削除したりすることもできます。 Azure Key Vault の診断ログとメトリックは、次のように構成できます。

    • ストレージ アカウントにアーカイブします。
    • イベント ハブにストリーミングします。
    • ログを Azure Monitor ログに送信します。

  • アプリケーション シークレットの管理の簡略化: セキュリティ情報はセキュリティで保護され、ライフサイクルに従う必要があり、高可用性である必要があります。 Azure Key Vault は、次の方法でこれらの要件を満たすプロセスを簡略化します。

    • ハードウェア セキュリティ モジュールに関する社内知識の必要性を取り除く
    • 組織の使用量の急増に合わせて、簡単な通知でスケールアップします。
    • リージョン内およびセカンダリ リージョンに Key Vault の内容をレプリケートする。 データ レプリケーションにより高可用性が確保され、フェールオーバーをトリガーする管理者の操作が不要になります。
    • ポータル、Azure CLI、PowerShell を使用して標準の Azure 管理オプションを提供する。
    • 登録や更新など、パブリック CA から購入した証明書に関する特定のタスクを自動化する。