Azure HPC Cache にカスタマー マネージド暗号化キーを使用する

Azure Key Vault を使用して、Azure HPC Cache 内のデータの暗号化に使用されるキーの所有権を制御できます。 この記事では、キャッシュ データの暗号化にカスタマー マネージド キーを使用する方法について説明します。

Note

キャッシュ ディスクを含め、Azure に格納されているすべてのデータは、既定で Microsoft マネージド キーを使用して保存時に暗号化されます。 データの暗号化に使用するキーを管理する場合にのみ、この記事の手順に従う必要があります。

Azure HPC Cache は、キャッシュ ディスクのカスタマー キーを追加した場合でも、キャッシュされたデータを保持するマネージド ディスク上の VM ホスト暗号化 によっても保護されます。 二重暗号化用にカスタマー マネージド キーを追加すると、高いセキュリティ ニーズを持つお客様にとって、セキュリティレベルが高くなります。 詳細については、Azure ディスク ストレージのサーバー側暗号化を読み取ります。

Azure HPC Cache のカスタマー マネージド キー暗号化を有効にするには、次の 3 つの手順があります。

  1. キーを格納するように Azure Key Vault を設定します。

  2. Azure HPC Cache を作成するときは、カスタマー マネージド キー暗号化を選択し、使用するキー コンテナーとキーを指定します。 必要に応じて、キー コンテナーへのアクセスに使用するキャッシュのマネージド ID を指定します。

    この手順で選択した内容によっては、手順 3 をスキップできる場合があります。 詳細については 、キャッシュのマネージド ID オプションの選択を 参照してください。

  3. システム割り当てマネージド ID または Key Vault アクセスで構成されていないユーザー割り当て ID を使用する場合: 新しく作成されたキャッシュに移動し、キー コンテナーへのアクセスを承認します。

    マネージド ID が Azure Key Vault にまだアクセスできない場合、暗号化は、新しく作成されたキャッシュから承認するまで完全には設定されません (手順 3)。

    システム マネージド ID を使用する場合、キャッシュの作成時に ID が作成されます。 キャッシュの作成後に承認されたユーザーにするには、キャッシュの ID をキー コンテナーに渡す必要があります。

    キー コンテナーに既にアクセスできるユーザーマネージド ID を割り当てる場合は、この手順をスキップできます。

キャッシュを作成した後は、カスタマー マネージド キーと Microsoft マネージド キーを変更することはできません。 ただし、キャッシュでカスタマー マネージド キーが使用されている場合は、必要に応じて暗号化キー、キー バージョン、およびキー コンテナーを 変更 できます。

キー保管庫とキーの要件を理解する

Azure HPC Cache を使用するには、キー コンテナーとキーがこれらの要件を満たしている必要があります。

キー ボールトのプロパティ:

  • サブスクリプション - キャッシュに使用されるのと同じサブスクリプションを使用します。
  • リージョン - キー コンテナーは、Azure HPC Cache と同じリージョンに存在する必要があります。
  • 価格レベル - Standard レベルは、Azure HPC Cache で使用するのに十分です。
  • 論理的な削除 - キー コンテナーでまだ構成されていない場合、Azure HPC Cache によって論理的な削除が有効になります。
  • 消去保護 - 消去保護を有効にする必要があります。
  • アクセス ポリシー - 既定の設定で十分です。
  • ネットワーク接続 - Azure HPC Cache は、選択したエンドポイント設定に関係なく、キー コンテナーにアクセスできる必要があります。

主なプロパティ:

  • キーの種類 - RSA
  • RSA キー サイズ - 2048
  • 有効 - はい

キー ボールトのアクセス許可

キャッシュのマネージド ID オプションを選択する

HPC Cache では、マネージド ID 資格情報を使用してキー コンテナーに接続します。

Azure HPC Cache では、次の 2 種類のマネージド ID を使用できます。

  • システム割り当て マネージド ID - キャッシュ用に自動的に作成された一意の ID。 このマネージド ID は HPC Cache が存在する間にのみ存在し、直接管理または変更することはできません。

  • ユーザー割り当て マネージド ID - キャッシュとは別に管理するスタンドアロン ID 資格情報。 必要なアクセス権を持つユーザー割り当てマネージド ID を構成し、複数の HPC キャッシュで使用できます。

作成時にマネージド ID をキャッシュに割り当てない場合、Azure によってキャッシュのシステム割り当てマネージド ID が自動的に作成されます。

ユーザー割り当てマネージド ID を使用すると、キー コンテナーに既にアクセスできる ID を指定できます。 (たとえば、キー コンテナーのアクセス ポリシーに追加されているか、アクセスを許可する Azure RBAC ロールを持っています)。システム割り当て ID を使用する場合、またはアクセス権のないマネージド ID を指定する場合は、作成後にキャッシュからのアクセスを要求する必要があります。 これは、手順 3 で以下に説明する手動 の手順です

1. Azure Key Vault を設定する

キャッシュを作成する前にキー コンテナーとキーを設定することも、キャッシュの作成の一部として設定することもできます。 これらのリソースが 上記の要件を満たしていることを確認します。

キャッシュの作成時に、キャッシュの暗号化に使用するコンテナー、キー、およびキーのバージョンを指定する必要があります。

詳細については、 Azure Key Vault のドキュメント を参照してください。

Note

Azure Key Vault は、同じサブスクリプションを使用し、Azure HPC Cache と同じリージョンに存在する必要があります。 選択したリージョンで 両方の製品がサポートされていることを確認します。

2. カスタマー マネージド キーを有効にしてキャッシュを作成する

Azure HPC Cache を作成するときは、暗号化キー ソースを指定する必要があります。 「Azure HPC Cache の作成」の手順に従い、[ディスク暗号化キー] ページでキー コンテナーとキーを指定します。 キャッシュの作成時に、新しいキー コンテナーとキーを作成できます。

Tip

[ディスク暗号化キー] ページが表示されない場合は、サポートされているリージョンのいずれかにキャッシュがあることを確認します。

完了した [ディスク暗号化キー] 画面のスクリーンショット。ポータルのキャッシュ作成インターフェイスの一部です。

キャッシュを作成するユーザーには、 Key Vault 共同作成者ロール 以上の特権が必要です。

  1. このボタンをクリックして、秘密管理キーを有効にします。 この設定を変更すると、キー・ボールトの設定が表示されるようになります。

  2. [ キー コンテナーの選択 ] をクリックして、キーの選択ページを開きます。 このキャッシュのディスク上のデータを暗号化するためのキー コンテナーとキーを選択または作成します。

    Azure Key Vault が一覧に表示されない場合は、次の要件を確認します。

    • キャッシュはキー コンテナーと同じサブスクリプションにありますか?
    • キャッシュはキー コンテナーと同じリージョンにありますか?
    • Azure portal とキー コンテナーの間にネットワーク接続がありますか?

  3. ボールトを選択した後、使用可能なオプションから個別のキーを選択するか、新しいキーを作成します。 キーは、2,048 ビット RSA キーである必要があります。

  4. 選択したキーのバージョンを指定します。 バージョン管理の詳細については、 Azure Key Vault のドキュメントを参照してください

これらの設定は省略可能です。

  • 自動キー ローテーションを使用する場合は、[Always use current key version]\(常に現在のキー バージョンを使用する\) チェックボックスをオンにします。

  • このキャッシュに特定のマネージド ID を使用する場合は、[マネージド ID] セクションで [ユーザー割り当て済み] を選択し、使用する ID を選択します。 ヘルプについては、 マネージド ID のドキュメント を参照してください。

    Tip

    ユーザー割り当てマネージド ID は、キー コンテナーにアクセスするように既に構成されている ID を渡すと、キャッシュの作成を簡略化できます。 システム割り当てマネージド ID では、キャッシュの新しく作成されたシステム割り当て ID がキー コンテナーを使用することを承認するために、キャッシュの作成後に追加の手順を実行する必要があります。

    Note

    キャッシュを作成した後は、割り当てられた ID は変更できません。

残りの仕様に進み、「Azure HPC Cache の作成」の説明に従って キャッシュを作成します

3. キャッシュからの Azure Key Vault 暗号化を承認する (必要な場合)

Note

キャッシュの作成時にキー コンテナーへのアクセス権を持つユーザー割り当てマネージド ID を指定した場合、この手順は必要ありません。

数分後に、新しい Azure HPC Cache が Azure portal に表示されます。 [概要] ページに移動して、Azure Key Vault へのアクセスを承認し、カスタマー マネージド キー暗号化を有効にします。

Tip

キャッシュは、"デプロイ中" メッセージがクリアされる前にリソースの一覧に表示される場合があります。 成功通知を待つ代わりに、1 ~ 2 分後にリソースの一覧を確認します。

キャッシュを作成してから 90 分以内に暗号化を承認する必要があります。 この手順を完了しないと、キャッシュはタイムアウトし、失敗します。 失敗したキャッシュは再作成する必要があります。修正することはできません。

キャッシュには、 キーを待機中の状態が表示されます。 ページの上部にある [ 暗号化を有効にする ] ボタンをクリックして、指定したキー コンテナーにアクセスするためのキャッシュを承認します。

ポータルのキャッシュの概要ページのスクリーンショット。[暗号化を有効にする] ボタン (上部の行) と [状態: キーを待機しています] が強調表示されています。

[ 暗号化を有効にする ] をクリックし、[ はい ] ボタンをクリックして、暗号化キーを使用するキャッシュを承認します。 このアクションにより、キー コンテナーでの論理的な削除と消去の保護 (まだ有効になっていない場合) も有効になります。

ポータルのキャッシュの概要ページのスクリーンショット。上部にバナー メッセージが表示され、[はい] をクリックして暗号化を有効にするようユーザーに求められます。

キャッシュは、キー コンテナーへのアクセスを要求した後、キャッシュされたデータを格納するディスクを作成して暗号化できます。

暗号化を承認すると、Azure HPC Cache は、暗号化されたディスクと関連インフラストラクチャを作成するために、さらに数分のセットアップを行います。

キー設定を更新する

キャッシュのキー コンテナー、キー、またはキーのバージョンは、Azure portal から変更できます。 キャッシュの [暗号化 設定] リンクをクリックして、[ 顧客キーの設定] ページを開きます。

カスタマー マネージド キーとシステム マネージド キーの間でキャッシュを変更することはできません。

Azure portal のキャッシュ ページから [設定] > [暗号化] をクリックして表示された [顧客キーの設定] ページのスクリーンショット。

[ キーの変更 ] リンクをクリックし、[ キー コンテナー、キー、またはバージョンの変更 ] をクリックしてキー セレクターを開きます。

キー コンテナー、キー、およびバージョンを選択する 3 つのドロップダウン セレクターを含む [Select key from Azure Key Vault]\(Azure Key Vault からキーを選択する\) ページのスクリーンショット。

このキャッシュと同じサブスクリプションと同じリージョン内のキー コンテナーが一覧に表示されます。

新しい暗号化キーの値を選択したら、[ 選択] をクリックします。 確認ページに新しい値が表示されます。 [ 保存] をクリックして選択内容を確定します。

左上に [保存] ボタンがある確認ページのスクリーンショット。

Azure でのカスタマー マネージド キーの詳細を確認する

これらの記事では、Azure Key Vault とカスタマー マネージド キーを使用して Azure でデータを暗号化する方法が詳しく説明されています。

次のステップ

Azure HPC Cache を作成し、Key Vault ベースの暗号化を承認したら、データ ソースへのアクセス権を付与することで、引き続きキャッシュを設定します。

  • Last updated on