はじめに
アプリケーションシークレットの一元化や、キーを安全に保存したいなど、セキュリティを向上させたい場合は積極的に利用していくと良いです。
また、AWSでいうKMSと同様です。
本記事では、Azure Key VaultをAzure Portalから作成する場合の手順を簡単にまとめてみました。
参考になれば幸いです。
Azure Key Vault とは
Azureが提供するキーや証明書の管理を行うPaaSになります。
Azure Key Vault は、下記の機能があります。
- シークレットの管理
トークン、パスワード、証明書、API キー、その他のシークレットを安全に格納し、それらへのアクセスを厳密に制御できます。
- キー管理
キー管理ソリューションとしても使用できます。
Azure Key Vault により、データの暗号化に使用される暗号化キーの作成と制御が簡単になります。
- 証明書の管理
Azure および内部の接続されているリソースで使用するためのパブリックおよびプライベートの Transport Layer Security/Secure Sockets Layer (TLS/SSL) 証明書を簡単にプロビジョニング、管理、デプロイすることができるサービスでもあります。
Azure Key Vault には 2 つのサービス レベルがあり、ソフトウェア キーを使用して暗号化する Standard レベルと、HSM で保護されたキーを含む Premium レベルです。
より詳細な情報は公式ドキュメントもご確認ください。
Azure Key Vaultの概要
Azure Key Vault を作成する
では、Azure Portalから作成していきましょう。
1. すべてのサービスから「セキュリティ」を選択
2. 一覧から「キーコンテナー」を選択
3. 「キーコンテナーの作成」を選択
4. まずは基本情報
- サブスクリプション (自動で選択されている)
- リソースグループ (任意のリソースグループを選択、もしくは新規作成)
- Key Vault 名 (任意の名前を設定)
- 地域 (任意のリージョン指定)
- 価格レベル (任意のレベル指定)
- 論理的な削除 (有効か無効か指定)
- 削除されたコンテナーを保持する日数 (デフォルトは90)
- 削除保護 (許可か無効か指定)
5.次はアクセスポリシーの設定
- アクセスの有効化 (用途に応じて選択)
- 現在のアクセスポリシー (デフォルトだと作成者が登録されている、用途に応じて権限の追加等行う)
6.ネットワークの設定
今回はパブリックエンドポイント(選択されたネットワーク)での設定例
※仮想ネットワークがない場合は作成しておいてください。
- 「既存の仮想ネットワークを追加」を選択
- 右ペインに表示されたネットワーク情報に必要情報を入力しネットワークを追加する
7.タグの設定
必要に応じてタグを設定しましょう。
8.最終確認して問題なければ作成
作成後の設定
1.自クライアントからのアクセスを有効にする
ファイアウォールが有効の場合、IPアドレスを許可しないとアクセスできません。
2. 左ペインの「ネットワーク」を選択
IPv4 アドレスまたは CIDR にIPアドレスを入力して保存
3. さっきのエラーが無くなります
まとめ
作成後の確認もしておかないと、アクセス権がなくていざサービスで利用しようとしたときに権限エラーでデプロイが失敗することがあります。
作成後の権限確認は忘れずに行いましょう。