はじめに
Azureのサービスをデプロイしていくうえで、ディスク暗号化セットの指定を問われる場合があります。
「ディスク暗号化セット」で調べてもピンポイントで作成の仕方は出てこないことが多いので、この記事で簡単にですがまとめておきます。
ディスク暗号化セットとは
名前の通りですが、マネージドディスクなどを暗号化する際に、Key Vaultのマネージドキーを使用して暗号化する方法です。
次の図は、マネージド ディスクで Azure Active Directory と Azure Key Vault を使用して、カスタマー マネージド キーを使って要求を行う方法を示しています。
- Azure Key Vault の管理者が Key Vault リソースを作成します。
- Key Vault 管理者は、RSA キーを Key Vault にインポートするか、Key Vault 内で新しい RSA キーを生成します。
- この管理者は、Azure Key Vault ID とキー URL を指定して、ディスク暗号化セット リソースのインスタンスを作成します。 ディスク暗号化セットは、マネージド ディスクのキー管理を簡略化するために導入された新しいリソースです。
- ディスク暗号化セットを作成すると、システムによって割り当てられたマネージド ID が Azure Active Directory (AD) に作成され、ディスク暗号化セットに関連付けられます。
- Azure Key Vault の管理者はその後、Key Vault 内での操作を実行するためのアクセス許可をマネージド ID に付与します。
- VM ユーザーは、ディスク暗号化セットにディスクを関連付けることによってディスクを作成します。 また、VM ユーザーは、既存のリソースに対するカスタマー マネージド キーを使用したサーバー側の暗号化を、ディスク暗号化セットへのリソースの関連付けによって有効にすることもできます。
- マネージド ディスクは、マネージド ID を使用して Azure Key Vault に要求を送信します。
- データの読み取りまたは書き込みを行うために、マネージド ディスクは Azure Key Vault に要求を送信して、データの暗号化と暗号化解除を実行するためにデータ暗号化キーを暗号化 (ラップ) および暗号化解除 (ラップ解除) します。
引用:
https://docs.microsoft.com/ja-jp/azure/virtual-machines/disk-encryption
作成方法
- すべてのサービスから「セキュリティ」を選択します
- 一覧から「ディスク暗号化セット」を選択します
- 「ディスク暗号化セットの作成」を選択します
- まずは基本情報を入力していきましょう
- サブスクリプション:デフォルトで選択されています
- リソースグループ:任意のRGを選択
- ディスク暗号化セット名:任意の名前を設定しましょう
- キーコンテナーとキー:「クリックしてキーを選択します」をクリックします
- クリックすると、右ペインに下記の画面が表示されると思います。
事前に用意したキーを使うか、またはこの画面でKey Vaultのキーを作成していきます。
今回は、すでに用意してある前提で手順を実施します。
各項目から対象のキーを選択していけば問題ありません。
Key Vaultの作成はこちらの記事を参照してください。
6.次にタグの設定です。
必要に応じて設定してください。
7.最後に設定の確認です。
確認して問題なければ作成しましょう。
まとめ
作成自体は非常に簡単です。
ただ、情報がうまく検索で引っかからないこともあるので、辿り着くまでが苦戦することがあります。
機能はセキュリティを強化するにも有効なのでぜひ使っていきたいところです。