このガイドは、Azure DocumentDB で 保存データの暗号化にカスタマー マネージド キー (CMK) を 使用する場合の一般的な問題のトラブルシューティングに役立つよう設計されています。 CMK セットアップに関連するさまざまなコンポーネントをトラブルシューティングするための実用的なソリューションを提供します。
Azure DocumentDB クラスターで CMK を構成するには、マネージド ID、キー コンテナー、キー コンテナー内の暗号化キー、マネージド ID に付与された適切なアクセス許可 が必要です 。
マネージド ID、キー コンテナー、キー、またはアクセス許可が 要件に従って構成されていない場合は、クラスターのプロビジョニング中に CMK を有効にできないことがあります。 CMK が有効なクラスターで適切なセットアップが無効になると、カスタマー マネージド キーを使用した暗号化のコア セキュリティ要件により、このクラスター上のデータが使用できなくなります。
このセクションの手順に従って、適切な CMK セットアップに必要なすべてのコンポーネントのトラブルシューティングを行います。
Azure Key Vault からのキー アクセス失効の理由
Key Vault に対する十分なアクセス権を持つユーザーが次のことを行い、キーへのクラスター アクセスを誤って無効にする可能性があります。
- RBAC ロール Key Vault Crypto Service Encryption User の割り当てを解除するか、Key Vault でキーを取得するために使用される ID からアクセス許可を取り消します。
- キーを削除する。
- Key Vault インスタンスを削除する。
- Key Vault のファイアウォール規則の変更、または Key Vault のネットワーク設定が正しく構成されていません。
- Microsoft Entra ID でクラスターのマネージド ID を削除する。
これらのアクションにより、データ暗号化に使用されるカスタマー マネージド キーにアクセスできなくなります。
アクセスできないカスタマー マネージド キーの状態のトラブルシューティング
キー コンテナーに格納されているカスタマー マネージド キーを使ってデータ暗号化を構成する場合、クラスターをオンラインに保つには、このキーへの継続的なアクセスが必要です。 そうでない場合、クラスターはその状態をアクセス不可に変更して、すべての接続を拒否し始めます。
クラスターの状態は、次のような理由でアクセス不可になる可能性があります。
| 原因 | 解決策 |
|---|---|
| クラスターが参照している暗号化キーに期限切れの日時が構成されており、その日時に達した。 | キーの有効期限を延長する必要があります。 その後、サービスがキーを再検証し、クラスターの状態が自動的に準備完了になるまで待つ必要があります。 クラスターが準備完了状態に戻った後でのみ、キーを新しいバージョンにローテーションするか、新しいキーを作成することができ、同じキーの新しいバージョンまたは新しいキーを参照するようにクラスターを更新できます。 |
| Key Vault インスタンスを削除すると、Azure DocumentDB インスタンスはキーにアクセスできなくなり、 アクセスできない 状態に移行します。 | Key Vault インスタンスを回復し、サービスがキーの定期的な再検証を実行して、クラスターの状態が自動的に準備完了になるのを待ちます。 |
| キー コンテナーに格納されている暗号化キーを取得するために使われるマネージド ID を Microsoft Entra ID から削除した。 | ID を回復し、サービスがキーの定期的な再検証を実行して、クラスターの状態が自動的に準備完了になるのを待ちます。 |
| キー コンテナーのアクセス許可モデルが、ロールベースのアクセス制御を使うように構成されている。 いずれかのキーを取得するように構成されているマネージド ID から、Key Vault Crypto Service Encryption User RBAC ロールの割り当てを削除した。 | RBAC の役割をマネージド ID にもう一度付与し、サービスがキーの定期的な再検証を実行して、クラスターの状態が自動的に準備完了になるのを待ちます。 または、キー コンテナーのロールを別のマネージド ID に付与し、この他の マネージド ID を使用してキーにアクセスするようにクラスターを更新することもできます。 |
| キー コンテナーのアクセス許可モデルが、アクセス ポリシーを使うように構成されている。 list、get、wrapKey、unwrapKey のいずれかのキーを取得するように構成されているマネージド ID から、これらのいずれかのアクセス ポリシーを取り消した。 | RBAC の役割をマネージド ID に付与し、サービスがキーの定期的な再検証を実行して、クラスターの状態が自動的に準備完了になるのを待ちます。 または、キー コンテナーに必要なアクセス ポリシーを別のマネージド ID に付与し、この他のマネージド ID を使用してキーにアクセスするようにクラスターを更新することもできます。 |
| Azure DocumentDB クラスターがキー コンテナーと通信してキーを取得できないように、過度に制限の厳しいキー コンテナーのファイアウォール規則を設定します。 | キー コンテナー ファイアウォールを構成するときは、パブリック アクセスを無効にし、信頼できる Microsoft サービス を許可するか、すべてのネットワークからのパブリック アクセスを許可するオプションを選択していることを確認します。 すべてのネットワークからパブリック アクセスを使用すると、Azure DocumentDB クラスターはキー コンテナーにアクセスできます。 パブリック アクセスを無効にし、信頼された Microsoft サービスがキー値にアクセスできるようにするオプションを使用すると、クラスターはファイアウォールをバイパスできます。 |
注
キーが無効になったり、削除されたり、期限切れになったり、到達不能になったりすると、前に説明したように、そのキーでデータが暗号化されているクラスターはアクセス不可になります。 クラスターの状態は、暗号化キーを再検証できるようになるまで、再び準備完了に変わることはありません。
一般に、キーが無効になったり、削除されたり、期限切れになったり、到達不能になったりすると、クラスターは 60 分以内にアクセス不可になります。 キーが使用可能になった後、クラスターが再び準備完了になるまでに、最大で 60 分かかることがあります。
マネージド ID 削除からの復旧
Microsoft Entra ID で、キー コンテナーに格納されている暗号化キーへのアクセスに使われるユーザー割り当てマネージド ID が削除された場合は、次の手順に従って回復する必要があります。
- ID を回復するか、Entra ID で新しいマネージド ID を作成します。
- 新しい ID を作成した場合は、それが削除されたものと同じ名前であっても、この新しい ID を使って暗号化キーにアクセスする必要があることを認識させるため、フレキシブル クラスター用 Azure Database のプロパティを更新します。
- Azure Key Vault (AKV) でキーを操作する適切なアクセス許可がこの ID に与えられていることを確認します。
- クラスターがキーを再検証するまで約 1 時間待ちます。
Important
削除した ID と同じ名前で新しい Entra ID を作成することで、マネージド ID 削除からの復旧とはなりません。
失敗した CMK 対応クラスター プロビジョニングのトラブルシューティング
いずれかの CMK 要件が満たされていない場合、CMK が有効になっているクラスターをプロビジョニングしようとすると失敗します。 クラスターのプロビジョニング中に、キー コンテナー、 暗号化キー、または マネージド ID のアクセス許可 が正しく設定されなかったことを示すエラー: 'キーにアクセスできませんでした。 指定されたユーザー ID に対する GET アクセス許可がないか、キー コンテナーがパブリック インターネットへのアクセスを有効にしていない可能性があります。'
このような場合は、次の方法で対処してください。
- すべての CMK 要件を確認します。
- マネージド ID と、確認したキー コンテナーを使用してクラスターをプロビジョニングします。
- 失敗したクラスター エンティティを削除します。 失敗したクラスターには、
clusterStatusプロパティが 失敗 に設定されています。 Azure portal では、クラスターのプロパティの [概要] ブレードでクラスターの状態を確認できます。