注
ゼロ トラストは、"明示的に検証する"、"最小限の特権アクセスを使用する"、"侵害を想定する" の 3 つの原則で構成されるセキュリティ戦略です。 キー管理を含むデータ保護では、"最小限の特権アクセスを使用する" 原則がサポートされています。 詳細については、「ゼロ トラストとは」を参照してください。
Azure では、暗号化キーはプラットフォームで管理するか、お客様が管理することができます。
プラットフォーム マネージド キー (PMK) は、Azure によって完全に生成、保存、管理される暗号化キーです。 お客様は PMK を操作しません。 たとえば、 Azure Data Encryption-at-Rest に使用されるキーは、既定で PMK です。
一方、カスタマー マネージド キー (CMK) は、1 人以上のユーザーによって読み取り、作成、削除、更新が行われるキーです。 お客様所有のキー コンテナーまたはハードウェア セキュリティ モジュール (HSM) に保存されているキーは CMK です。 Bring Your Own Key (BYOK) は、お客様が外部のストレージの場所から Azure キー管理サービスにキーをインポートする (取り込む) CMK シナリオです (「Azure Key Vault: Bring Your Own Key の仕様」を参照してください)。
カスタマー マネージド キーの中で特別な種類なのが、"キー暗号化キー" (KEK) です。 KEK は、主キーであり、それ自体が暗号化されている 1 つ以上の暗号化キーへのアクセスを制御します。
カスタマー マネージド キーは、オンプレミスに保存するか、またはより一般的なクラウド キー管理サービスに保存できます。
Azure キー管理サービス
Azure には、Azure Key Vault、Azure Managed HSM、Azure Cloud HSM プレビュー、Azure Dedicated HSM、Azure Payment HSM など、クラウドにキーを格納および管理するためのオプションがいくつか用意されています。 これらのオプションは、FIPS コンプライアンス レベル、管理オーバーヘッド、および目的のアプリケーションの点で異なります。
各キー管理サービスの概要と、自分によって最適なキー管理ソリューションを選択するための包括的なガイドについては、「最適なキー管理ソリューションを選択する方法」を参照してください。
価格
Azure Key Vault Standard レベルと Premium レベルはトランザクションベースで課金され、Premium ハードウェアベースのキーに対して毎月のキーごとの追加料金が発生します。 Managed HSM、Cloud HSM Preview、Dedicated HSM、Payments HSM はトランザクションベースで課金されません。代わりに、固定時間単位の料金で課金される常時使用中のデバイスです。 価格の詳細については、Key Vault の価格、Dedicated HSM の価格、Payment HSM の価格についてのページを参照してください。
サービスの制限
Managed HSM、Cloud HSM Preview、Dedicated HSM、Payments HSM では、専用の容量が提供されます。 Key Vault Standard と Premium はマルチテナントの提供で、スロットリング制限があります。 サービスの制限については、「Key Vault サービスの制限」を参照してください。
保存時の暗号化
Azure Key Vault と Azure Key Vault Managed HSM は、Azure Services および Microsoft 365 for Customer Managed Keys と統合されています。つまり、お客様は、これらのサービスに格納されている残りのデータの暗号化に Azure Key Vault と Azure Managed HSM で独自のキーを使用できます。 Cloud HSM プレビュー、専用 HSM、および Payments HSM はサービスとしてのインフラストラクチャ オファリングであり、Azure サービスとの統合は提供しません。 Azure Key Vault および Managed HSM での保存時の暗号化の概要については、「保存時の Azure データの暗号化」を参照してください。
API
Cloud HSM プレビュー、専用 HSM、および Payments HSM は PKCS#11、JCE/JCA、KSP/CNG API をサポートしていますが、Azure Key Vault と Managed HSM はサポートしていません。 Azure Key Vault および Managed HSM は、Azure Key Vault REST API を使用し、SDK をサポートしています。 Azure Key Vault API の詳細については、「Azure Key Vault REST API リファレンス」参照してください。