既存のストレージ アカウントに対して同じテナントでカスタマー マネージド キーを構成する

Azure portal を使ってキー コンテナーを作成する方法を学習するには、「クイック スタート: Azure portal を使用してキー コンテナーを作成する」を参照してください。 キー コンテナーを作成するときに、次の図に示すように、 [消去保護を有効にします] を選択します。

既存のキー コンテナーで消去保護を有効にするには、次の手順を実行します。

1. Azure portal で、ご自身のキー コンテナーに移動します。
2. [設定] の [プロパティ] を選択します。
3. [消去保護] セクションで、 [消去保護を有効にします] を選択します。

PowerShell を使用して新しいキー コンテナーを作成するには、バージョン 2.0.0 以降の Az.KeyVault PowerShell モジュールをインストールします。 次に、New-AzKeyVault を呼び出して新しいキー コンテナーを作成します。 バージョン 2.0.0 以降の Az.KeyVault モジュールでは、新しいキー コンテナーを作成するときには、既定で、論理的な削除が有効になります。

次の例では、論理的な削除と消去保護を有効にして新しいキー コンテナーを作成しています。 キー コンテナーのアクセス許可モデルは、Azure RBAC を使用するように設定されています。 角かっこ内のプレースホルダー値を独自の値で置き換えてください。

$rgName = "<resource_group>"
$___location = "<___location>"
$kvName = "<key-vault>"

$keyVault = New-AzKeyVault -Name $kvName `
    -ResourceGroupName $rgName `
    -Location $___location `
    -EnablePurgeProtection `
    -EnableRbacAuthorization

PowerShell を使用して既存のキー コンテナーで消去保護を有効にする方法については、Azure Key Vault の復旧の概要に関する記事を参照してください。

キー コンテナーを作成したら、Key Vault Crypto Officer ロールを自分自身に割り当てる必要があります。 このロールを使用すると、キー コンテナーにキーを作成できます。 次の例では、このロールをユーザーに割り当てて、スコープをキー コンテナーにします。

New-AzRoleAssignment -SignInName "<user-email>" `
    -RoleDefinitionName "Key Vault Crypto Officer" `
    -Scope $keyVault.ResourceId

PowerShell で RBAC ロールを割り当てる方法の詳細については、「Azure PowerShell を使用して Azure ロールを割り当てる」を参照してください。

Azure CLI を使用して新しいキー コンテナーを作成するには、az keyvault create を呼び出します。 次の例では、論理的な削除と消去保護を有効にして新しいキー コンテナーを作成しています。 キー コンテナーのアクセス許可モデルは、Azure RBAC を使用するように設定されています。 角かっこ内のプレースホルダー値を独自の値で置き換えてください。

rgName="<resource_group>"
___location="<___location>"
kvName="<key-vault>"

az keyvault create \
    --name $kvName \
    --resource-group $rgName \
    --___location $___location \
    --enable-purge-protection \
    --enable-rbac-authorization

Azure CLI を使用して既存のキー コンテナーで消去保護を有効にする方法については、Azure Key Vault の復旧の概要に関する記事を参照してください。

キー コンテナーを作成したら、Key Vault Crypto Officer ロールを自分自身に割り当てる必要があります。 このロールを使用すると、キー コンテナーにキーを作成できます。 次の例では、このロールをユーザーに割り当てて、スコープをキー コンテナーにします。

kvResourceId=$(az keyvault show --resource-group $rgName \
    --name $kvName \
    --query id \
    --output tsv)

az role assignment create --assignee "<user-email>" \
    --role "Key Vault Crypto Officer" \
    --scope $kvResourceId

Azure CLI で RBAC ロールを割り当てる方法の詳細については、「Azure CLI を使用して Azure ロールを割り当てる」を参照してください。

Azure portal を使ってキーを追加する方法を学習するには、「クイック スタート: Azure portal を使用して Azure Key Vault との間でキーの設定と取得を行う」を参照してください。

PowerShell を使用してキーを追加するには、Add-AzKeyVaultKey を呼び出します。 角かっこ内のプレースホルダー値を独自の値に置き換え、前の例で定義した変数を使用してください。

$keyName = "<key-name>"

$key = Add-AzKeyVaultKey -VaultName $keyVault.VaultName `
    -Name $keyName `
    -Destination 'Software'

Azure CLI を使用してキーを追加するには、az keyvault key create を呼び出します。 角かっこ内のプレースホルダー値を独自の値で置き換えてください。

keyName="<key-name>"

az keyvault key create \
    --name $keyName \
    --vault-name $kvName

ユーザー割り当てマネージド ID でカスタマー マネージド キーを構成する前に、キー コンテナーにスコープ設定されたユーザー割り当てマネージド ID に Key Vault Crypto Service Encryption User ロールを割り当てる必要があります。 このロールは、ユーザー割り当てマネージド ID に、キー コンテナー内のキーにアクセスするためのアクセス許可を付与します。 Azure portal を使用して Azure RBAC ロールを割り当てる方法の詳細については、「Azure portal を使用して Azure ロールを割り当てる」を参照してください。

Azure portal を使用してカスタマー マネージド キーを構成する場合は、ポータルのユーザー インターフェイスから既存のユーザー割り当て ID を選択できます。

次の例は、ユーザー割り当てマネージド ID を取得し、キー コンテナーにスコープ設定された必要な RBAC ロールをその ID に割り当てる方法を示しています。 角かっこ内のプレースホルダー値を独自の値に置き換え、前の例で定義した変数を使用してください。

$userIdentity = Get-AzUserAssignedIdentity -Name <user-assigned-identity> `
    -ResourceGroupName $rgName

$principalId = $userIdentity.PrincipalId

New-AzRoleAssignment -ObjectId $principalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

次の例は、ユーザー割り当てマネージド ID を取得し、キー コンテナーにスコープ設定された必要な RBAC ロールをその ID に割り当てる方法を示しています。 角かっこ内のプレースホルダー値を独自の値に置き換え、前の例で定義した変数を使用してください。

identityResourceId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query id \
    --output tsv)

principalId=$(az identity show --name <user-assigned-identity> \
    --resource-group $rgName \
    --query principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId \
    --assignee-principal-type ServicePrincipal

システム割り当てマネージド ID でカスタマー マネージド キーを構成する前に、キー コンテナーにスコープ設定されたシステム割り当てマネージド ID に Key Vault Crypto Service Encryption User ロールを割り当てる必要があります。 このロールは、システム割り当てマネージド ID に、キー コンテナー内のキーにアクセスするためのアクセス許可を付与します。 Azure portal を使用して Azure RBAC ロールを割り当てる方法の詳細については、「Azure portal を使用して Azure ロールを割り当てる」を参照してください。

Azure portal でシステム割り当てマネージド ID を使用してカスタマー マネージド キーを構成すると、システム割り当てマネージド ID は内部でストレージ アカウントに割り当てられます。

ストレージ アカウントにシステム割り当てマネージド ID を割り当てるには、まず Set-AzStorageAccount を呼び出します。

$accountName = "<storage-account>"

$storageAccount = Set-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -AssignIdentity

次に、必要な RBAC ロールをシステム割り当てマネージド ID に割り当てて、スコープをキー コンテナーにします。 角かっこ内のプレースホルダー値を独自の値に置き換え、前の例で定義した変数を使用してください。

$principalId = $storageAccount.Identity.PrincipalId

New-AzRoleAssignment -ObjectId $storageAccount.Identity.PrincipalId `
    -RoleDefinitionName "Key Vault Crypto Service Encryption User" `
    -Scope $keyVault.ResourceId

システム割り当てマネージド ID を使用してキー コンテナーへのアクセスを認証するには、まず、az storage account update を呼び出して、システム割り当てマネージド ID をストレージ アカウントに割り当てます。

accountName="<storage-account>"

az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --assign-identity

次に、必要な RBAC ロールをシステム割り当てマネージド ID に割り当てて、スコープをキー コンテナーにします。 角かっこ内のプレースホルダー値を独自の値に置き換え、前の例で定義した変数を使用してください。

principalId=$(az storage account show --name $accountName \
    --resource-group $rgName \
    --query identity.principalId \
    --output tsv)

az role assignment create --assignee-object-id $principalId \
    --role "Key Vault Crypto Service Encryption User" \
    --scope $kvResourceId

Azure portal でキー バージョンを自動更新するように既存のアカウントでカスタマー マネージド キーを構成するには、次の手順を実行します。

1. ストレージ アカウントに移動します。

2. [セキュリティとネットワーク] で、[暗号化] を選択します。 次の図に示すように、既定ではキー管理は [Microsoft マネージド キー] に設定されています。

   

3. [カスタマー マネージド キー] オプションを選びます。 以前にキー バージョンの手動更新を使ってカスタマー マネージド キーのアカウントを構成していた場合は、ページの下部にある [キーの変更] を選びます。

4. [Select from Key Vault](キー コンテナーから選択) オプションを選択します。

5. [Select a key vault and key] (キー コンテナーとキーを選択する) を選択します。

6. 使用するキーを含むキー コンテナーを選択します。 新しいキー コンテナーを作成することもできます。

7. キー コンテナーからキーを選択します。 新しいキーを作成することもできます。

   

8. キー コンテナーへのアクセスを認証するために使用する ID の種類を選択します。 オプションには、[システム割り当て] (既定) または [ユーザー割り当て] があります。 マネージド ID の種類の詳細については、「マネージド ID の種類」を参照してください。

   1. [システム割り当て] を選択すると、ストレージ アカウントのシステム割り当てマネージド ID が内部で作成されます (まだ存在しない場合)。
   2. [ユーザー割り当て] を選択した場合は、キー コンテナーへのアクセス許可を持つ既存のユーザー割り当て ID を選択する必要があります。 ユーザー割り当てマネージド ID を作成する方法については、「ユーザー割り当てマネージド ID の管理」を参照してください。

   

9. 変更を保存。

キーを指定した後は、Azure portal に、キーのバージョンの自動更新が有効になっていることが示されて、現在暗号化に使用されているキーのバージョンが表示されます。 ポータルには、キー コンテナーへのアクセスの承認に使用されるマネージド ID の種類と、マネージド ID に対するプリンシパル ID も表示されます。

PowerShell を使用してキー バージョンを自動更新するように既存のアカウントでカスタマー マネージド キーを構成するには、Az.Storage モジュールのバージョン 2.0.0 以降をインストールします。

次に Set-AzStorageAccount を呼び出し、ストレージ アカウントの暗号化設定を更新します。 KeyvaultEncryption パラメーターを追加して、ストレージ アカウントのカスタマー マネージド キーを有効にします。また、KeyVersion を空の文字列に設定してキー バージョンの自動更新を有効にします。 以前に特定のキー バージョンを使ってカスタマー マネージド キーのストレージ アカウントを構成していた場合は、キー バージョンを空の文字列に設定して、今後のキー バージョンの自動更新を有効にします。

$accountName = "<storage-account>"

# Use this form of the command with a user-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyvaultEncryption `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion "" `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

# Use this form of the command with a system-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -KeyvaultEncryption `
    -KeyName $key.Name `
    -KeyVersion "" `
    -KeyVaultUri $keyVault.VaultUri

Azure CLI を使用してキー バージョンを自動更新するように既存のアカウントでカスタマー マネージド キーを構成するには、Azure CLI バージョン 2.4.0 以降をインストールします。 詳細については、「 Azure CLI のインストール」を参照してください。

次に az storage account update を呼び出してストレージ アカウントの暗号化設定を更新します。 --encryption-key-source パラメーターを追加して Microsoft.Keyvault に設定し、アカウントのカスタマー マネージド キーを有効にします。また、encryption-key-version を空の文字列に設定してキー バージョンの自動更新を有効にします。 以前に特定のキー バージョンを使ってカスタマー マネージド キーのストレージ アカウントを構成していた場合は、キー バージョンを空の文字列に設定して、今後のキー バージョンの自動更新を有効にします。

accountName="<storage-account>"

keyVaultUri=$(az keyvault show \
    --name $kvName \
    --resource-group $rgName \
    --query properties.vaultUri \
    --output tsv)

# Use this form of the command with a user-assigned managed identity.
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-name $keyName \
    --encryption-key-version "" \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri \
    --key-vault-user-identity-id $identityResourceId

# Use this form of the command with a system-assigned managed identity.
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --encryption-key-name $keyName \
    --encryption-key-version "" \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri

Azure portal でキーのバージョンを手動更新するようにカスタマー マネージド キーを構成するには、バージョンを含むキー URI を指定します。 URI としてキーを指定するには、次の手順のようにします。

1. Azure portal でキーの URI を調べるには、キー コンテナーに移動して、 [キー] 設定を選択します。 目的のキーを選択し、キーを選択してそのバージョンを表示します。 そのバージョンの設定を表示するには、キーのバージョンを選択します。

2. URI を示している [キー識別子] フィールドの値をコピーします。

   

3. ストレージ アカウントの [暗号化キー] の設定で、 [キー URI を入力] オプションを選択します。

4. コピーした URI を [キー URI] フィールドに貼り付けます。 URI からキーのバージョンを省略して、キーのバージョンの自動更新を有効にします。

   

5. キー コンテナーを含むサブスクリプションを指定します。

6. システム割り当てまたはユーザー割り当てのマネージド ID をいずれか指定します。

7. 変更を保存します。

キーのバージョンを手動更新するようにカスタマー マネージド キーを構成するには、ストレージ アカウントの暗号化を設定するときに、キーのバージョンを明示的に指定します。 次の例に示すように、Set-AzStorageAccount を呼び出してストレージ アカウントの暗号化設定を更新し、 -KeyvaultEncryption オプションを含めてストレージ アカウントでカスタマー マネージド キーを有効にします。

角かっこ内のプレースホルダー値を独自の値に置き換え、前の例で定義した変数を使用してください。

$accountName = "<storage-account>"

# Use this form of the command with a user-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -IdentityType SystemAssignedUserAssigned `
    -UserAssignedIdentityId $userIdentity.Id `
    -KeyvaultEncryption `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version `
    -KeyVaultUserAssignedIdentityId $userIdentity.Id

# Use this form of the command with a system-assigned managed identity.
Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -KeyvaultEncryption `
    -KeyVaultUri $keyVault.VaultUri `
    -KeyName $key.Name `
    -KeyVersion $key.Version

キー バージョンを手動で更新する場合は、新しいバージョンを使用するようにストレージ アカウントの暗号化設定を更新する必要があります。 まず Get-AzKeyVaultKey を呼び出し、キーの最新バージョンを取得します。 次に、前の例で示したように、Set-AzStorageAccount を呼び出して、新しいバージョンのキーを使用するようにストレージ アカウントの暗号化設定を更新します。

キーのバージョンを手動更新するようにカスタマー マネージド キーを構成するには、ストレージ アカウントの暗号化を設定するときに、キーのバージョンを明示的に指定します。 ストレージ アカウントの暗号化設定を更新するには、次の例に示すように az storage account update を呼び出します。 --encryption-key-source パラメーターを含め、それを Microsoft.Keyvault に設定して、アカウントのカスタマー マネージド キーを有効にします。

角かっこ内のプレースホルダー値を独自の値で置き換えてください。

accountName="<storage-account>"

keyVaultUri=$(az keyvault show \
    --name $kvName \
    --resource-group $rgName \
    --query properties.vaultUri \
    --output tsv)

keyVersion=$(az keyvault key list-versions \
    --name $keyName \
    --vault-name $kvName \
    --query [-1].kid \
    --output tsv | cut -d '/' -f 6)

# Use this form of the command with a user-assigned managed identity
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --identity-type SystemAssigned,UserAssigned \
    --user-identity-id $identityResourceId \
    --encryption-key-name $keyName \
    --encryption-key-version $keyVersion \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri \
    --key-vault-user-identity-id $identityResourceId

# Use this form of the command with a system-assigned managed identity
az storage account update \
    --name $accountName \
    --resource-group $rgName \
    --encryption-key-name $keyName \
    --encryption-key-version $keyVersion \
    --encryption-key-source Microsoft.Keyvault \
    --encryption-key-vault $keyVaultUri

キー バージョンを手動で更新する場合は、新しいバージョンを使用するようにストレージ アカウントの暗号化設定を更新する必要があります。 まず、az keyvault show を呼び出すことでキー コンテナーの URI を照会し、az keyvault key list-versions を呼び出すことでキーのバージョンを照会します。 次に、az storage account update を呼び出して、キーの新しいバージョンを使用するようにストレージ アカウントの暗号化設定を更新します (前の例を参照)。

Azure portal でキーを変更するには、次の手順を実行します。

1. お使いのストレージ アカウントに移動し、 [暗号化] の設定を表示します。
2. キー コンテナーを選択し、新しいキーを選択します。
3. 変更を保存します。

PowerShell を使用してキーを変更するには、Set-AzStorageAccount を呼び出して、新しいキーの名前とバージョンを指定します。 新しいキーが別のキー コンテナーにある場合は、キー コンテナー URI も更新する必要があります。

Azure CLI を使用してキーを変更するには、az storage account update を呼び出して、新しいキーの名前とバージョンを指定します。 新しいキーが別のキー コンテナーにある場合は、キー コンテナー URI も更新する必要があります。

Azure portal でカスタマー マネージド キーを無効にするには、以下の手順に従います。

1. キーを含むキー コンテナーに移動します。

2. [オブジェクト] で [キー] を選択します。

3. キーを右クリックし、[無効] を選択します。

   

PowerShell を使用してカスタマー マネージド キーを取り消すには、次の例に示すように、Update-AzKeyVaultKey コマンドを呼び出します。 必ず、角かっこ内のプレースホルダー値を、変数を定義する独自の値に置き換えるか、前の例で定義した変数を使用してください。

$kvName  = "<key-vault-name>"
$keyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $keyName -VaultName $kvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $kvName -Name $keyName -Enable $enabled

Azure CLI を使用してカスタマー マネージド キーを取り消すには、次の例に示すように、az keyvault key set-attributes コマンドを呼び出します。 必ず、角かっこ内のプレースホルダー値を、変数を定義する独自の値に置き換えるか、前の例で定義した変数を使用してください。

kvName="<key-vault-name>"
keyName="<key-name>"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $kvName \
    --name $keyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $kvName \
    --name $keyName \
    --enabled $enabled

Azure portal でカスタマー マネージド キーから Microsoft マネージド キーに戻すには、以下の手順に従います。

1. ストレージ アカウントに移動します。

2. [セキュリティとネットワーク] で、[暗号化] を選択します。

3. [暗号化の種類] を [Microsoft マネージド キー] に変更します。

   

PowerShell を使用してカスタマー マネージド キーから Microsoft マネージド キーに戻すには、次の例に示すように、-StorageEncryption オプションを使用して Set-AzStorageAccount を呼び出します。 角かっこ内のプレースホルダー値を独自の値に置き換え、前の例で定義した変数を使用してください。

Set-AzStorageAccount -ResourceGroupName $storageAccount.ResourceGroupName `
    -AccountName $storageAccount.StorageAccountName `
    -StorageEncryption  

Azure CLI を使用してカスタマー マネージド キーから Microsoft マネージド キーに戻すには、次の例に示すように、az storage account update を呼び出して、--encryption-key-source parameter を Microsoft.Storage に設定します。 角かっこ内のプレースホルダー値を独自の値に置き換え、前の例で定義した変数を使用してください。

az storage account update \
    --name <storage-account> \
    --resource-group <resource_group> \
    --encryption-key-source Microsoft.Storage