Azure Container Appsの機密コンピューティングは、データの処理中にコンテナー化されたワークロードを保護するのに役立ちます。 この記事では、コンフィデンシャル コンピューティングを使用するタイミング、専用ワークロード プロファイルでの使用方法、コンテナー アプリに対して有効にする方法、およびアプリが機密コンピューティング インフラストラクチャで実行されていることを確認する方法について説明します。
Important
コンフィデンシャル コンピューティングは現在プレビュー段階で利用でき、特定のリージョンとワークロード プロファイルの構成でのみサポートされています。
コンフィデンシャル コンピューティングの利点
機密コンピューティングは、処理中にデータを保護することで、保存時のAzure暗号化と転送中の暗号化を補完します。 機密コンピューティング ワークロード プロファイルでワークロードを実行すると、次の情報が得られます。
- トラステッド実行環境 (TE) を使用したハードウェア ベースの分離。
- ワークロードの実行中にメモリ内のデータを暗号化する。
- インフラストラクチャオペレーターからのアクセスを含め、使用中のデータへの不正アクセスに対する保護。
Azure プラットフォームと基になる機密 VM インフラストラクチャは、これらの保証を提供し、適用します。 詳細については、「Azureコンフィデンシャル コンピューティングを参照してください。
コンフィデンシャル コンピューティングを使用するタイミング
次の場合は、Azure Container Appsで機密コンピューティングを使用します。
- ワークロードでは、機密性の高いデータや規制されたデータが処理されます。
- 処理中にデータを保護することが要件です。
- インフラストラクチャを管理したり、アプリケーション コードを変更したりすることなく、コンフィデンシャル コンピューティングのセキュリティ上の利点が必要です。
コンフィデンシャル コンピューティングのしくみ
機密コンピューティングは、個々のコンテナー アプリまたはリビジョン レベルではなく、ワークロード プロファイル レベルで有効にします。 DC シリーズ専用ワークロード プロファイルを環境に追加すると、そのプロファイルに割り当てられているコンテナー アプリは、機密 VM SKU によってサポートされる機密コンピューティング インフラストラクチャで自動的に実行されます。
アプリごとまたはコンテナーごとの設定を構成する必要はありません。 非機密ワークロードと同じイメージ、ツール、ワークフローを使用してコンテナー アプリをデプロイします。 特別なコンテナー ランタイム構成や SDK は必要ありません。
前提条件
コンフィデンシャル コンピューティングを有効にする前に、次の項目があることを確認します。
- サポートされているリージョン内のAzure Container Apps環境。
- DC シリーズのワークロード プロファイルの種類を使用する専用のワークロード プロファイル。
- DC シリーズのワークロード プロファイルが割り当てられているコンテナー アプリ。
コンフィデンシャル コンピューティングを有効にする
次の例では、DC シリーズのワークロード プロファイルを使用して Container Apps 環境を作成し、そのプロファイルに割り当てられたコンテナー アプリをデプロイします。
DC シリーズのワークロード プロファイルを使用して環境を作成します。
az containerapp env create \ --name <ENVIRONMENT_NAME> \ --resource-group <RESOURCE_GROUP_NAME> \ --location <SUPPORTED_REGION> \ --workload-profile-type DC4 \ --workload-profile-name my-wp-confidentialコンテナー アプリを作成し、ワークロード プロファイルに割り当てます。
az containerapp create \ --name <CONTAINER_APP_NAME> \ --resource-group <RESOURCE_GROUP_NAME> \ --environment <ENVIRONMENT_NAME> \ --workload-profile-name my-wp-confidential \ --image <CONTAINER_IMAGE>
--workload-profile-name my-wp-confidential パラメーターは、DC シリーズのワークロード プロファイルにアプリを割り当てます。これにより、機密コンピューティングが有効になります。
ワークロード プロファイルの追加と管理の手順については、Azure CLI を使用したワークロード プロファイルの
コンフィデンシャル コンピューティング構成を確認する
このクイック チェックを使用して、アプリが DC シリーズのワークロード プロファイルに割り当てられているかどうかを確認します。
Azure CLI
コンテナー アプリに割り当てられたワークロード プロファイルを取得します。
az containerapp show \ --name <CONTAINER_APP_NAME> \ --resource-group <RESOURCE_GROUP_NAME> \ --query properties.workloadProfileName \ -o tsv出力例:
my-wp-confidential環境内の対象プロファイルのワークロード プロファイルの種類を取得します。
az containerapp env workload-profile list \ --name <ENVIRONMENT_NAME> \ --resource-group <RESOURCE_GROUP_NAME> \ --query "[].{name:name,workloadProfileType:workloadProfileType}"出力例:
[ { "name": "my-wp-confidential", "workloadProfileType": "DC4" } ]この例では、
my-wp-confidentialはサンプル プロファイル名です。 プロファイル名は異なる場合があります。
アプリに割り当てられたプロファイルに、workloadProfileTypeやDCなどのDC4で始まるDC8値がある場合、アプリは機密コンピューティング インフラストラクチャで実行されます。
Azure portal
- Azure ポータルで、コンテナー アプリに移動します。
- [ 概要 ] ページで、[ 環境 ] の値を書き留め、その環境に移動します。
- Container Apps 環境で、 ワークロード プロファイルに移動します。
- アプリで使用されているワークロード プロファイルを見つけ、プロファイルの種類とサイズが
DCやDC4などのDC8で始まるかどうかを確認します。
サポートされているワークロード プロファイル
機密コンピューティングは、 DC シリーズの専用ワークロード プロファイルでのみ使用できます。 サポートされるサイズは次のとおりです。
- DC4
- DC8
- DC16
- DC32
- DC48
- DC64
- DC96
これらのワークロード プロファイルの可用性は、リージョンによって異なります。 DC シリーズ プロファイルを持つすべてのリージョンで機密コンピューティングがサポートされているわけではありません。 コンフィデンシャル コンピューティングを利用できるリージョンの現在の一覧については、「 サポートされているリージョン」を参照してください。
サポートされているリージョン
Azure Container Appsでは、アラブ首長国連邦北部リージョンの機密コンピューティングがサポートされます。 リージョンを要求するには、GitHub で問題を送信します。