Azure Fluid Relay の暗号化のためのカスタマー マネージド キー
独自の暗号化キーを使用して、Azure Fluid Relay リソースのデータを保護できます。 カスタマー マネージド キー (CMK) を指定すると、データを暗号化するキーへのアクセスを保護および制御するために、そのキーが使用されます。 CMK を使用すると、アクセスの制御をより柔軟に管理できます。
CMK を格納するには、次のいずれかの Azure キー ストアを使用する必要があります。
CMK を有効にするには、新しい Azure Fluid Relay リソースを作成する必要があります。 既存の Fluid Relay リソースで CMK の有効/無効設定を変更することはできません。
また、Fluid Relay の CMK はマネージド ID に依存するため、CMK を有効にする場合は、Fluid Relay リソースにマネージド ID を割り当てる必要があります。 Fluid Relay リソースの CMK には、ユーザー割り当て ID のみが許可されます。 マネージド ID の詳細については、こちらを参照してください。
CMK を使用した Fluid Relay リソースの構成は、まだ Azure portal を使用して行うことはできません。
CMK を使用して Fluid Relay リソースを構成すると、Azure Fluid Relay サービスは、Fluid セッション成果物が格納されている Azure Storage アカウント スコープで適切な CMK 暗号化設定を構成します。 Azure Storage の CMK の詳細については、こちらを参照してください。
Fluid Relay リソースが CMK を使用していることを確認するために、GET を送信してリソースのプロパティを調べ、encryption.customerManagedKeyEncryption の有効な空でないプロパティがあるかどうかを確認できます。
前提条件:
Azure Fluid Relay リソースで CMK を構成する前に、次の前提条件が満たされている必要があります。
- キーが Azure Key Vault に格納されている必要があります。
- EC キーは WRAP および UNWRAP をサポートしていないため、キーが EC キーではなく RSA キーである必要があります。
- 手順 1 でキー コンテナーに対する必要なアクセス許可 (GET、WRAP、UNWRAP) を備えたユーザー割り当てマネージド ID が作成されている必要があります。 詳細情報は こちらです。 AKV のキーのアクセス許可で GET、WRAP、UNWRAP を付与してください。
- Azure Key Vault、ユーザー割り当て ID、Fluid Relay リソースは、同じリージョンおよび同じ Microsoft Entra テナントに存在する必要があります。
CMK を使用して Fluid Relay リソースを作成する
PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group name> /providers/Microsoft.FluidRelay/fluidRelayServers/< Fluid Relay resource name>?api-version=2022-06-01 @"<path to request payload>"
要求ペイロードの形式:
{
"location": "<the region you selected for Fluid Relay resource>",
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
“<User assigned identity resource ID>": {}
}
},
"properties": {
"encryption": {
"customerManagedKeyEncryption": {
"keyEncryptionKeyIdentity": {
"identityType": "UserAssigned",
"userAssignedIdentityResourceId": "<User assigned identity resource ID>"
},
"keyEncryptionKeyUrl": "<key identifier>"
}
}
}
}
userAssignedIdentities および userAssignedIdentityResourceId の例: /subscriptions/ xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/testGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/testUserAssignedIdentity
keyEncryptionKeyUrl の例: https://test-key-vault.vault.azure.net/keys/testKey/testKeyVersionGuid
注:
- Identity.type は UserAssigned である必要があります。 これは、Fluid Relay リソースに割り当てられたマネージド ID の ID の種類です。
- Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyIdentity.identityType は UserAssigned である必要があります。 これは、CMK に使用するマネージド ID の ID の種類です。
- Identity.userAssignedIdentities で複数を指定できますが、指定された Fluid Relay リソースに割り当てられた 1 つのユーザー ID のみが、暗号化のためにキー コンテナーへの CMK アクセスに使用されます。
- Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyIdentity.userAssignedIdentityResourceId は、CMK に使用する必要があるユーザー割り当て ID のリソース ID です。 これは Identity.userAssignedIdentities のいずれかの ID である必要があることに注意してください (CMK に使用するには、その ID を Fluid Relay リソースに割り当てる必要があります)。 また、(keyEncryptionKeyUrl で指定された) キーに対する必要なアクセス許可が必要です。
- Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyUrl は、CMK に使用されるキー識別子です。
既存の Fluid Relay リソースの CMK 設定を更新する
既存の Fluid Relay リソースで次の CMK 設定を更新できます。
- キー暗号化キーへのアクセスに使用する ID を変更する。
- キー暗号化キー識別子 (キー URL) を変更する。
- キー暗号化キーのキー バージョンを変更する。
既存の Fluid Relay リソースで CMK を一度有効にすると、無効にできないので注意してください。
要求 URL:
PATCH https://management.azure.com/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.FluidRelay/fluidRelayServers/<fluid relay server name>?api-version=2022-06-01 @"path to request payload"
キー暗号化キーの URL を更新するための要求ペイロードの例:
{
"properties": {
"encryption": {
"customerManagedKeyEncryption": {
"keyEncryptionKeyUrl": "https://test_key_vault.vault.azure.net/keys/testKey /xxxxxxxxxxxxxxxx"
}
}
}
}