Transparent Data Encryption を使ったクロステナント カスタマー マネージド キー

適用対象:Azure SQL データベース

Azure SQL Database では、 透過的なデータ暗号化 (TDE) を使用したテナント間カスタマー マネージド キー (CMK) がサポートされています。 テナント間 CMK は、サーバーの保護に使用されるカスタマー マネージド キーを格納する Azure Key Vault または Azure Managed HSM と同じ Microsoft Entra テナント内の論理サーバーを Azure に持ち込む必要なく、TDE を利用するための Bring Your Own Key (BYOK) シナリオで拡張されます。

異なる Microsoft Entra テナントで構成されているキー コンテナーまたはマネージド HSM に格納されているキーに対して、Azure SQL Database 用の CMK を使用して TDE を構成できます。 Microsoft Entra ID (旧称 Azure Active Directory) には、ワークロード ID フェデレーションと呼ばれる機能が導入されており、ある Microsoft Entra テナントの Azure リソースが別の Microsoft Entra テナント内のリソースにアクセスできるようになります。

注

Microsoft Entra ID は、旧称、Azure Active Directory (Azure AD) の製品です。

一般的な使用シナリオ

テナント間 CMK 機能を使用すると、サービス プロバイダーまたは独立系ソフトウェア ベンダー (ISV) が Azure SQL Database 上にサービスを構築し、CMK 機能を使用して Azure SQL Database TDE をそれぞれの顧客に拡張できます。 テナント間 CMK のサポートを有効にすると、ISV のお客様は、独自のサブスクリプションと Microsoft Entra テナントでキー コンテナーまたはマネージド HSM と暗号化キーを所有できます。 顧客は、ISV テナント内の Azure SQL リソースにアクセスできるだけでなく、キー管理操作を完全に制御できます。

クロステナントの対話

Azure SQL Database と、別の Microsoft Entra テナントにあるキー コンテナーまたはマネージド HSM の間のクロステナント相互作用は、Microsoft Entra の機能である ワークロード ID フェデレーション を使用して有効化されます。

Azure SQL Database サービスをデプロイする ISV は、Microsoft Entra ID でマルチテナント アプリケーションを作成し、ユーザー割り当てマネージド ID を使用してこのアプリケーションのフェデレーション ID 資格情報を構成できます。 クライアントまたは ISV の顧客は、適切なアプリケーション名とアプリケーション ID を使って、ISV が作成したアプリケーションを自分のテナントにインストールできます。 その後、お客様は、アプリケーションのアクセス許可 (Azure SQL Database に必要) に関連付けられているサービス プリンシパルをテナント内のキー コンテナーまたはマネージド HSM に付与し、そのキーの場所を ISV と共有します。 ISV がマネージド ID とフェデレーション クライアント ID を Azure SQL Database リソースに割り当てると、ISV のテナント内の Azure SQL Database リソースは、顧客のキー コンテナーまたはマネージド HSM にアクセスできます。

詳細については次を参照してください:

• 新しいストレージ アカウント用のクロステナントのカスタマー マネージド キーを構成する
• 既存のストレージ アカウント用のクロステナントのカスタマー マネージド キーを構成する

テナント間 CMK を設定する

次の図は、TDE を使用してユーザー割り当てマネージド ID を持つテナント間 CMK を使用して保存データを暗号化する Azure SQL Database 論理サーバーを利用するシナリオの手順を示しています。

設定の概要

ISV テナント上で

1. ユーザー割り当てマネージド ID を作成する

2. マルチテナント アプリケーションを作成する

   1. アプリケーションのフェデレーション資格情報としてユーザー割り当てマネージド ID を構成します

クライアント テナント上で

1. マルチテナント アプリケーションをインストールする

2. 既存のキー コンテナーまたはマネージド HSM を作成または使用し、マルチテナント アプリケーションにキーのアクセス許可を付与する

   1. 新しいキーを作成するか、既存のキーを使います

   2. Azure Key Vault または Azure Managed HSM からキーを取得し、キー識別子を記録する

ISV テナント上で

1. Azure portal の Azure SQL リソース [ID] メニューで作成したユーザー割り当てマネージド ID を [プライマリ ID] として割り当てます

2. 同じ [ID] メニューで [フェデレーション クライアント ID] を割り当て、アプリケーション名を使います

3. Azure SQL リソースの [Transparent Data Encryption] メニューで、クライアント テナントから取得した顧客の [キー識別子] を使って [キー識別子] を割り当てます。

注釈

• TDE を使ったクロステナント CMK 機能は、ユーザー割り当てマネージド ID に対してのみサポートされます。 TDE を使ったクロステナント CMK には、システム割り当てマネージド ID を使用できません。
• TDE でテナント間 CMK の設定は、Azure SQL データベースのサーバーレベルおよびデータベースレベルでサポートされています。 詳細については、「カスタマー マネージド キーを使用したデータベース レベルでの Transparent Data Encryption (TDE)」をご覧ください。

次のステップ

TDE 用のユーザー割り当てマネージド ID とクロステナント CMK で構成された Azure SQL Database 論理サーバーを作成する

関連コンテンツ

• ユーザー割り当てマネージド ID とカスタマー マネージド TDE で構成された Azure SQL Database 論理サーバーを作成する
• 新しいストレージ アカウント用のクロステナントのカスタマー マネージド キーを構成する
• 既存のストレージ アカウント用のクロステナントのカスタマー マネージド キーを構成する
• データベース レベルのカスタマー マネージド キーを使用した Transparent Data Encryption (TDE)
• データベース レベルのカスタマー マネージド キーを使用して Transparent Data Encryption (TDE) 用に geo レプリケーションとバックアップ復元を構成する
• データベース レベルのカスタマー マネージド キーを使用した TDE の ID とキーの管理