Azure Key Vault 内で MARS エージェント パスフレーズを安全に保存して管理する

Recovery Services エージェント (MARS) を使用する Azure Backup では、ファイル/フォルダーとシステム状態データを Azure Recovery Services コンテナーにバックアップできます。 このデータは、MARS エージェントのインストールと登録時に指定したパスフレーズを使用して暗号化されます。 このパスフレーズは、バックアップ データを取得して復元するために必要であり、安全な外部の場所に保存する必要があります。

重要

このパスフレーズが失われた場合、Microsoft は Recovery Services コンテナーに格納されているバックアップ データを取得できません。 このパスフレーズは、外部の安全な場所 (Azure Key Vault など) に格納することをお勧めします。

これで、新しいマシンのインストール中に MARS コンソールからシークレットとして Azure Key Vault に暗号化パスフレーズを安全に保存し、既存のマシンのパスフレーズを変更できるようになりました。 パスフレーズを Azure Key Vault に保存できるようにするには、Azure Key Vault でシークレットを作成するためのアクセス許可を Recovery Services コンテナーに付与する必要があります。

開始する前に

• Recovery Services コンテナーをまだお持ちでない場合は、作成します。
• すべてのパスフレーズを格納するには、1 つの Azure Key Vault を使用する必要があります。 Key Vault がない場合は、作成します。
• パスフレーズを格納する新しい Azure Key Vault を作成する場合は、Azure Key Vault 価格が適用されます。
• Key Vault を作成した後、パスフレーズの誤った削除や悪意のある削除から保護するには、論理的な削除と消去の保護がオンになっていることを確認します。
• この機能は、MARS エージェント バージョン 2.0.9262.0 以上の Azure パブリック リージョン内でのみサポートされています。

Azure Key Vault へのパスフレーズを格納するように Recovery Services コンテナーを構成する

パスフレーズを Azure Key Vault に保存する前に、Recovery Services コンテナーと Azure Key Vault を構成します。

コンテナーを構成するには、意図した結果を得られるように指定された順序に従ってください。 各アクションについては、以下のセクションで詳しく説明します。

1. Recovery Services コンテナーに対してシステム割り当てマネージド ID を有効にしました。
2. Azure Key Vault にシークレットとしてパスフレーズを保存するためのアクセス許可を Recovery Services コンテナーに割り当てる
3. Azure Key Vault で論理的な削除と消去保護を有効にします。

Note

• この機能を有効にしたら、一度有効にしたマネージド ID は、(一時的にであっても) 無効にしないでください。 マネージド ID を無効にすると、動作に一貫性がなくなる可能性があります。
• ユーザー割り当てマネージド ID は、Azure Key Vault でのパスフレーズの保存は現在サポートされていません。

Recovery Services コンテナーに対してシステム割り当てマネージド ID を有効にする

クライアントを選択する:

Azure Portal

次の手順のようにします。

1. ご自身の Recovery Services コンテナー>[ID] の順に移動します。

   

2. [システム割り当て済み] タブを選択します。

3. [状態] を [オン] に変更します。

4. [保存] を選択して、そのコンテナーの ID を有効にします。

オブジェクト ID が生成されます。これがコンテナーのシステム割り当てマネージド ID です。

PowerShell

Recovery Services コンテナーに対してシステム割り当てマネージド ID を有効にするには、Update-AzRecoveryServicesVault コマンドレットを使用します。

例

$vault=Get-AzRecoveryServicesVault -ResourceGroupName "testrg" -Name "testvault"
Update-AzRecoveryServicesVault -IdentityType SystemAssigned -ResourceGroupName TestRG -Name TestVault
$vault.Identity | fl

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : SystemAssigned

CLI

Recovery Services コンテナーに対してシステム割り当てマネージド ID を有効にするには、az backup vault identity assign コマンドを使用します。

例

az backup vault identity assign --system-assigned --resource-group MyResourceGroup --name MyVault

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : SystemAssigned

アクセス許可を割り当てて Azure Key Vault にパスフレーズを保存する

Key Vault 用に構成された Key Vault アクセス許可モデル (ロールベースのアクセス許可またはアクセス ポリシー ベースのアクセス許可モデル) に基づいて、次のセクションを参照してください。

Key Vault のロールベースのアクセス許可モデルを使用してアクセス許可を有効にする

クライアントを選択する:

Azure Portal

アクセス許可を割り当てるには、次の手順に従ってください。

1. [Azure Key Vault]>[設定]>[アクセス構成] の順に移動して、アクセス許可モデルが RBAC であることを確認します。

   

2. [アクセス制御 (IAM)]>[追加] の順に選択して、ロール割り当てを追加します。

3. Recovery Services コンテナー ID では、パスフレーズを作成してシークレットとして Key Vault に追加するには、シークレットに対する設定のアクセス許可が必要です。

   アクセス許可を持つ Key Vault Secrets Officer などの組み込みロールを選択するか (この機能に必要ないその他のアクセス許可と共に)、シークレットに対する設定のアクセス許可のみを持つカスタム ロールを作成できます。

   [詳細] で [表示] を選択して、ロールによって付与されたアクセス許可を表示し、"シークレット" に対する "設定" のアクセス許可を使用できることを確認します。

   

   

4. [次へ] を選択して、割り当てに [メンバー] を選択します。

5. [マネージド ID]、[メンバーの選択] の順に選びます。 ターゲット Recovery Services コンテナーの [サブスクリプション] を選択し、[システム割り当てマネージド ID] で Recovery Services コンテナーを選択します。

   Recovery Services コンテナーの名前を検索して選択します。

   

6. [次へ] を選択し、割り当てを確認して、[確認と割り当て] を選択します。

   

7. Key Vault で [アクセス制御 (IAM)] に移動し、[ロールの割り当て] を選択し、Recovery Services コンテナーが一覧表示されていることを確認します。

   

PowerShell

アクセス許可を割り当てるには、次のコマンドレットを実行します。

#Find the application id for your recovery services vault
Get-AzADServicePrincipal -SearchString <principalName>
#Identify a role with Set permission on Secret, like Key Vault Secret Office
Get-AzRoleDefinition | Format-Table -Property Name, IsCustom, Id
#Assign role to Recovery Services Vault identity 
Get-AzRoleDefinition -Name <roleName>
#Assign by Service Principal ApplicationId
New-AzRoleAssignment -RoleDefinitionName 'Key Vault Secrets Officer' -ApplicationId {i.e 8ee5237a-816b-4a72-b605-446970e5f156} -Scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}

CLI

アクセス許可を割り当てるには、次のコマンドを実行します。

#Find the application id for your recovery services vault
az ad sp list --all --filter "displayname eq '<my recovery vault name>' and servicePrincipalType eq 'ManagedIdentity'"
#Identify a role with Set permission on Secret, like Key Vault Secret Office
az role definition list --query "[].{name:name, roleType:roleType, roleName:roleName}" --output tsv
az role definition list --name "{roleName}"
#Assign role to Recovery Services Vault identity 
az role assignment create --role "Key Vault Secrets Officer" --assignee "<application id>" {i.e "55555555-5555-5555-5555-555555555555"} --scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}

Key Vault のアクセス ポリシーのアクセス許可モデルを使用してアクセス許可を有効にする

クライアントを選択する:

Azure Portal

次の手順のようにします。

1. [Azure Key Vault]>[アクセス ポリシー]>[アクセス ポリシー] の順に移動し、[+ 作成] を選択します。

   

2. [シークレットのアクセス許可] で、[操作の設定] を選択します。

   これにより、シークレットに対して許可される操作が指定されます。

   

3. [プリンシパルの選択] に移動し、検索ボックスで名前またはマネージド ID を使用して、ご自身のコンテナーを検索します。

   検索結果からコンテナーを選択し、[選択] を選びます。

   

4. [確認と作成] に移動し、[アクセス許可の設定] が使用可能であり、[プリンシパル] が正しい Recovery Services コンテナーであることを確認し、[作成] を選択します。

   

   

PowerShell

Recovery Services コンテナーのプリンシパル ID を取得するには、Get-AzADServicePrincipal コマンドレットを使用します。 次に、Get-AzADServicePrincipal コマンドレットでこの ID を使用して、Key vault のアクセス ポリシーを設定します。

例

$sp = Get-AzADServicePrincipal -DisplayName MyVault
$Set-AzKeyVaultAccessPolicy -VaultName myKeyVault -ObjectId $sp.Id -PermissionsToSecrets set

CLI

Recovery Services コンテナーのプリンシパル ID を取得するには、az ad sp list コマンドを使用します。 次に、az keyvault set-policy コマンドでこの ID を使用して、Key Vault のアクセス ポリシーを設定します。

例

az ad sp list --display-name MyVault
az keyvault set-policy --name myKeyVault --object-id <object-id> --secret-permissions set

Azure Key Vault 上で論理的な削除と消去保護を有効にする

暗号化キーを格納している Azure Key Vault で、論理的な削除と消去保護を有効にする必要があります。

クライアントを選択する*

Azure Portal

Azure Key Vault から論理的な削除と消去保護を有効にすることができます。

あるいは、Key Vault の作成時にこれらのプロパティを設定することもできます。 これらの Key Vault のプロパティの詳細をご確認ください。

PowerShell

1. Azure アカウントへサインインします。

   Login-AzAccount
   

2. コンテナーが含まれているサブスクリプションを選択します。

   Set-AzContext -SubscriptionId SubscriptionId
   

3. 論理的な削除を有効にします。

   ($resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "AzureKeyVaultName").ResourceId).Properties | Add-Member -MemberType "NoteProperty" -Name "enableSoftDelete" -Value "true"
   Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
   

4. 消去保護を有効にします。

   ($resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "AzureKeyVaultName").ResourceId).Properties | Add-Member -MemberType "NoteProperty" -Name "enablePurgeProtection" -Value "true"
   Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
   
   

CLI

1. Azure アカウントにサインインします。

   az login
   

2. コンテナーが含まれているサブスクリプションを選択します。

   az account set --subscription "Subscription1"
   

3. 論理的な削除を有効にする

   az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-soft-delete true
   

4. 消去保護を有効にします

   az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-purge-protection true 
   

新しい MARS インストールのためにパスフレーズを Azure Key Vault に保存する

MARS エージェントのインストールに進む前に、Azure Key Vault へのパスフレーズを格納するように Recovery Services コンテナーを構成し、正常に完了していることを確認します。

1. Recovery Services コンテナーを作成しました。

2. Recovery Services コンテナーのシステム割り当てマネージド ID を有効にしました。

3. ご利用の Key Vault 内にシークレットを作成するためのアクセス許可を、ご利用の Recovery Services コンテナーに割り当てました。

4. キー コンテナーで論理的な削除と消去保護を有効にしました。

5. マシンに MARS エージェントをインストールするには、Azure portal から MARS インストーラーをダウンロードし、インストール ウィザードを使用します。

6. 登録中に Recovery Services コンテナーの資格情報を指定した後、[暗号化設定] で、パスフレーズを Azure Key Vault に保存するオプションを選択します。

   

7. パスフレーズを入力するか、[パスフレーズの生成] を選択します。

8. Azure portal で、Key Vault を開き、Key Vault URI をコピーします。

   

9. MARS コンソールに Key Vault URI を貼り付け、[登録] を選択します。

   エラーが発生した場合は、「トラブルシューティング」セクションをチェックして詳細をご確認ください。

10. 登録が成功すると、識別子をシークレットにコピーするためのオプションが作成され、パスフレーズはローカルのファイルに保存されません。

    

    今後、この MARS エージェントのパスフレーズを変更すると、新しいバージョンのシークレットが最新のパスフレーズと共に追加されます。

このプロセスは、インストール スクリプトの Set-OBMachineSetting command で新しい KeyVaultUri オプションを使用して自動化できます。

既存の MARS インストールのためにパスフレーズを Azure Key Vault に保存する

既存の MARS エージェントをインストールしてあり、パスフレーズを Azure Key Vault に保存する場合は、バージョン 2.0.9262.0 以上にエージェントを更新し、パスフレーズの変更操作を実行します。

MARS エージェントを更新した後に、Azure Key Vault へのパスフレーズを格納するように Recovery Services コンテナーを構成し、正常に完了していることを確認します。

1. Recovery Services コンテナーを作成しました。
2. Recovery Services コンテナーのシステム割り当てマネージド ID を有効にしました。
3. ご利用の Key Vault 内にシークレットを作成するためのアクセス許可を、ご利用の Recovery Services コンテナーに割り当てました。
4. キー コンテナーで論理的な削除と消去保護を有効にした

パスフレーズを Key Vault に保存するには、次のようにします。

1. MARS エージェント コンソールを開きます。

   パスフレーズを Azure Key Vault に保存するためのリンクを選択するように求めるバナーが表示されます。

   または、[プロパティの変更]>[パスフレーズの変更] の順に選択して続行します。

   

2. [プロパティの変更] ダイアログ ボックスに、Key Vault URI を指定してパスフレーズを Key Vault に保存するためのオプションが表示されます。

   Note

   パスフレーズを Key Vault に保存するためのマシンが既に構成されている場合は、Key Vault URI がテキスト ボックスに自動的に設定されます。

   

3. Azure portal を開き、Key Vault を開き、Key Vault URI をコピーします。

   

4. MARS コンソールに Key Vault URI を貼り付け、[OK] を選択します。

   エラーが発生した場合は、「トラブルシューティング」セクションをチェックして詳細をご確認ください。

5. パスフレーズの変更操作が成功すると、識別子をシークレットにコピーするためのオプションが作成され、パスフレーズはローカルのファイルに保存されません。

   

   今後、この MARS エージェントのパスフレーズを変更すると、新しいバージョンのシークレットが最新のパスフレーズと共に追加されます。

Set-OBMachineSetting コマンドレットの新しい KeyVaultUri オプションを使用することで、この手順を自動化できます。

マシンの Azure Key Vault からパスフレーズを取得する

マシンが使用できなくなった場合に、別の場所の復元を介して Recovery Services コンテナーからバックアップ データを復元する必要がある場合は、マシンのパスフレーズを続行する必要があります。

パスフレーズは、シークレットとして Azure Key Vault に保存されます。 マシンごとに 1 つのシークレットが作成され、マシンのパスフレーズが変更されると、新しいバージョンがシークレットに追加されます。 シークレットには AzBackup-machine fully qualified name-vault name と名前が付けられます。

マシンのパスフレーズを見つけるには、次のようにします。

1. Azure portal で、マシンのパスフレーズを保存するために使用する Key Vault を開きます。

   すべてのパスフレーズを保存するには、1 つの Key Vault を使用することをお勧めします。

2. [シークレット] を選択し、AzBackup-<machine name>-<vaultname> という名前のシークレットを検索します。

   

3. [シークレット] を選択し、最新のバージョンを開き、シークレットの値をコピーします。

   これは、リカバリ中に使用されるマシンのパスフレーズです。

   

   Key Vault に大量のシークレットがある場合は、Key Vault CLI を使用してシークレットを一覧表示して検索します。

az keyvault secret list --vault-name 'myvaultname’ | jq '.[] | select(.name|test("AzBackup-<myvmname>"))'

一般的なシナリオのトラブルシューティング

このセクションでは、パスフレーズを Azure Key Vault に保存するときに発生する一般的なエラーの一覧を示します。

システム ID が構成されていない – 391224

原因: このエラーは、Recovery Services コンテナーにシステム割り当てマネージド ID が構成されていない場合に発生します。

推奨される操作: 前提条件に従って、Recovery Services コンテナーに対してシステム割り当てマネージド ID が正しく構成されていることを確認します。

アクセス許可が構成されていない – 391225

原因: Recovery Services コンテナーにはシステム割り当てマネージド ID がありますが、ターゲット Key Vault にシークレットを作成するための設定のアクセス許可がありません。

推奨される操作:

1. 使用するコンテナー資格情報が、対象の Recovery Services コンテナーに対応していることを確認します。
2. Key Vault URI が対象の Key Vault に対応していることを確認します。
3. [Key Vault] -> [アクセス ポリシー] -> [アプリケーション] の下に Recovery Services コンテナー名が一覧表示され、シークレットのアクセス許可が設定されていることを確認します。

一覧にない場合は、もう一度アクセス許可を構成します。

Azure Key Vault URI が正しくない - 100272

原因: 入力された Key Vault URI が正しい形式ではありません。

推奨される操作: Azure portal からコピーした Key Vault URI を入力していることを確認します。 たとえば、https://myvault.vault.azure.net/ のようにします。

 

UserErrorSecretExistsSoftDeleted (391282)

原因: 予想される形式のシークレットは既に Key Vault 内に存在しますが、論理的に削除された状態です。 そのシークレットが復元されない限り、MARS はそのマシンのパスフレーズを指定された Key Vault に保存することができません。

推奨されるアクション: シークレットが AzBackup-<machine name>-<vaultname> という名前を持つコンテナー内に存在するかどうか、および論理的に削除された状態であるかどうかをチェックします。 論理的に削除されたシークレットを回復してパスフレーズを保存します。

UserErrorKeyVaultSoftDeleted (391283)

原因: MARS に提供される Key Vault が論理的に削除された状態です。

推奨されるアクション: その Key Vault を回復するか、新しい Key Vault を指定します。

登録が不完全である

原因: パスフレーズを登録しても MARS 登録が完了しませんでした。 そのため、登録するまでバックアップを構成することはできません。

推奨される操作: 警告メッセージを選択し、登録を完了します。