カスタマー マネージド キーの概要

  • [アーティクル]

Azure Container Registry では、保存したイメージやその他の成果物を自動的に暗号化します。 既定では、Azure によって、サービス マネージド キーが使用され、保存されているレジストリ コンテンツが自動的に暗号化されます。 既定の暗号化を、カスタマー マネージド キーを使用する追加の暗号化レイヤーによって補完できます。

この記事は、4 部構成のチュートリアル シリーズのパート 1 です。 チュートリアルの内容:

  • カスタマー マネージド キーの概要
  • カスタマー マネージド キーを有効にする
  • カスタマー マネージド キーのローテーションと取り消し
  • カスタマー マネージド キーのトラブルシューティング

カスタマー マネージド キーの概要

カスタマー マネージド キーを使用すると、Azure Key Vault で独自のキーを使用するための所有権が得られます。 カスタマー マネージド キーを有効にすると、そのローテーションを管理し、それを使用するアクセスとアクセス許可を制御し、その使用を監査できます。

組み込まれている主な機能は次のとおりです。

  • 規制コンプライアンス: Azure はサービスマネージド キーを使用して、保存されているレジストリ コンテンツを自動的に暗号化しますが、カスタマー マネージド キーの暗号化は、規制コンプライアンスのガイドラインを満たすのに役立ちます。

  • Azure Key Vault との統合: カスタマー マネージド キーでは、Azure Key Vault との統合を通じてサーバー側の暗号化をサポートします。 カスタマー マネージド キーを使用すると、独自の暗号化キーを作成し、キー コンテナーに格納できます。 このほか、Azure Key Vault API を使用してキーを生成することもできます。

  • キーのライフサイクル管理: カスタマー マネージド キーを Azure Key Vault と統合することで、ローテーションや管理など、キーのライフサイクルを完全に制御でき、責任も負うことになります。

カスタマー マネージド キーを有効にする前に

カスタマー マネージド キーを使用して Azure Container Registry を構成する前に、次の情報を考慮してください。

  • この機能は、Premium サービス レベル コンテナー レジストリで使用できます。 詳細については、「Azure Container Registry サービス階層」を参照してください。
  • 現在カスタマー マネージド キーを有効にできるのは、レジストリを作成するときだけです。
  • レジストリでカスタマー マネージド キーを有効にした後に、暗号化を無効にすることはできません。
  • "ユーザー割り当て" マネージド ID を、キー コンテナーにアクセスするように構成する必要があります。 後で、必要に応じて、キー コンテナーへのアクセス用にレジストリの "システム割り当て" マネージド ID を有効にすることができます。
  • Azure Container Registry でサポートされているのは、RSA または RSA HSM キーのみです。 楕円曲線キーは現在サポートされていません。
  • カスタマー マネージド キーで暗号化されたレジストリでは、Azure Container Registry タスクに関するログを 24 時間のみ保持できます。 それより長くログを保持するには、「タスク実行ログを表示および管理する」を参照してください。
  • 現在、カスタマー マネージド キーで暗号化されたレジストリでは、コンテンツの信頼はサポートされていません。

カスタマー マネージド キーのバージョンを更新する

Azure Container Registry では、Azure Key Vault で新しいキー バージョンが利用可能になったときに、自動と手動の両方でレジストリ暗号化キーをローテーションできます。

重要

カスタマー マネージド キーの暗号化を使用するレジストリでは、キー バージョンを頻繁に更新 (ローテーション) することは重要なセキュリティ上の考慮事項です。 組織のコンプライアンス ポリシーに従って、カスタマー マネージド キーを Azure Key Vault に格納する一方で、キー バージョンを定期的に更新してください。

  • キー バージョンを自動的に更新する: バージョンなしのキーで暗号化されたレジストリの場合、Azure Container Registry により、キー コンテナーの新しいキーのバージョンが定期的に確認され、カスタマー マネージド キーが 1 時間以内に更新されます。 カスタマー マネージド キーを使用するレジストリ暗号化を有効にする場合は、キー バージョンを省略することをお勧めします。 Azure Container Registry は、最新のキー バージョンを自動的に使用して更新します。

  • キー バージョンを手動で更新する: レジストリが特定のキー バージョンで暗号化されている場合、カスタマー マネージド キーを手動でローテーションするまで、そのバージョンが Azure Container Registry で暗号化に使用されます。 カスタマー マネージド キーを使用するレジストリ暗号化を有効にする場合は、キー バージョンを指定することをお勧めします。 Azure Container Registry では、レジストリの暗号化に特定のバージョンのキーが使用されます。

詳細については、「キーの交換」と「キーのバージョンを更新する」を参照してください。

次のステップ