次の方法で共有

論理的な削除と消去保護を使用した Azure Key Vault の回復の管理

この記事では、Azure Key Vault の 2 つの回復機能である論理的な削除と消去保護について説明します。 このドキュメントでは、これらの機能の概要について説明し、Azure portal、Azure CLI、Azure PowerShell を使用してそれらを管理する方法を示します。

重要

キー コンテナーで論理的な削除の保護が有効になっていない場合、キーを削除するとそれは完全に削除されます。 お客様には、Azure Policy でコンテナーの論理的な削除の適用を有効にすることを強くお勧めします。

Key Vault の詳細については、以下を参照してください。

前提条件

  • Azure サブスクリプション - 無料アカウントを作成します

  • Azure PowerShell

  • Azure CLI

  • キー コンテナー - Azure portalAzure CLI、または Azure PowerShell を使用して作成できます

  • 論理的に削除されたコンテナーに対して操作を実行するには、ユーザーには (サブスクリプション レベルでの) 以下のアクセス許可が必要です。

    権限 説明
    Microsoft.KeyVault/locations/deletedVaults/read 論理的に削除された Key Vault のプロパティを表示します。
    Microsoft.KeyVault/locations/deletedVaults/purge/action 論理的に削除された Key Vault を消去します。
    Microsoft.KeyVault/locations/operationResults/read コンテナーの消去状態を確認するために必要です
    Key Vault 共同作成者 論理的に削除されたコンテナーを回復するために必要です

論理的な削除および消去保護とは

ソフト削除とパージ保護は、Key Vault における2つの異なる回復機能です。

ソフト削除は、キーボルトおよびキーボルト内に格納されているキー、シークレット、証明書が誤って削除されるのを防ぐように設計されています。 ソフト削除をリサイクルビンのようなものと考えてください。 キー コンテナーまたはキー コンテナー オブジェクトを削除すると、それは、ユーザーが構成可能な保持期間または既定の 90 日の間、回復可能な状態に保たれます。 論理的に削除された状態のキー コンテナーは消去 (完全に削除) することもできます。これにより、同じ名前のキー コンテナーとキー コンテナー オブジェクトを再作成できるようになります。 キーボールトとオブジェクトを回復および削除するには、高度なアクセス ポリシー権限が必要です。 ソフト削除をいったん有効にすると、無効にすることはできません。

キー コンテナーの名前はグローバルに一意であるため、論理的に削除された状態のキー コンテナーと同じ名前のキー コンテナーは作成できないことに注意することが重要です。 同様に、キー、シークレット、証明書の名前は、キー コンテナー内で一意です。 論理的に削除された状態の別のものと同じ名前で、シークレット、キー、証明書を作成することはできません。

消去保護は、悪意のある内部関係者によってキー コンテナー、キー、シークレット、証明書が削除されるのを防ぐように設計されています。 これは、時間ベースのロック機能を備えたごみ箱と考えてください。 構成可能な保持期間中であればいつでも、項目を回復できます。 キー コンテナーは、保持期間が経過するまでは、完全に削除したり消去したりできません。 保持期間が経過すると、キー ボールトまたはキー ボールト オブジェクトは自動的に消去されます。

ノート

消去保護は、管理者のロールまたはアクセス許可によって消去保護を上書き、無効化、または回避することができないように設計されています。 消去保護を有効にすると、Microsoft を含め、誰もそれを無効にしたり、上書きしたりすることはできません。 つまり、キー ボールト名を再利用するには、最初に削除されたキー ボールトを回復するか、保持期間が経過するまで待つ必要があります。

論理的な削除の詳細については、「Azure Key Vault の論理的な削除の概要」を参照してください。

キー コンテナーで論理的な削除が有効になっているかどうかを確認し、論理的な削除を有効にする

  1. Azure portal にサインインします。
  2. キー コンテナーを選択します。
  3. [プロパティ] ブレードを選択します。
  4. 論理的な削除の横にあるオプション ボタンが、"回復を有効にする" に設定されているかどうかを確認します。
  5. ソフト削除がキー コンテナーで有効になっていない場合は、ソフト削除を有効にするラジオ ボタンを選択し、[保存] を選択します。

On Properties, Soft-delete is highlighted, as is the value to enable it.[プロパティ] では、[ソフト削除] が強調表示されており、それを有効にするための値が示されています。

削除されたシークレットを消去および回復するためのアクセス権をサービス プリンシパルに許可する

  1. Azure portal にサインインします。
  2. キー コンテナーを選択します。
  3. [アクセス ポリシー] ブレードを選択します。
  4. テーブルで、アクセスを許可するセキュリティ プリンシパルの行を見つけます (または、新しいセキュリティ プリンシパルを追加します)。
  5. キー、証明書、シークレットのドロップダウンを選択します。
  6. ドロップダウンの一番下までスクロールし、[回復] と [消去] を選択します
  7. セキュリティ プリンシパルには、大部分の操作を実行するための [取得] と [一覧表示] の権限も必要となります。

左側のナビゲーション ウィンドウで、[アクセス ポリシー] が強調表示されています。[アクセス ポリシー] には [シークレットの権限] のドロップダウン リストが表示されており、以下の 4 つの操作が選択されています: 取得、一覧表示、回復、消去。

論理的に削除されたキー コンテナーを一覧表示、回復、または消去する

  1. Azure portal にサインインします。
  2. ページの上部にある検索バーを選択します。
  3. "Key Vault" サービスを検索します。 個々の鍵の保管庫は選択しないでください。
  4. 画面の上部で、[削除されたコンテナーの管理] オプションを選択します
  5. 画面の右側にコンテキスト ペインが開きます。
  6. サブスクリプションを選択します。
  7. キー ボールトがソフト削除されている場合は、右側のコンテキスト ペインに表示されます。
  8. コンテナーの数が多すぎる場合は、コンテキスト ペインの下部にある [さらに読み込む] を選択するか、CLI または PowerShell を使用して結果を取得します。
  9. 回復または消去するコンテナーが見つかったら、その隣にあるチェック ボックスをオンにします。
  10. キー ボールトを復旧する場合は、コンテキスト ペインの下部にある復旧オプションを選択します。
  11. キー ボールトを完全に削除する場合は、消去を選択してください。

キー コンテナーでは、[削除されたコンテナーの管理] オプションが強調表示されています。

Manage deleted key vaults, the only listed key vault is highlighted and selected, and the Recover button is highlighted.[削除されたキー バリアの管理] 画面では、唯一リストされたキー バリアが強調表示され選択されており、[回復] ボタンが強調表示されています。

ソフト削除されたシークレット、キー、証明書を一覧表示、復旧、または消去する

  1. Azure portal にサインインします。
  2. キー コンテナーを選択します。
  3. 管理するシークレットの種類 (キー、シークレット、または証明書) に対応するブレードを選択します。
  4. 画面の上部で、[削除された (キー、シークレット、証明書) の管理] を選択します
  5. 画面の右側にコンテキスト ペインが表示されます。
  6. シークレット、キー、または証明書が一覧に表示されない場合は、論理的に削除された状態ではありません。
  7. 管理するシークレット、キー、または証明書を選択します。
  8. コンテキスト ペインの下部にある回復または消去のオプションを選択します。

[キー] では、[削除されたキーの管理] オプションが強調表示されます。

次のステップ