キー ワークロードを移行する方法

  • [アーティクル]

Azure Key Vault と Azure Managed HSM では、キー マテリアルを保護し、キーの HSM プロパティを変更できないようにするために、キーのエクスポートは許可されません。

キーの移植性を高める場合は、サポートされている HSM でキーを作成し、Azure Key Vault または Azure Managed HSM にインポートすることをお勧めします。

注意

唯一の例外は、キーがキー リリース ポリシーを使用して作成され、キー マテリアルを処理するための信頼できる機密コンピューティング エンクレーブへのエクスポートが制限されている場合です。 このようなセキュリティで保護されたキー操作は、キーの汎用エクスポートではありません。

キー ワークロードの移行を必要とするシナリオがいくつかあります。

  • サブスクリプション、リソース グループ、所有者を切り替える場合など、セキュリティ境界の切り替え。
  • 特定のリージョンのコンプライアンス境界またはリスクによるリージョンの移動。
  • Azure Key Vault から Azure Managed HSM など、Key Vault Premium よりも高いセキュリティ、分離、コンプライアンスを提供する新しいオファリングへの変更。

以下では、新しいコンテナーまたは新しいマネージド HSM にワークロードを移行して新しいキーを使用するためのいくつかの方法について説明します。

カスタマー マネージド キーを使用する Azure サービス

Key Vault のキーを使用するほとんどのワークロードでは、キーを新しい場所 (新しいマネージド HSM または別のサブスクリプションまたはリージョン内の新しいキー コンテナー) に移行する最も効果的な方法は次のとおりです。

  1. 新しいコンテナーまたはマネージド HSM に新しいキーを作成します。
  2. ワークロードがこの新しいキーにアクセスできるようにするために、ワークロードの ID を Azure Key Vault または AzureManaged HSM の適切なロールに追加します。
  3. 新しいキーをカスタマー マネージド暗号化キーとして使用するようにワークロードを更新します。
  4. 古いキーが当初保護していたワークロード データのバックアップが不要になるまで、キーを保持します。

たとえば、新しいキーを使用するように Azure Storage を更新するには、「既存のストレージ アカウントのカスタマー マネージド キーを構成する - Azure Storage」の手順に従います。 Storage が新しいキーに更新されるまで、前のカスタマー マネージド キーが必要です。Storage が新しいキーに正常に更新されると、前のキーは不要になります。

カスタム アプリケーションとクライアント側の暗号化

Key Vault のキーを使用してデータを直接暗号化する、クライアント側の暗号化またはユーザーが作成したカスタム アプリケーションの場合、プロセスは異なります。

  1. 新しいキー コンテナーまたはマネージド HSM を作成し、新しいキー暗号化キー (KEK) を作成します。
  2. 古いキーによって暗号化されたすべてのキーまたはデータを、新しいキーを使用して再暗号化します。 (データがキー コンテナー内のキーによって直接暗号化された場合、すべてのデータを読み取り、暗号化解除し、新しいキーで暗号化する必要があるため、これには時間がかかる場合があります。可能な場合はエンベロープ暗号化を使用して、このようなキーのローテーションを高速化します)。

データを再暗号化する場合は、3 レベルのキー階層を使用することをお勧めします。これにより、今後 KEK のローテーションが容易になります。1. Azure Key Vault またはマネージド HSM のキー暗号化キー 1. 主キー 1. 主キーから派生したデータ暗号化キー

  1. 移行後 (および削除前) にデータを確認します。
  2. 古いキー/キー コンテナーに関連付けられたデータのバックアップが不要になるまで、それらを削除しないでください。

Azure Information Protection でのテナント キーの移行

Azure Information Protection でのテナント キーの移行は、"キー更新" または "キーのローリング" と呼ばれます。 カスタマー マネージド - AIP テナント キーのライフ サイクル操作には、この操作の実行方法に関する詳細な手順が記載されています。

古いテナント キーで保護されたコンテンツまたはドキュメントが不要になるまで、古いテナント キーを削除することは安全ではありません。 新しいキーによって保護されるようにドキュメントを移行する場合は、次の手順を実行する必要があります。

  1. 古いテナント キーで保護されたドキュメントから保護を削除します。
  2. 保護を再度適用します。これにより、新しいテナント キーが使用されます。

次のステップ