キー ワークロードを移行する方法
Azure Key Vault と Azure Managed HSM では、キー マテリアルを保護し、キーの HSM プロパティを変更できないようにするために、キーのエクスポートは許可されません。
キーの移植性を高める場合は、サポートされている HSM でキーを作成し、Azure Key Vault または Azure Managed HSM にインポートすることをお勧めします。
注意
唯一の例外は、キーがキー リリース ポリシーを使用して作成され、キー マテリアルを処理するための信頼できる機密コンピューティング エンクレーブへのエクスポートが制限されている場合です。 このようなセキュリティで保護されたキー操作は、キーの汎用エクスポートではありません。
キー ワークロードの移行を必要とするシナリオがいくつかあります。
- サブスクリプション、リソース グループ、所有者を切り替える場合など、セキュリティ境界の切り替え。
- 特定のリージョンのコンプライアンス境界またはリスクによるリージョンの移動。
- Azure Key Vault から Azure Managed HSM など、Key Vault Premium よりも高いセキュリティ、分離、コンプライアンスを提供する新しいオファリングへの変更。
以下では、新しいコンテナーまたは新しいマネージド HSM にワークロードを移行して新しいキーを使用するためのいくつかの方法について説明します。
カスタマー マネージド キーを使用する Azure サービス
Key Vault のキーを使用するほとんどのワークロードでは、キーを新しい場所 (新しいマネージド HSM または別のサブスクリプションまたはリージョン内の新しいキー コンテナー) に移行する最も効果的な方法は次のとおりです。
- 新しいコンテナーまたはマネージド HSM に新しいキーを作成します。
- ワークロードがこの新しいキーにアクセスできるようにするために、ワークロードの ID を Azure Key Vault または AzureManaged HSM の適切なロールに追加します。
- 新しいキーをカスタマー マネージド暗号化キーとして使用するようにワークロードを更新します。
- 古いキーが当初保護していたワークロード データのバックアップが不要になるまで、キーを保持します。
たとえば、新しいキーを使用するように Azure Storage を更新するには、「既存のストレージ アカウントのカスタマー マネージド キーを構成する - Azure Storage」の手順に従います。 Storage が新しいキーに更新されるまで、前のカスタマー マネージド キーが必要です。Storage が新しいキーに正常に更新されると、前のキーは不要になります。
カスタム アプリケーションとクライアント側の暗号化
Key Vault のキーを使用してデータを直接暗号化する、クライアント側の暗号化またはユーザーが作成したカスタム アプリケーションの場合、プロセスは異なります。
- 新しいキー コンテナーまたはマネージド HSM を作成し、新しいキー暗号化キー (KEK) を作成します。
- 古いキーによって暗号化されたすべてのキーまたはデータを、新しいキーを使用して再暗号化します。 (データがキー コンテナー内のキーによって直接暗号化された場合、すべてのデータを読み取り、暗号化解除し、新しいキーで暗号化する必要があるため、これには時間がかかる場合があります。可能な場合はエンベロープ暗号化を使用して、このようなキーのローテーションを高速化します)。
データを再暗号化する場合は、3 レベルのキー階層を使用することをお勧めします。これにより、今後 KEK のローテーションが容易になります。1. Azure Key Vault またはマネージド HSM のキー暗号化キー 1. 主キー 1. 主キーから派生したデータ暗号化キー
- 移行後 (および削除前) にデータを確認します。
- 古いキー/キー コンテナーに関連付けられたデータのバックアップが不要になるまで、それらを削除しないでください。
Azure Information Protection でのテナント キーの移行
Azure Information Protection でのテナント キーの移行は、"キー更新" または "キーのローリング" と呼ばれます。 カスタマー マネージド - AIP テナント キーのライフ サイクル操作には、この操作の実行方法に関する詳細な手順が記載されています。
古いテナント キーで保護されたコンテンツまたはドキュメントが不要になるまで、古いテナント キーを削除することは安全ではありません。 新しいキーによって保護されるようにドキュメントを移行する場合は、次の手順を実行する必要があります。
- 古いテナント キーで保護されたドキュメントから保護を削除します。
- 保護を再度適用します。これにより、新しいテナント キーが使用されます。