Key Vault と Azure Private Link の統合

Azure Private Link Service を使用すると、仮想ネットワーク内のプライベート エンドポイント経由で Azure サービス (Azure Key Vault、Azure Storage、Azure Cosmos DB など) と Azure でホストされている顧客/パートナー サービスにアクセスできます。

Azure プライベート エンドポイントは、Azure Private Link を利用するサービスにプライベートかつ安全に接続するネットワーク インターフェイスです。 プライベート エンドポイントは、ご自分の VNet からのプライベート IP アドレスを使用して、サービスを実質的に VNet に取り込みます。 サービスへのすべてのトラフィックをプライベート エンドポイント経由でルーティングできるため、ゲートウェイ、NAT デバイス、ExpressRoute または VPN 接続、パブリック IP アドレスは必要ありません。 仮想ネットワークとサービスの間のトラフィックは、Microsoft のバックボーン ネットワークを経由して、パブリック インターネットからの公開を排除します。 最高レベルの細分性でアクセスを制御しながら Azure リソースのインスタンスに接続できます。

詳細については、「Azure Private Link とは」を参照してください。

[前提条件]

キー コンテナーを Azure Private Link と統合するには、次のものが必要です。

• キー コンテナー。
• Azure 仮想ネットワーク。
• 仮想ネットワーク内のサブネット。
• キー コンテナーと仮想ネットワークの両方に対する所有者または共同作成者のアクセス許可。

プライベート エンドポイントと仮想ネットワークは、同じリージョンに存在する必要があります。 ポータルを使用してプライベート エンドポイントのリージョンを選択すると、自動的にフィルター処理が行われ、そのリージョン内にある仮想ネットワークのみが表示されます。 キー ボールトは別のリージョンに配置することが可能です。

プライベート エンドポイントは、仮想ネットワーク内のプライベート IP アドレスを使用します。

Azure Portal

Azure portal を使用して Key Vault へのプライベート リンク接続を確立する

まず、「Azure portal を使用して仮想ネットワークを作成する」の手順に従って仮想ネットワークを作成します。

その後、新しいキー コンテナーを作成するか、既存のキー コンテナーへのプライベート リンク接続を確立できます。

新しいキー コンテナーを作成し、プライベート リンク接続を確立する

Azure portal、Azure CLI、または Azure PowerShell を使用して、新しいキー コンテナーを作成できます。

キー コンテナーの基本を構成したら、[ネットワーク] タブを選択し、次の手順に従います。

1. ラジオ ボタンをオフにしてパブリック アクセスを無効にします。

2. [+ プライベート エンドポイントの作成] ボタンを選択して、プライベート エンドポイントを追加します。

   

3. [プライベート エンドポイントの作成] ブレードの [場所] フィールドで、仮想ネットワークが配置されているリージョンを選択します。

4. [名前] フィールドに、このプライベート エンドポイントを識別できるわかりやすい名前を作成します。

5. ドロップダウン メニューから、このプライベート エンドポイントを作成する仮想ネットワークとサブネットを選択します。

6. [プライベート ゾーン DNS と統合する] オプションは変更せずに残します。

7. [OK] を選択します。

   

これで、構成されたプライベート エンドポイントを確認できるようになります。 これで、このプライベート エンドポイントを削除して編集できるようになりました。 [確認と作成] ボタンを選択し、キーボールトを作成します。 デプロイが完了するまでに 5 ~ 10 分かかります。

既存のキー コンテナーへのプライベート リンク接続を確立する

既にキー コンテナーがある場合は、次の手順に従ってプライベート リンク接続を作成できます。

1. Azure portal にサインインします。

2. 検索バーに「鍵の保管庫」と入力します。

3. プライベート エンドポイントを追加するキー コンテナーを一覧から選択します。

4. [設定] の [ネットワーク] タブを選択します。

5. ページの上部にある [プライベート エンドポイント接続] タブを選択します。

6. ページの上部にある [+ 作成] ボタンを選択します。

   

7. [プロジェクトの詳細] で、このチュートリアルの前提条件として作成した仮想ネットワークを含むリソース グループを選択します。 [インスタンスの詳細] で、名前として「myPrivateEndpoint」と入力し、このチュートリアルの前提条件として作成した仮想ネットワークと同じ場所を選択します。

   このブレードを使用して、任意の Azure リソースのプライベート エンドポイントを作成できます。 ドロップダウン メニューを使用してリソースの種類を選択し、ディレクトリ内のリソースを選択するか、リソース ID を使用して任意の Azure リソースに接続できます。 [プライベート ゾーン DNS と統合する] オプションは変更せずに残します。

8. [リソース] ブレードに進みます。 [リソースの種類] で 、[Microsoft.KeyVault/vaults] を選択します。[リソース] で、このチュートリアルの前提条件として作成したキー コンテナーを選択します。 "ターゲット サブリソース" に "ボールト" が自動的に設定されます。

9. "仮想ネットワーク" に進みます。 このチュートリアルの前提条件として作成した仮想ネットワークとサブネットを選択します。

10. [DNS] ブレードと [タグ] ブレードを進め、既定値をそのまま使用します。

11. [確認と作成] ブレードで、[作成] を選択します。

プライベート エンドポイントを作成する際は、接続を承認する必要があります。 プライベート エンドポイントを作成するリソースがディレクトリ内にある場合は、十分なアクセス許可があれば、接続要求を承認できます。別のディレクトリ内の Azure リソースに接続している場合は、そのリソースの所有者が接続要求を承認するまで待つ必要があります。

プロビジョニングの状態には次の 4 つがあります。

サービス アクション	サービス コンシューマーのプライベート エンドポイントの状態	Description
None	保留中	接続が手動で作成されており、プライベート リンク リソースの所有者からの承認を待っています。
承認	承認済み	接続が自動または手動で承認され、使用する準備が整っています。
リジェクト	拒否	プライベート リンク リソースの所有者によって接続が拒否されました。
[削除]	切断された	プライベート リンク リソース所有者によって接続が削除されました。プライベート エンドポイントは有益になり、クリーンアップのために削除する必要があります。

Azure portal を使用して Key Vault へのプライベート エンドポイント接続を管理する方法

1. Azure ポータルにログインします。

2. 検索バーに「キー ボールト」と入力します。

3. 管理するキー コンテナーを選択します。

4. [ネットワーク] タブを選択します。

5. 保留中の接続がある場合は、プロビジョニング状態に "保留中" と表示された接続が表示されます。

6. 承認するプライベート エンドポイントを選択します

7. [承認] ボタンを選択します。

8. 拒否するプライベート エンドポイント接続がある場合は、保留中の要求でも既存の接続でも、接続を選択し、[拒否] ボタンを選択します。

   

Azure CLI

CLI を使用して Key Vault へのプライベート リンク接続を確立する (初期設定)

az login                                                         # Login to Azure CLI
az account set --subscription {SUBSCRIPTION ID}                  # Select your Azure Subscription
az group create -n {RESOURCE GROUP} -l {REGION}                  # Create a new Resource Group
az provider register -n Microsoft.KeyVault                       # Register KeyVault as a provider
az keyvault create -n {VAULT NAME} -g {RG} -l {REGION} --enable-rbac-authorization true --enable-purge-protection true           # Create a Key Vault
az keyvault update -n {VAULT NAME} -g {RG} --default-action deny # Turn on Key Vault Firewall
az network vnet create -g {RG} -n {vNet NAME} -location {REGION} # Create a Virtual Network

    # Create a Subnet
az network vnet subnet create -g {RG} --vnet-name {vNet NAME} --name {subnet NAME} --address-prefixes {addressPrefix}

    # Disable Virtual Network Policies
az network vnet subnet update --name {subnet NAME} --resource-group {RG} --vnet-name {vNet NAME} --disable-private-endpoint-network-policies true

    # Create a Private DNS Zone
az network private-dns zone create --resource-group {RG} --name privatelink.vaultcore.azure.net

    # Link the Private DNS Zone to the Virtual Network
az network private-dns link vnet create --resource-group {RG} --virtual-network {vNet NAME} --zone-name privatelink.vaultcore.azure.net --name {dnsZoneLinkName} --registration-enabled true

プライベート エンドポイントの作成 (自動的に承認)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION}

プライベート エンドポイントを作成する (手動で承認を要求する)

az network private-endpoint create --resource-group {RG} --vnet-name {vNet NAME} --subnet {subnet NAME} --name {Private Endpoint Name}  --private-connection-resource-id "/subscriptions/{AZURE SUBSCRIPTION ID}/resourceGroups/{RG}/providers/Microsoft.KeyVault/vaults/{KEY VAULT NAME}" --group-ids vault --connection-name {Private Link Connection Name} --location {AZURE REGION} --manual-request

プライベート リンク接続の管理

# Show Connection Status
az network private-endpoint show --resource-group {RG} --name {Private Endpoint Name}

# Approve a Private Link Connection Request
az keyvault private-endpoint-connection approve --approval-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Deny a Private Link Connection Request
az keyvault private-endpoint-connection reject --rejection-description {"OPTIONAL DESCRIPTION"} --resource-group {RG} --vault-name {KEY VAULT NAME} –name {PRIVATE LINK CONNECTION NAME}

# Delete a Private Link Connection Request
az keyvault private-endpoint-connection delete --resource-group {RG} --vault-name {KEY VAULT NAME} --name {PRIVATE LINK CONNECTION NAME}

プライベート DNS レコードを追加する

# Determine the Private Endpoint IP address
az network private-endpoint show -g {RG} -n {PE NAME}      # look for the property networkInterfaces then id; the value must be placed on {PE NIC} below.
az network nic show --ids {PE NIC}                         # look for the property ipConfigurations then privateIpAddress; the value must be placed on {NIC IP} below.

# https://learn.microsoft.com/azure/dns/private-dns-getstarted-cli#create-an-additional-dns-record
az network private-dns zone list -g {RG}
az network private-dns record-set a add-record -g {RG} -z "privatelink.vaultcore.azure.net" -n {KEY VAULT NAME} -a {NIC IP}
az network private-dns record-set list -g {RG} -z "privatelink.vaultcore.azure.net"

# From home/public network, you wil get a public IP. If inside a vnet with private zone, nslookup will resolve to the private ip.
nslookup {KEY VAULT NAME}.vault.azure.net
nslookup {KEY VAULT NAME}.privatelink.vaultcore.azure.net

プライベート リンク接続が機能することを検証する

プライベート エンドポイント リソースの同じサブネット内のリソースがプライベート IP アドレス経由でキー コンテナーに接続していること、およびそれらが適切なプライベート DNS ゾーン統合を持っていることを検証する必要があります。

最初に、Azure portal での Windows 仮想マシンの作成に関するページの手順に従って、仮想マシンを作成します。

[ネットワーク] タブで、次の手順を実行します。

1. 仮想ネットワークとサブネットを指定します。 新しい仮想ネットワークを作成することも、既存の仮想ネットワークを選択することもできます。 既存のものを選択する場合は、リージョンが一致していることを確認します。
2. パブリック IP リソースを指定します。
3. [NIC ネットワーク セキュリティ グループ] で 、[なし] を選択します。
4. [負荷分散] で [いいえ] を選択します。

コマンド ラインを開き、次のコマンドを実行します。

nslookup <your-key-vault-name>.vault.azure.net

ns 参照コマンドを実行して、パブリック エンドポイント経由でキー コンテナーの IP アドレスを解決すると、次のような結果が表示されます。

c:\ >nslookup <your-key-vault-name>.vault.azure.net

Non-authoritative answer:
Name:    
Address:  (public IP address)
Aliases:  <your-key-vault-name>.vault.azure.net

ns 参照コマンドを実行して、プライベート エンドポイント経由でキー コンテナーの IP アドレスを解決すると、次のような結果が表示されます。

c:\ >nslookup your_vault_name.vault.azure.net

Non-authoritative answer:
Name:    
Address:  10.1.0.5 (private IP address)
Aliases:  <your-key-vault-name>.vault.azure.net
          <your-key-vault-name>.privatelink.vaultcore.azure.net

トラブルシューティング ガイド

• プライベート エンドポイントが承認済みの状態であることを確認します。

  1. これは Azure portal で確認して修正できます。 Key Vault リソースを開き、[ネットワーク] オプションを選択します。
  2. 次に、[プライベート エンドポイント接続] タブを選択します。
  3. 接続状態が承認され、プロビジョニング状態が [成功] になっていることを確認します。
  4. プライベート エンドポイント リソースに移動し、そこで同じプロパティを確認し、仮想ネットワークが使用しているリソースと一致することを再確認することもできます。

• プライベート DNS ゾーン リソースがあることを確認します。

  1. privatelink.vaultcore.azure.net という正確な名前のプライベート DNS ゾーン リソースが必要です。
  2. これを設定する方法については、次のリンクを参照してください。 プライベート DNS ゾーン

• プライベート DNS ゾーンが仮想ネットワークにリンクされていることを確認します。 パブリック IP アドレスがまだ返されている場合は、それが問題である可能性があります。

  1. プライベート ゾーン DNS が仮想ネットワークにリンクされていない場合、仮想ネットワークから送信された DNS クエリはキー コンテナーのパブリック IP アドレスを返します。
  2. Azure portal でプライベート DNS ゾーン リソースに移動し、仮想ネットワーク リンク オプションを選択します。
  3. キー コンテナーの呼び出しを実行する仮想ネットワークが一覧表示されている必要があります。
  4. 存在しない場合は、追加します。
  5. 詳細な手順については、次のドキュメント「仮想ネットワークをプライベート DNS ゾーンにリンクする」を参照してください。

• プライベート DNS ゾーンにキー コンテナーの A レコードが存在していることを確認します。

  1. [プライベート DNS ゾーン] ページに移動します。
  2. [概要] を選択し、キー コンテナーの簡易名 (fabrikam など) を持つ A レコードがあることを確認します。 サフィックスは指定しないでください。
  3. スペルチェックを確認し、A レコードを作成または修正してください。 TTL は 600 (10 分) を使用できます。
  4. 正しいプライベート IP アドレスを指定してください。

• A レコードに正しい IP アドレスがあることを確認します。

  1. IP アドレスを確認するには、Azure portal でプライベート エンドポイント リソースを開きます。
  2. Azure portal で (Key Vault リソースではなく) Microsoft.Network/privateEndpoints リソースに移動します。
  3. 概要ページでネットワーク インターフェイスを探し、そのリンクを選択します。
  4. このリンクには、プロパティのプライベート IP アドレスを含む NIC リソースの概要が表示されます。
  5. これが A レコードで指定されている正しい IP アドレスであることを確認します。

• オンプレミスリソースから Key Vault に接続する場合は、オンプレミス環境で必要なすべての条件付きフォワーダーが有効になっていることを確認します。

  1. 必要なゾーンの Azure プライベート エンドポイント DNS 構成 を確認し、オンプレミスの DNS に vault.azure.net と vaultcore.azure.net の両方の条件付きフォワーダーがあることを確認します。
  2. Azure プライベート DNS リゾルバー または他の Azure 解決にアクセス可能な DNS プラットフォームにルーティングするゾーンの条件付きフォワーダーを有していることを確認します。

制限事項と設計に関する考慮事項

制限: Azure Private Link の制限を参照してください

価格: Azure Private Link の価格を参照してください。

制限事項: Azure Private Link サービスの制限事項に関するページを参照してください

次のステップ

• Azure Private Link の詳細
• Azure Key Vault の詳細
• プライベート リンクの構成に関する問題を診断する
• Azure Key Vault のネットワーク セキュリティを構成する
• Azure Key Vault をセキュリティで保護する