Azure Key Vault の新機能

  • [アーティクル]

ここでは、Azure Key Vault の新機能について説明します。 新しい機能と改善点については、Azure の更新情報の Key Vault チャンネルでも発表されます。

2023 年 7 月

Azure Key Vault のキー ローテーション構成を管理するための組み込みポリシー。 このポリシーを使用すると、キー コンテナー内の既存のキーを監査して、すべてのキーがローテーション用に構成され、組織の標準に準拠していることを確認できます。

詳細については、「キー ローテーション ガバナンスの構成」を参照してください

2023 年 6 月

Key Vault は、セキュリティ強化を目的として TLS 1.2 以降を適用します。 まだ以前のバージョンの TLS を使用している場合は、「お使いの環境で TLS 1.2 のサポートを有効にする」を参照してクライアントを更新し、Key Vault サービスへのアクセスが中断されないようにします。 こちらのサンプル Kusto クエリを使用して Key Vault ログを監視することで、クライアントによって使用される TLS バージョンを監視できます。

2023 年 5 月

Azure RBAC が、Azure Key Vault データ プレーンに推奨される認可システムになりました。 Azure RBAC は Azure Resource Manager に基づいて構築されており、Azure リソースのアクセスを詳細に管理できます。 Azure RBAC では、ロールの割り当てを作成することによって、リソースへのアクセスを制御します。これには、セキュリティ プリンシパル、ロールの定義 (定義済みの一連のアクセス許可)、スコープ (リソースのグループまたは個々のリソース) の 3 つの要素が含まれます。

詳細については、「Azure ロールベースのアクセス制御 (Azure RBAC) とアクセス ポリシーの比較 | Microsoft Learn」を参照してください

2023 年 2 月

Azure ロールベースのアクセス制御 (RBAC) への移行を管理するための組み込みポリシーがプレビュー段階になりました。 組み込みポリシーを使用すると、既存のキー コンテナーを監査し、すべての新しいキー コンテナーに Azure RBAC アクセス許可モデルを使用するように強制できます。 新しい組み込みポリシーを適用する方法については、RBAC の移行ガバナンスに関する記事を参照してください。

2022 年 4 月

Key Vault での暗号化キーの自動ローテーションが一般提供になりました。

詳細については、Key Vault でのキー自動ローテーションの構成に関する記事を参照してください。

2022 年 1 月

アプリケーションのパフォーマンスを高めるために、Azure Key Vault サービスのスループットの制限が引き上げられ、各コンテナーの以前のクォータの 2 倍になりました。 つまり、シークレットの GET と RSA 2,048 ビット ソフトウェア キーでは、10 秒間に 4,000 件の GET トランザクションを受け取りますが、以前は 10 秒間に 2,000 件でした。 サービス クォータは操作の種類に固有であり、すべての一覧は「Azure Key Vault サービスの制限」で確認できます。

Azure の更新のお知らせについては、「一般提供: すべてのお客様の Azure Key Vault サービスの制限の引き上げ」 (https://azure.microsoft.com/updates/azurekeyvaultincreasedservicelimits/) を参照してください

2021 年 12 月

Key Vault での暗号化キーの自動ローテーションはプレビュー段階です。 Event Grid 統合を通じてキーにローテーション ポリシーを設定し、自動ローテーションをスケジュールしたり、有効期限通知を構成したりできます。

詳細については、Key Vault でのキー自動ローテーションの構成に関する記事を参照してください。

2021 年 10 月

Azure Key Vault と Azure Policy の統合が一般提供になり、実稼働環境で使用する準備が整いました。 この機能は、Azure でのセキュア シークレット管理を簡素化する一方で、Key Vault、キー、シークレット、証明書に対して定義できるポリシーの適用も強化するという我々の取り組みに向けての第一歩です。 Azure Policy では、Key Vault とそのオブジェクトに対して、組織のセキュリティ推奨事項とコンプライアンス規制への準拠を確実にするためのガードレールを設けることができます。 これにより、Azure 環境内の既存シークレットについて、ポリシーベースの適用とオンデマンドのコンプライアンス評価をリアルタイムで実行できます。 ポリシーによって実行された監査の結果はコンプライアンス ダッシュボードで表示でき、リソースとコンポーネントが準拠しているかどうかをドリルダウンして確認できます。 キー、シークレット、証明書のガバナンスを提供する組み込みポリシーの完全なスイートが、Key Vault に対する Azure ポリシーによって提供されます。

Azure Key Vault を Azure Policy と統合して新しいポリシーを割り当てる方法について学ぶことができます。 発表内容はこちらからご覧ください。

2021 年 6 月

Azure Key Vault Managed HSM が一般提供になりました。 Managed HSM は、FIPS 140-2 レベル 3 適合の HSM を使用してクラウド アプリケーションの暗号化キーを保護するための、フル マネージド、高可用性、シングル テナント、高スループット、標準準拠を特徴とするクラウド サービスを提供します。

詳細については、Azure Key Vault Managed HSM の概要に関する記事を参照してください。

2021 年 2 月

Azure Key Vault データ プレーン承認用の Azure ロールベースのアクセス制御 (RBAC) が一般提供になりました。 この機能により、管理グループから個々のキー、証明書、シークレットに対して使用可能なロール割り当てスコープを使用して、Key Vault キー、証明書、シークレットの RBAC を管理できるようになりました。

詳細については、「Azure のロールベースのアクセス制御を使用して Key Vault のキー、証明書、シークレットへのアクセス権を付与する」を参照してください。

2020 年 10 月

警告

これらの更新は、Azure Key Vault の実装に影響を与える可能性があります。

今後は既定で論理的な削除をサポートするために、Azure Key Vault PowerShell コマンドレットは次の 2 点が変更されました。

  • Update-AzKeyVault の DisableSoftDelete と EnableSoftDelete パラメーターが非推奨になりました。
  • Get-AzKeyVaultSecret コマンドレットの出力に SecretValueText 属性がなくなりました。

2020 年 7 月

警告

これら 2 つの更新は、Azure Key Vault の実装に影響を与える可能性があります。

既定で有効になる論理的な削除

新規および既存のすべてのキー コンテナーに対して、論理的な削除を有効にする必要があります。 今後数か月の間に、論理的な削除をオプトアウトする機能は非推奨になります。 この破壊的になる可能性のある変更の詳細と、影響を受けるキー コンテナーを見つけて事前に更新する手順については、「すべてのキー コンテナーでの論理的な削除の有効化」をご覧ください。

Azure TLS 証明書の変更

Microsoft では、異なるルート証明機関 (CA) のセットからの TLS 証明書を使用するように、Azure サービスが更新されています。 この変更は、現在の CA 証明書が CA/ブラウザー フォーラムのベースライン要件の 1 つに準拠していないため行われています。 詳細については、「Azure TLS 証明書の変更」を参照してください。

2020 年 6 月

Azure Monitor for Key Vault がプレビュー段階になりました。 Azure Monitor ではキー コンテナーの要求、パフォーマンス、エラー、待機時間の統合ビューにより、キー コンテナーの包括的な監視が提供されます。 詳細については、Azure Monitor for Key Vault (プレビュー) に関するページを参照してください。

2020 年 5 月

Key Vault の "Bring Your Own Key" (BYOK) が一般提供されるようになりました。 Azure Key Vault の BYOK の仕様に関するページを参照し、HSM で保護されたキーを Key Vault (BYOK) にインポートする方法について学習してください。

2020 年 3 月

プライベート エンドポイントをプレビューで使用できるようになりました。 Azure Private Link サービスを使用すると、自分の仮想ネットワーク内のプライベート エンドポイント経由で、Azure Key Vault および Azure でホストされている顧客サービスやパートナー サービスにアクセスできます。 Key Vault と Azure Private Link を統合する方法を学習してください。

2019

2018

今年リリースされた新機能と統合:

2016

今年リリースされた新機能:

  • マネージド ストレージ アカウント キー。 Azure Storage と簡単に統合できるように、ストレージ アカウント キーの機能が追加されました。 詳細については、マネージド ストレージ アカウント キーの概要に関する記事を参照してください。
  • 論理的な削除。 論理削除機能により、キー コンテナーおよびキー コンテナー オブジェクトのデータ保護が強化されます。 詳細については、論理的な削除に関する記事を参照してください。

2015

今年リリースされた新機能:

  • 証明書管理。 2016 年 9 月 26 日に、GA バージョン 2015-06-01 に対する機能として追加されました。

一般提供 (バージョン 2015-06-01) が、2015 年 6 月 24 日に発表されました。 このリリースでは、次の点が変更されました。

  • キーの削除 - "use" フィールドが削除されました。
  • キーについての情報の取得 - "use" フィールドが削除されました。
  • コンテナーへのキーのインポート - "use" フィールドが削除されました。
  • キーの復元 - "use" フィールドが削除されました。
  • RSA アルゴリズムの "RSA_OAEP" が "RSA-OAEP" に変更されました。 「About keys, secrets, and certificates」(キー、シークレット、証明書について) をご覧ください。

2 番目のプレビュー バージョン (バージョン 2015-02-01-preview) が、2015 年 4 月 20 日に発表されました。 詳しくは、REST API の更新に関するブログ記事をご覧ください。 次のタスクが更新されました。

  • コンテナー内のキーの一覧表示 - 改ページ位置の自動修正のサポートが操作に追加されました。
  • キーのバージョンの一覧表示 - キーのバージョンを一覧表示する操作が追加されました。
  • コンテナー内のシークレットの一覧表示 - 改ページ位置の自動修正のサポートが追加されました。
  • シークレットのバージョンの一覧表示 - シークレットのバージョンを一覧表示する操作が追加されました。
  • すべての操作 - 作成/更新タイムスタンプが属性に追加されました。
  • シークレットの作成 - Content-Type がシークレットに追加されました。
  • キーの作成 - オプション情報としてタグが追加されました。
  • シークレットの作成 - オプション情報としてタグが追加されました。
  • キーの更新 - オプション情報としてタグが追加されました。
  • シークレットの更新 - オプション情報としてタグが追加されました。
  • シークレットの最大サイズが、10 K バイトから 25 K バイトに変更されました。 「About keys, secrets, and certificates」(キー、シークレット、証明書について) をご覧ください。

2014

最初のプレビュー バージョン (バージョン 2014-12-08-preview) が、2015 年 1 月 8 日に発表されました。

次のステップ

その他の質問がある場合は、サポートを通じてご連絡ください。