次の方法で共有


Azure Key Vault で Azure Load Testing のカスタマー マネージド キーを構成する

Azure Load Testing は、ロード テスト リソースに格納されているすべてのデータを、Microsoft が提供するキー (サービスマネージド キー) で自動的に暗号化します。 必要に応じて、独自の (カスタマー マネージド) キーも提供することで、2 番目のセキュリティ層を追加できます。 カスタマー マネージド キーは、アクセスを制御し、キー ローテーション ポリシーを使用する際の柔軟性を高めます。

提供されたキーは、Azure Key Vault を使用して安全に保存されます。 カスタマー マネージド キーを使用して有効にする Azure ロード テスト リソースごとに、個別のキーを作成できます。

カスタマーマネージド暗号化キーを使用する場合は、ユーザー割り当てマネージド ID を指定して Azure Key Vault からキーを取得する必要があります。

Azure Load Testing では、カスタマー マネージド キーを使用して、ロード テスト リソース内の次のデータを暗号化します。

  • テスト スクリプトと構成ファイル
  • シークレット
  • 環境変数

Note

Azure Load Testing では、JMeter スクリプトで指定した JMeter メトリック サンプラー名を含むカスタマー マネージド キーを使用して、テスト実行のメトリック データを暗号化しません。 Microsoft は、このメトリック データにアクセスできます。

前提条件

  • アクティブなサブスクリプションが含まれる Azure アカウント。 Azure サブスクリプションをお持ちでない場合は、始める前に無料アカウントを作成してください。

  • 既存のユーザー割り当てマネージド ID。 ユーザー割り当てマネージド ID を作成する方法の詳細については、「ユーザー割り当てマネージド ID の管理」を参照してください。

制限事項

  • カスタマー マネージド キーは、新しい Azure ロード テスト リソースでのみ使用できます。 リソースの作成時にキーを構成する必要があります。

  • リソースでカスタマー マネージド キーの暗号化が一度有効になると、無効にすることはできません。

  • Azure Load Testing では、最新バージョンの暗号化キーを使用するために、カスタマー マネージド キーを自動的にローテーションすることはできません。 Azure Key Vault でキーがローテーションされた後、リソース内のキー URI を更新する必要があります。

Azure キー コンテナーを構成する

Azure Load Testing でカスタマー マネージド暗号化キーを使用するには、Azure Key Vault にキーを格納する必要があります。 既存のキー コンテナーを使用するか、新しく作成することができます。 ロード テスト リソースとキー コンテナーは、同じテナント内の異なるリージョンまたはサブスクリプションに存在する場合があります。

カスタマーマネージド暗号化キーを使用する場合は、必ず次のキー コンテナー設定を構成してください。

キー コンテナーのネットワーク設定を構成する

ファイアウォールまたは仮想ネットワークによって Azure Key Vault へのアクセスを制限した場合は、カスタマーマネージド キーを取得するために Azure Load Testing へのアクセスを許可する必要があります。 次の手順に従って、信頼された Azure サービスへのアクセスを許可します。

重要

現在、アクセス制限があるプライベート Azure キー コンテナーからのカスタマーマネージド キーの取得は、US Gov バージニア リージョンではサポートされていません。

論理的な削除と消去保護の構成

Azure Load Testing でカスタマー マネージド キーを使用するには、キー コンテナーで [論理的な削除][消去保護] のプロパティを設定する必要があります。 新しいキー コンテナーを作成すると、論理的な削除は既定で有効になり、無効にすることはできません。 消去保護はいつでも有効にすることができます。 詳細については、Azure Key Vault での論理的な削除と消去保護に関するページを参照してください。

次の手順に従って論理的な削除が有効になっているかどうかを確認し、キー コンテナーで有効にします。 新しいキー コンテナーを作成したとき、論理的な削除は既定で有効に設定されます。

新しいキー コンテナーを作成する場合は、[消去保護を有効にする] 設定を選択することで、消去保護を有効にすることができます。

Azure portal での新しいキー コンテナーの作成時に消去保護を有効にする方法を示すスクリーンショット。

既存のキー コンテナーで消去保護を有効にするには、次の手順を実行します。

  1. Azure portal で、ご自身のキー コンテナーに移動します。
  2. [設定][プロパティ] を選択します。
  3. [消去保護] セクションで、 [消去保護を有効にします] を選択します。

カスタマーマネージド キーを Azure Key Vault に追加する

次に、キー コンテナーにキーを追加します。 Azure Load Testing 暗号化では、RSA キーがサポートされています。 Azure Key Vault でサポートされているキーの種類について詳しくは、「キーについて」を参照してください。

Azure portal を使用してキーを追加する方法を学習するには、「Azure portal を使用して Azure Key Vault との間でキーの設定と取得を行う」を参照してください。

キー コンテナーにアクセス ポリシーを追加する

カスタマーマネージド暗号化キーを使用する場合は、ユーザー割り当てマネージド ID を指定する必要があります。 Azure Key Vault でカスタマー マネージド キーにアクセスするためのユーザー割り当てマネージド ID には、キー コンテナーにアクセスするための適切なアクセス許可が必要です。

  1. Azure portal で、暗号化キーをホストするために使用しようとしている Azure キー コンテナー インスタンスに移動します。

  2. 左側のメニューの [アクセス ポリシー] を選択します。

    Azure portal でのキー コンテナーのアクセス ポリシー オプションを示すスクリーンショット。

  3. [+ アクセス ポリシーの追加] を選択します。

  4. [キーのアクセス許可] ドロップダウン メニューで、[取得][キーの折り返しを解除][キーを折り返す] アクセス許可を選択します。

    Azure Key Vault のアクセス許可を示すスクリーンショット。

  5. [プリンシパルの選択] で、[選択されていません] を選択します。

  6. 以前に作成したユーザー割り当てマネージド ID を検索し、一覧から選択します。

  7. 下部にある [選択] を選択します。

  8. [追加] を選択して新しいアクセス ポリシーを追加します。

  9. すべての変更を保存するには、キー コンテナー インスタンスで [保存] を選択します。

Azure Load Testing でカスタマーマネージド キーを使用する

カスタマーマネージド暗号化キーは、新しい Azure ロード テスト リソースを作成するときにのみ構成できます。 暗号化キーの詳細を指定する場合は、Azure Key Vault からキーを取得するために、ユーザー割り当てマネージド ID を選択する必要もあります。

新しいロード テスト リソースのカスタマー マネージド キーを構成するには、以下の手順に従います。

  1. Azure portal で Azure ロード テスト リソースを作成する手順に従って、[基本] タブのフィールドに入力します。

  2. [暗号化] タブに移動します。[暗号化の種類] フィールドで、[カスタマー マネージド キー (CMK)] を選択します。

  3. [キー URI] フィールドに、キー バージョンを含む Azure Key Vault キーの URI/キー識別子を貼り付けます。

  4. [ユーザー割り当て ID] フィールドで、既存のユーザー割り当てマネージド ID を選択します。

  5. [確認と作成] を選択して、新しいリソースを検証して作成します。

Azure ロード テスト リソースの作成時にカスタマーマネージド キー暗号化を有効にする方法を示すスクリーンショット。

暗号化キーを取得するためのマネージド ID を変更する

既存のロード テスト リソースのカスタマー マネージド キーのマネージド ID はいつでも変更できます。

  1. Azure portal で Azure ロード テスト リソースに移動します。

  2. [設定] ページで、[暗号化] を選択します。

    [暗号化の種類] には、ロード テスト リソースの作成に使用された暗号化の種類が表示されます。

  3. 暗号化の種類が [カスタマー マネージド キー] の場合は、キー コンテナーに対する認証に使用する ID の種類を選択します。 オプションには、[システム割り当て] (既定) または [ユーザー割り当て] があります。

    マネージド ID の種類の詳細については、「マネージド ID の種類」を参照してください。

    • [システム割り当て] を選択した場合は、カスタマー マネージド キーの ID を変更する前に、システム割り当てマネージド ID をリソースで有効にして、AKV へのアクセスを許可する必要があります。
    • [ユーザー割り当て] を選択した場合は、キー コンテナーへのアクセス許可を持つ既存のユーザー割り当て ID を選択する必要があります。 ユーザー割り当て ID を作成する方法については、「Azure Load Testing のプレビューにマネージド ID を使用する」を参照してください。
  4. 変更を保存。

既存の Azure ロード テスト リソースのカスタマーマネージド キーのマネージド ID を変更する方法を示すスクリーンショット。

重要

選択したマネージド ID に Azure Key Vault へのアクセス権が付与されていることを確認してください。

カスタマーマネージド暗号化キーの更新

Azure Load Testing 暗号化に使用しているキーは、いつでも変更できます。 Azure portal でキーを変更するには、次の手順を実行します。

  1. Azure portal で Azure ロード テスト リソースに移動します。

  2. [設定] ページで、[暗号化] を選択します。 [暗号化の種類] に、作成時にリソースに対して選択した暗号化が表示されます。

  3. 選択した暗号化の種類が [カスタマー マネージド キー] の場合は、新しいキー URI を使用して [キー URI] フィールドを編集できます。

  4. 変更を保存。

暗号化キーを交換する

Azure Key Vault のカスタマー マネージド キーは、お使いのコンプライアンス ポリシーに従ってローテーションすることができます。 キーをローテーションするには:

  1. Azure Key Vault で、キーのバージョンを更新するか、新しいキーを作成します。
  2. ロード テスト リソースのカスタマーマネージド暗号化キーを更新します。

よく寄せられる質問

カスタマー マネージド キーを有効にするために追加料金は発生しますか?

いいえ、この機能を有効にするためにかかる料金はありません。

カスタマー マネージド キーは既存の Azure ロード テスト リソースでサポートされますか?

この機能は現在、新しい Azure ロード テスト リソースでのみ使用できます。

Azure ロード テスト リソースでカスタマー マネージド キーが有効かどうかを確認するにはどうすればよいですか?

  1. Azure portal で Azure ロード テスト リソースに移動します。
  2. 左側のナビゲーション バーの [暗号化] 項目に移動します。
  3. リソースの [暗号化の種類] を確認できます。

暗号化キーを失効させるにはどうすればよいですか?

Azure Key Vault で最新バージョンのキーを無効にすることで、キーを失効させることができます。 あるいは、キー コンテナー インスタンスからすべてのキーを失効させるために、ロード テスト リソースのマネージド ID に許可されているアクセス ポリシーを削除することもできます。

暗号化キーを失効させる際、約 10 分間テストを実行でき、その後、使用可能な操作はリソースの削除のみになります。 キーを失効させる代わりにローテーションして、リソース セキュリティを管理し、データを保持することをお勧めします。