Azure Key Vault で Azure Load Testing のカスタマー マネージド キーを構成する

Azure Load Testing は、ロード テスト リソースに格納されているすべてのデータを、Microsoft が提供するキー (サービスマネージド キー) で自動的に暗号化します。 必要に応じて、独自の (カスタマー マネージド) キーも提供することで、2 番目のセキュリティ層を追加できます。 カスタマー マネージド キーは、アクセスを制御し、キー ローテーション ポリシーを使用する際の柔軟性を高めます。

提供されたキーは、Azure Key Vault を使用して安全に保存されます。 カスタマー マネージド キーを使用して有効にする Azure ロード テスト リソースごとに、個別のキーを作成できます。

カスタマー マネージド暗号化キーを使用する場合は、Azure Key Vault からキーを取得するために、ユーザー割り当てマネージド ID を指定する必要があります。

Azure Load Testing では、カスタマー マネージド キーを使用して、ロード テスト リソース内の次のデータを暗号化します。

• テスト スクリプトと構成ファイル
• シークレット
• 環境変数

Note

Azure Load Testing では、JMeter スクリプトで指定した JMeter メトリック サンプラー名を含むカスタマー マネージド キーを使用して、テスト実行のメトリック データを暗号化しません。 Microsoft は、このメトリック データにアクセスできます。

前提条件

• アクティブなサブスクリプションが含まれる Azure アカウント。 Azure サブスクリプションをお持ちでない場合は、始める前に無料アカウントを作成してください。

• 既存のユーザー割り当てマネージド ID。 ユーザー割り当てマネージド ID を作成する方法の詳細については、「ユーザー割り当てマネージド ID の管理」を参照してください。

制限事項

• カスタマー マネージド キーは、新しい Azure ロード テスト リソースでのみ使用できます。 リソースの作成時にキーを構成する必要があります。

• リソースでカスタマー マネージド キーの暗号化が一度有効になると、無効にすることはできません。

• Azure Load Testing では、最新バージョンの暗号化キーを使用するために、カスタマー マネージド キーを自動的にローテーションすることはできません。 Azure Key Vault でキーがローテーションされた後、リソース内のキー URI を更新する必要があります。

Azure キー コンテナーを構成する

Azure Load Testing でカスタマー マネージド暗号化キーを使用するには、Azure Key Vault にキーを格納する必要があります。 既存のキー コンテナーを使用するか、新しいキー コンテナーを作成できます。 ロード テスト リソースとキー コンテナーは、同じテナント内の異なるリージョンまたはサブスクリプションに存在する場合があります。

カスタマー マネージド暗号化キーを使用する場合は、必ず次のキー コンテナー設定を構成してください。

キー コンテナーのネットワーク設定を構成する

ファイアウォールまたは仮想ネットワークによって Azure Key Vault へのアクセスを制限した場合は、カスタマー マネージド キーを取得するために Azure Load Testing へのアクセスを許可する必要があります。 信頼できる Azure サービスへのアクセスを許可するには、次の手順に従います。

論理的な削除と消去の保護を構成する

Azure Load Testing でカスタマー マネージド キーを使用するには、キー コンテナーで [論理的な削除] と [消去保護] のプロパティを設定する必要があります。 新しいキー コンテナーを作成すると、論理的な削除は既定で有効になり、無効にすることはできません。 消去保護はいつでも有効にすることができます。 詳細については、Azure Key Vault での論理的な削除と消去保護に関するページを参照してください。

Azure Portal

次の手順に従って論理的な削除が有効になっているかどうかを確認し、キー コンテナーで有効にします。 新しいキー コンテナーを作成したとき、論理的な削除は既定で有効に設定されます。

新しいキー コンテナーを作成する場合は、[消去保護を有効にする] 設定を選択することで、消去保護を有効にすることができます。

既存のキー コンテナーで消去保護を有効にするには、次の手順を実行します。

1. Azure portal で、ご自身のキー コンテナーに移動します。
2. [設定] の [プロパティ] を選択します。
3. [消去保護] セクションで、 [消去保護を有効にします] を選択します。

PowerShell

PowerShell を使用して新しいキー コンテナーを作成するには、バージョン 2.0.0 以降の Az.KeyVault PowerShell モジュールをインストールします。 次に、New-AzKeyVault を呼び出して新しいキー コンテナーを作成します。 バージョン 2.0.0 以降の Az.KeyVault モジュールでは、新しいキー コンテナーを作成するときには、既定で、論理的な削除が有効になります。

次の例では、論理的な削除と消去保護の両方を有効にして新しいキー コンテナーを作成しています。 角かっこ内のプレースホルダー値を独自の値で置き換えてください。

$keyVault = New-AzKeyVault -Name <key-vault-name> `
    -ResourceGroupName <resource-group> `
    -Location <location> `
    -EnablePurgeProtection

PowerShell を使用して既存のキー コンテナーで消去保護を有効にするには、次の手順を実行します。

Update-AzKeyVault -VaultName <key-vault-name> -ResourceGroupName <resource-group> -EnablePurgeProtection

Azure CLI

Azure CLI を使用して新しいキー コンテナーを作成するには、az keyvault create を呼び出します。 新しいキー コンテナーを作成したとき、論理的な削除は既定で有効に設定されます。

次の例では、論理的な削除と消去保護の両方を有効にして新しいキー コンテナーを作成しています。 角かっこ内のプレースホルダー値を独自の値で置き換えてください。

az keyvault create \
    --name <key-vault-name> \
    --resource-group <resource-group> \
    --location <region> \
    --enable-purge-protection

Azure CLI を使用して既存のキー コンテナーで消去保護を有効にするには、次の手順を実行します。

az keyvault update --subscription <subscription-id> -g <resource-group> -n <key-vault-name> --enable-purge-protection true

カスタマー マネージド キーを Azure Key Vault に追加する

次に、キー コンテナーにキーを追加します。 Azure Load Testing 暗号化では、RSA キーがサポートされています。 Azure Key Vault でサポートされているキーの種類について詳しくは、「キーについて」を参照してください。

Azure Portal

Azure portal を使用してキーを追加する方法を学習するには、「Azure portal を使用して Azure Key Vault との間でキーの設定と取得を行う」を参照してください。

PowerShell

PowerShell を使用してキーを追加するには、Add-AzKeyVaultKey を呼び出します。 角かっこ内のプレースホルダー値を独自の値に置き換え、前の例で定義した変数を使用してください。

$key = Add-AzKeyVaultKey -VaultName <key-vault-name> `
    -Name <key-name> `
    -Destination 'Software'

Azure CLI

Azure CLI を使用してキーを追加するには、az keyvault key create を呼び出します。 角かっこ内のプレースホルダー値を独自の値で置き換えてください。

az keyvault key create \
    --name <key-name> \
    --vault-name <key-vault-name>

キー コンテナーにアクセス ポリシーを追加する

カスタマー マネージド暗号化キーを使用する場合は、ユーザー割り当てマネージド ID を指定する必要があります。 Azure Key Vault でカスタマー マネージド キーにアクセスするためのユーザー割り当てマネージド ID には、キー コンテナーにアクセスするための適切なアクセス許可が必要です。

1. Azure portal で、暗号化キーをホストするために使用しようとしている Azure キー コンテナー インスタンスに移動します。

2. 左側のメニューの [アクセス ポリシー] を選択します。

   

3. [+ アクセス ポリシーの追加] を選択します。

4. [キーのアクセス許可] ドロップダウン メニューで、[取得]、[キーの折り返しを解除]、[キーを折り返す] アクセス許可を選択します。

   

5. [プリンシパルの選択] で、[選択されていません] を選択します。

6. 以前に作成したユーザー割り当てマネージド ID を検索し、一覧から選択します。

7. 下部にある [選択] を選択します。

8. [追加] を選択して新しいアクセス ポリシーを追加します。

9. すべての変更を保存するには、キー コンテナー インスタンスで [保存] を選択します。

Azure Load Testing でカスタマー マネージド キーを使用する

カスタマー マネージド暗号化キーは、新しい Azure ロード テスト リソースを作成するときにのみ構成できます。 暗号化キーの詳細を指定する場合は、Azure Key Vault からキーを取得するために、ユーザー割り当てマネージド ID を選択する必要もあります。

新しいロード テスト リソースのカスタマー マネージド キーを構成するには、以下の手順に従います。

Azure Portal

1. Azure portal で Azure ロード テスト リソースを作成する手順に従って、[基本] タブのフィールドに入力します。

2. [暗号化] タブに移動します。[暗号化の種類] フィールドで、[カスタマー マネージド キー (CMK)] を選択します。

3. [キー URI] フィールドに、キー バージョンを含む Azure Key Vault キーの URI/キー識別子を貼り付けます。

4. [ユーザー割り当て ID] フィールドで、既存のユーザー割り当てマネージド ID を選択します。

5. [確認と作成] を選択して、新しいリソースを検証して作成します。

PowerShell

PowerShell を使用して ARM テンプレートをデプロイし、Azure リソースの作成を自動化できます。 次のプロパティを追加することにより、暗号化が有効になっているカスタマー マネージド キーを使用して、Microsoft.LoadTestService/loadtests という種類の任意のリソースを作成できます。

"encryption": {
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678",
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            }

次のコード サンプルは、カスタマー マネージド キーを有効にしてロード テスト リソースを作成するための ARM テンプレートを示しています。

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2022-04-15-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "userassigned",
        "userAssignedIdentities": {
            "User assigned managed identity resource id": {}
        }
    },
    "properties": {
        "encryption": {
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            },
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678"
        }
    }
}

New-AzResourceGroupDeployment を使用して、上記のテンプレートをリソース グループにデプロイします。

New-AzResourceGroupDeployment -ResourceGroupName <resource-group-name> -TemplateFile <path-to-template>

Azure CLI

Azure CLI を使用して ARM テンプレートをデプロイし、Azure リソースの作成を自動化できます。 次のプロパティを追加することにより、暗号化が有効になっているカスタマー マネージド キーを使用して、Microsoft.LoadTestService/loadtests という種類の任意のリソースを作成できます。

"encryption": {
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678",
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            }

次のコード サンプルは、カスタマー マネージド キーを有効にしてロード テスト リソースを作成するための ARM テンプレートを示しています。

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2022-04-15-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "userassigned",
        "userAssignedIdentities": {
            "User assigned managed identity resource id": {}
        }
    },
    "properties": {
        "encryption": {
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            },
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678"
        }
    }
}

az deployment group create を使用して、上記のテンプレートをリソース グループにデプロイします。

az deployment group create --resource-group <resource-group-name> --template-file <path-to-template>

暗号化キーを取得するためのマネージド ID を変更する

既存のロード テスト リソースのカスタマー マネージド キーのマネージド ID はいつでも変更できます。

1. Azure portal で Azure ロード テスト リソースに移動します。

2. [設定] ページで、[暗号化] を選択します。

   [暗号化の種類] には、ロード テスト リソースの作成に使用された暗号化の種類が表示されます。

3. 暗号化の種類が [カスタマー マネージド キー] の場合は、キー コンテナーに対する認証に使用する ID の種類を選択します。 オプションには、[システム割り当て] (既定) または [ユーザー割り当て] があります。

   マネージド ID の種類の詳細については、「マネージド ID の種類」を参照してください。

   • [システム割り当て] を選択した場合は、カスタマー マネージド キーの ID を変更する前に、システム割り当てマネージド ID をリソースで有効にして、AKV へのアクセスを許可する必要があります。
   • [ユーザー割り当て] を選択した場合は、キー コンテナーへのアクセス許可を持つ既存のユーザー割り当て ID を選択する必要があります。 ユーザー割り当て ID を作成する方法については、「Azure Load Testing のプレビューにマネージド ID を使用する」を参照してください。

4. 変更を保存します。

重要

選択した マネージド ID が Azure Key Vault にアクセスできることを確認します。

カスタマー マネージド暗号化キーを更新する

Azure Load Testing 暗号化に使用しているキーは、いつでも変更できます。 Azure portal でキーを変更するには、次の手順を実行します。

1. Azure portal で Azure ロード テスト リソースに移動します。

2. [設定] ページで、[暗号化] を選択します。 [暗号化の種類] に、作成時にリソースに対して選択した暗号化が表示されます。

3. 選択した暗号化の種類が [カスタマー マネージド キー] の場合は、新しいキー URI を使用して [キー URI] フィールドを編集できます。

4. 変更を保存します。

暗号化キーを交換する

Azure Key Vault のカスタマー マネージド キーは、お使いのコンプライアンス ポリシーに従ってローテーションすることができます。 キーを回転するには:

1. Azure Key Vault で、キーのバージョンを更新するか、新しいキーを作成します。
2. ロード テスト リソースのカスタマー マネージド暗号化キー を更新します。

よく寄せられる質問

カスタマー マネージド キーを有効にするために追加料金は発生しますか?

いいえ、この機能を有効にするためにかかる料金はありません。

カスタマー マネージド キーは既存の Azure ロード テスト リソースでサポートされますか?

この機能は現在、新しい Azure ロード テスト リソースでのみ使用できます。

Azure ロード テスト リソースでカスタマー マネージド キーが有効かどうかを確認するにはどうすればよいですか?

1. Azure portal で Azure ロード テスト リソースに移動します。
2. 左側のナビゲーション バーの [暗号化] 項目に移動します。
3. リソースの [暗号化の種類] を確認できます。

暗号化キーを失効させるにはどうすればよいですか?

Azure Key Vault で最新バージョンのキーを無効にすることで、キーを失効させることができます。 あるいは、キー コンテナー インスタンスからすべてのキーを失効させるために、ロード テスト リソースのマネージド ID に許可されているアクセス ポリシーを削除することもできます。

暗号化キーを失効させる際、約 10 分間テストを実行でき、その後、使用可能な操作はリソースの削除のみになります。 キーを失効させる代わりにローテーションして、リソース セキュリティを管理し、データを保持することをお勧めします。

関連するコンテンツ

• サーバー側のアプリケーション メトリックを監視する方法を確認します。
• シークレットと環境変数を使用して ロード テストをパラメーター化する方法について説明します。