Azure portal を使用して、マネージド ディスクでカスタマー マネージド キーを使用し、サーバー側の暗号化を有効にする

適用対象: ✔️ Linux VM ✔️ Windows VM ✔️

Azure Disk Storage を使用すると、選択した場合は、マネージド ディスクにサーバー側の暗号化 (SSE) を使用しているときに独自のキーを管理できます。 カスタマー マネージド キーを使用する SSE とその他のマネージド ディスクの暗号化の概念については、ディスクの暗号化の記事の「カスタマー マネージド キー」セクションを参照してください (カスタマー マネージド キー)

制限

現在、カスタマー マネージド キーには次の制限があります。

  • 増分スナップショットを含むディスクに対してこの機能が有効になっている場合、そのディスクまたはそのスナップショットでこれを無効にすることはできません。 これを回避するには、カスタマー マネージド キーを使用していないまったく別のマネージド ディスクにすべてのデータをコピーします。 これは Azure CLI または Azure PowerShell モジュールのいずれかで行うことができます。
  • 2,048 ビット、3,072 ビットおよび 4,096 ビットのサイズのソフトウェアと HSM の RSA キーのみがサポートされており、その他のキーまたはサイズはサポートされていません。
    • HSM キーには、premium レベルの Azure Key Vault が必要です。
  • Ultra Disks と Premium SSD v2 ディスクの場合のみ:
    • サーバー側の暗号化とカスタマー マネージド キーで暗号化されたディスクから作成されたスナップショットは、同じカスタマー マネージド キーを使用して暗号化する必要があります。
    • カスタマー マネージド キーで暗号化された Ultra Disks と Premium SSD v2 ディスクに対しては、ユーザー割り当てマネージド ID がサポートされません。
  • お使いのカスタマー マネージド キー (ディスク暗号化セット、VM、ディスク、およびスナップショット) に関連するほとんどのリソースは、同じサブスクリプションとリージョンに存在する必要があります。
    • Azure Key Vault は異なるサブスクリプションから使用できますが、ディスク暗号化セットと同じリージョンに存在する必要があります。 プレビューとして、別の Microsoft Entra テナントから Azure Key Vault を使用できます。
  • カスタマー マネージド キーで暗号化されたディスクは、それらが接続されている VM の割り当てが解除された場合にのみ、別のリソース グループに移動できます。
  • カスタマー マネージド キーで暗号化されたディスク、スナップショット、およびイメージは、サブスクリプション間で移動できません。
  • 現在または以前に Azure Disk Encryption を使用して暗号化されたマネージド ディスクは、カスタマー マネージド キーを使用して暗号化することはできません。
  • サブスクリプションごとに、リージョンに最大で 5000 のディスク暗号化セットのみを作成できます。
  • カスタマー マネージド キーを共有イメージ ギャラリーで使用する方法の詳細については、「プレビュー:イメージの暗号化にカスタマー マネージド キーを使用する」を参照してください。

以下のセクションには、マネージド ディスクに対してカスタマー マネージド キーを有効にして使用する方法が含まれています。

ディスクにカスタマー マネージド キーを設定する作業を初めて実行するときは、特定の順序でリソースを作成する必要があります。 最初に、Azure Key Vault の作成と設定を行う必要があります。

Azure Key Vault のセットアップ

  1. Azure portal にサインインします。

  2. **[キー コンテナー]** を検索して選択します。

    Screenshot of the Azure portal with the search dialog box expanded.

    重要

    デプロイを成功させるには、ディスク暗号化セット、VM、ディスク、スナップショットがすべて同じリージョンとサブスクリプションに存在している必要があります。 Azure Key Vault は異なるサブスクリプションから使用できますが、リージョンとテナントをディスク暗号化セットと同じにする必要があります。

  3. **[+ 作成]** を選択して、新しいキー コンテナーを作成します。

  4. 新しいリソース グループを作成します。

  5. キー コンテナー名を入力し、リージョンを選択して、価格レベルを選択します。

    Note

    Key Vault インスタンスを作成する場合、論理的な削除と消去保護を有効にする必要があります。 論理的な削除では、Key Vault は削除されたキーを特定の保持期間 (既定では90日) にわたって保持します。 消去保護では、保持期間が経過するまで、削除されたキーを完全に削除できないようになります。 これらの設定は、誤って削除したためにデータが失われるのを防ぎます。 これらの設定は、Key Vault を使用してマネージド ディスクを暗号化する場合は必須です。

  6. **[確認および作成]** を選択し、選択内容を確認してから、 **[作成]** を選択します。

    Screenshot of the Azure Key Vault creation experience, showing the particular values you create.

  7. キー コンテナーのデプロイが完了したら、それを選択します。

  8. [オブジェクト][キー] を選択します。

  9. [Generate/Import](生成/インポート) を選択します。

    Screenshot of the Key Vault resource settings pane, shows the generate/import button inside settings.

  10. **[キーの種類]****[RSA]****[RSA キー サイズ]****[2048]** に設定されているので、どちらもそのままにしておきます。

  11. 必要に応じて残りの選択項目を入力したら、 **[作成]** を選択します。

    Screenshot of the create a key pane that appears once generate/import button is selected.

Azure RBAC ロールを追加する

Azure キー コンテナーとキーを作成したら、Azure RBAC ロールを追加して、ディスク暗号化セットで Azure キー コンテナーを使用できるようにする必要があります。

  1. **[アクセス制御 (IAM)]** を選択し、ロールを追加します。
  2. **Key Vault Administrator(キー コンテナー管理者)****所有者**、または **共同作成者** のいずれかのロールを追加します。

ディスク暗号化セットを設定する

  1. **ディスク暗号化セット**を検索して選択します。

  2. [ディスク暗号化セット] ペインで、[+ 作成] を選択します。

  3. リソース グループを選択し、暗号化セットに名前を付け、キー コンテナーと同じリージョンを選択します。

  4. [暗号化の種類] で、 [カスタマー マネージド キーを使用した保存時の暗号化] を選択します。

    Note

    特定の種類の暗号化を使用してディスク暗号化セットを作成すると、そのセットを変更することはできません。 別の種類の暗号化を使用したい場合は、新しいディスク暗号化セットを作成する必要があります。

  5. [Azure キー コンテナーとキーの選択] が選択されていることを確認します。

  6. 以前に作成したキー コンテナーとキー、およびバージョンを選択します。

  7. [カスタマー マネージド キーの自動ローテーション](../articles/virtual-machines/disk-encryption.md#automatic-key-rotation-of-customer-managed-keys)を有効にする場合は、 **[Auto key rotation (自動キー ローテーション)]** を選択します。

  8. [確認および作成][作成] の順に選択します。

    Screenshot of the disk encryption creation pane. Showing the subscription, resource group, disk encryption set name, region, and key vault + key selector.

  9. デプロイされたディスク暗号化セットに移動し、表示されたアラートを選択します。

    Screenshot of user selecting the 'To associate a disk, image, or snapshot with this disk encryption set, you must grant permissions to the key vault' alert.

  10. これにより、キー コンテナーのアクセス許可がディスク暗号化セットに付与されます。

    Screenshot of confirmation that permissions have been granted.

VM をデプロイする

キー コンテナーとディスク暗号化セットの作成と設定が完了したので、暗号化を使用して VM をデプロイできます。 VM のデプロイ プロセスは標準的なデプロイ プロセスと似ています。唯一の違いは、VM を他のリソースと同じリージョンにデプロイしたうえで、カスタマー マネージド キーを使用する必要があることです。

  1. Virtual Machines」で検索し、[+ 作成] を選択して、VM を作成します。

  2. [基本] ペインで、ディスク暗号化セットおよび Azure Key Vault と同じリージョンを選択します。

  3. [基本] ペインで、必要に応じてその他の値を入力します。

    Screenshot of the VM creation experience, with the region value highlighted.

  4. [ディスク] ペインの [キー管理] で、ドロップダウンからディスク暗号化セット、キー コンテナー、およびキーを選択します。

  5. 必要に応じて、残りの選択を行います。

    Screenshot of the VM creation experience, the disks pane, customer-managed key selected.

既存のディスクで有効にする

注意事項

VM にアタッチされているディスクでディスク暗号化を有効にするには、VM を停止する必要があります。

  1. 使用しているディスク暗号化セットのいずれかと同じリージョンにある VM に移動します。

  2. VM を開き、 [停止] を選択します。

    Screenshot of the main overlay for your example VM, with the Stop button highlighted.

  3. VM の停止が完了した後に、[ディスク] を選択し、暗号化するディスクを選択します。

    Screenshot of your example VM, with the Disks pane open, the OS disk is highlighted, as an example disk for you to select.

  4. [暗号化] を選択し、[キー管理]で、[カスタマー マネージド キー] のドロップダウン リストからキー コンテナーとキーを選択します。

  5. [保存] を選択します。

    Screenshot of your example OS disk, the encryption pane is open, encryption at rest with a customer-managed key is selected, as well as your example Azure Key Vault.

  6. 暗号化する VM にアタッチされている他のすべてのディスクに対して、このプロセスを繰り返します。

  7. 使用するディスクでカスタマー マネージド キーへの切り替えが完了し、暗号化するアタッチ済みディスクが他になくなったら、VM を起動します。

重要

カスタマー マネージド キーは、Microsoft Entra ID の 1 つの機能である、Azure リソース用マネージド ID に依存します。 カスタマー マネージド キーを構成すると、内部でマネージド ID がリソースに自動的に割り当てられます。 その後、サブスクリプション、リソース グループ、またはマネージド ディスクを 1 つの Microsoft Entra ディレクトリから別のディレクトリに移動した場合、そのマネージド ディスクに関連付けられているマネージド ID は新しいテナントに転送されないため、カスタマー マネージド キーが機能しなくなることがあります。 詳しくは、「Microsoft Entra ディレクトリ間のサブスクリプションの転送」を参照してください。

既存のディスク暗号化セットでキーの自動キー交換を有効にする

  1. 自動キー交換を有効にしたいディスク暗号化セットに移動します。
  2. [設定][キー] を選択します。
  3. [自動キー交換] を選択し、 [保存] を選択します。

次のステップ