Azure portal を使用して、マネージド ディスクでカスタマー マネージド キーを使用し、サーバー側の暗号化を有効にする

  • [アーティクル]

適用対象: ✔️ Linux VM ✔️ Windows VM ✔️

Azure Disk Storage を使用すると、選択した場合は、マネージド ディスクにサーバー側の暗号化 (SSE) を使用しているときに独自のキーを管理できます。 カスタマー マネージド キーを使用する SSE とその他のマネージド ディスクの暗号化の概念については、ディスクの暗号化の記事の「カスタマー マネージド キー」セクションを参照してください (カスタマー マネージド キー)

制限

現在、カスタマー マネージド キーには次の制限があります。

  • 増分スナップショットを含むディスクに対してこの機能が有効になっている場合、そのディスクまたはそのスナップショットでこれを無効にすることはできません。 これを回避するには、カスタマー マネージド キーを使用していないまったく別のマネージド ディスクにすべてのデータをコピーします。 これは Azure CLI または Azure PowerShell モジュールのいずれかで行うことができます。
  • 2,048 ビット、3,072 ビットおよび 4,096 ビットのサイズのソフトウェアと HSM の RSA キーのみがサポートされており、その他のキーまたはサイズはサポートされていません。
    • HSM キーには、premium レベルの Azure Key Vault が必要です。
  • Ultra Disks および Premium SSD v2 の場合のみ: サーバー側の暗号化とカスタマー マネージド キーで暗号化されたディスクから作成されたスナップショットは、同じカスタマー マネージド キーを使用して暗号化する必要があります。
  • お使いのカスタマー マネージド キー (ディスク暗号化セット、VM、ディスク、およびスナップショット) に関連するほとんどのリソースは、同じサブスクリプションとリージョンに存在する必要があります。
    • Azure Key Vault は異なるサブスクリプションから使用できますが、ディスク暗号化セットと同じリージョンに存在する必要があります。 プレビューとして、さまざまな Azure Active Directory テナントから Azure Key Vault を使用できます。
  • カスタマー マネージド キーで暗号化されたディスクは、それらが接続されている VM の割り当てが解除された場合にのみ、別のリソース グループに移動できます。
  • カスタマー マネージド キーで暗号化されたディスク、スナップショット、およびイメージは、サブスクリプション間で移動できません。
  • 現在または以前に Azure Disk Encryption を使用して暗号化されたマネージド ディスクは、カスタマー マネージド キーを使用して暗号化することはできません。
  • サブスクリプションごとに、リージョンに最大で 5000 のディスク暗号化セットのみを作成できます。
  • カスタマー マネージド キーを共有イメージ ギャラリーで使用する方法の詳細については、「プレビュー:イメージの暗号化にカスタマー マネージド キーを使用する」を参照してください。

以下のセクションには、マネージド ディスクに対してカスタマー マネージド キーを有効にして使用する方法が含まれています。

ディスクにカスタマー マネージド キーを設定する作業を初めて実行するときは、特定の順序でリソースを作成する必要があります。 最初に、Azure Key Vault の作成と設定を行う必要があります。

Azure Key Vault のセットアップ

  1. Azure Portal にサインインします。

  2. **[キー コンテナー]** を検索して選択します。

    検索ダイアログ ボックスが展開されている Azure portal のスクリーンショット。

    重要

    デプロイを成功させるには、ディスク暗号化セット、VM、ディスク、スナップショットがすべて同じリージョンとサブスクリプションに存在している必要があります。 Azure Key Vault は異なるサブスクリプションから使用できますが、リージョンとテナントをディスク暗号化セットと同じにする必要があります。

  3. **[+ 作成]** を選択して、新しいキー コンテナーを作成します。

  4. 新しいリソース グループを作成します。

  5. キー コンテナー名を入力し、リージョンを選択して、価格レベルを選択します。

    Note

    Key Vault インスタンスを作成する場合、論理的な削除と消去保護を有効にする必要があります。 論理的な削除では、Key Vault は削除されたキーを特定の保持期間 (既定では90日) にわたって保持します。 消去保護では、保持期間が経過するまで、削除されたキーを完全に削除できないようになります。 これらの設定は、誤って削除したためにデータが失われるのを防ぎます。 これらの設定は、Key Vault を使用してマネージド ディスクを暗号化する場合は必須です。

  6. **[確認および作成]** を選択し、選択内容を確認してから、 **[作成]** を選択します。

    Azure Key Vault の作成エクスペリエンスのスクリーンショット。作成する個々の値が表示されています。

  7. キー コンテナーのデプロイが完了したら、それを選択します。

  8. [オブジェクト][キー] を選択します。

  9. [Generate/Import](生成/インポート) を選択します。

    Key Vault のリソース設定ペインのスクリーンショット。設定内で [生成/インポート] ボタンが表示されています。

  10. **[キーの種類]****[RSA]****[RSA キー サイズ]****[2048]** に設定されているので、どちらもそのままにしておきます。

  11. 必要に応じて残りの選択項目を入力したら、 **[作成]** を選択します。

    [生成/インポート] ボタンを選択すると表示される [キーの作成] ペインのスクリーンショット。

Azure RBAC ロールを追加する

Azure キー コンテナーとキーを作成したら、Azure RBAC ロールを追加して、ディスク暗号化セットで Azure キー コンテナーを使用できるようにする必要があります。

  1. **[アクセス制御 (IAM)]** を選択し、ロールを追加します。
  2. **Key Vault Administrator(キー コンテナー管理者)****所有者**、または **共同作成者** のいずれかのロールを追加します。

ディスク暗号化セットを設定する

  1. **ディスク暗号化セット**を検索して選択します。

  2. [ディスク暗号化セット] ペインで、[+ 作成] を選択します。

  3. リソース グループを選択し、暗号化セットに名前を付け、キー コンテナーと同じリージョンを選択します。

  4. [暗号化の種類] で、 [カスタマー マネージド キーを使用した保存時の暗号化] を選択します。

    Note

    特定の種類の暗号化を使用してディスク暗号化セットを作成すると、そのセットを変更することはできません。 別の種類の暗号化を使用したい場合は、新しいディスク暗号化セットを作成する必要があります。

  5. [Azure キー コンテナーとキーの選択] が選択されていることを確認します。

  6. 以前に作成したキー コンテナーとキー、およびバージョンを選択します。

  7. [カスタマー マネージド キーの自動ローテーション](../articles/virtual-machines/disk-encryption.md#automatic-key-rotation-of-customer-managed-keys)を有効にする場合は、 **[Auto key rotation (自動キー ローテーション)]** を選択します。

  8. [確認および作成][作成] の順に選択します。

    ディスク暗号化作成ペインのスクリーンショット。サブスクリプション、リソース グループ、ディスク暗号化セット名、リージョン、キー コンテナーとキーのセレクターが表示されています。

  9. デプロイされたディスク暗号化セットに移動し、表示されたアラートを選択します。

    ユーザーが [このディスク暗号化セットにディスク、イメージ、またはスナップショットを関連付けるには、キー コンテナーにアクセス許可を付与する必要があります] アラートを選択するスクリーンショット。

  10. これにより、キー コンテナーのアクセス許可がディスク暗号化セットに付与されます。

    アクセス許可が付与されたことを確認するスクリーンショット。

VM をデプロイする

キー コンテナーとディスク暗号化セットの作成と設定が完了したので、暗号化を使用して VM をデプロイできます。 VM のデプロイ プロセスは標準的なデプロイ プロセスと似ています。唯一の違いは、VM を他のリソースと同じリージョンにデプロイしたうえで、カスタマー マネージド キーを使用する必要があることです。

  1. Virtual Machines」で検索し、[+ 作成] を選択して、VM を作成します。

  2. [基本] ペインで、ディスク暗号化セットおよび Azure Key Vault と同じリージョンを選択します。

  3. [基本] ペインで、必要に応じてその他の値を入力します。

    リージョンの値が強調表示されている、VM 作成エクスペリエンスのスクリーンショット。

  4. [ディスク] ペインの [キー管理] で、ドロップダウンからディスク暗号化セット、キー コンテナー、およびキーを選択します。

  5. 必要に応じて、残りの選択を行います。

    VM 作成エクスペリエンスのスクリーンショット。[ディスク] ペインでカスタマー マネージド キーが選択されています。

既存のディスクで有効にする

注意事項

VM にアタッチされているディスクでディスク暗号化を有効にするには、VM を停止する必要があります。

  1. 使用しているディスク暗号化セットのいずれかと同じリージョンにある VM に移動します。

  2. VM を開き、 [停止] を選択します。

    [停止] ボタンが強調表示された、サンプル VM のメイン オーバーレイのスクリーンショット。

  3. VM の停止が完了した後に、[ディスク] を選択し、暗号化するディスクを選択します。

    [ディスク] ペインが開いた状態のサンプル VM のスクリーンショット。選択するディスクの例として、OS ディスクが強調表示されています。

  4. [暗号化] を選択し、[キー管理]で、[カスタマー マネージド キー] のドロップダウン リストからキー コンテナーとキーを選択します。

  5. [保存] を選択します。

    サンプル OS ディスクのスクリーンショット。[暗号化] ペインが開いており、[カスタマー マネージド キーを使用した保存時の暗号化] が選択され、Azure Key Vault の例が表示されています。

  6. 暗号化する VM にアタッチされている他のすべてのディスクに対して、このプロセスを繰り返します。

  7. 使用するディスクでカスタマー マネージド キーへの切り替えが完了し、暗号化するアタッチ済みディスクが他になくなったら、VM を起動します。

重要

カスタマー マネージド キーは、Azure Active Directory (Azure AD) の 1 つの機能である Azure リソース用マネージド ID に依存します。 カスタマー マネージド キーを構成すると、内部でマネージド ID がリソースに自動的に割り当てられます。 その後、サブスクリプション、リソース グループ、またはマネージド ディスクを 1 つの Azure AD ディレクトリから別のディレクトリに移動した場合、そのマネージド ディスクに関連付けられているマネージド ID は新しいテナントに転送されないため、カスタマー マネージド キーが機能しなくなることがあります。 詳細については、「Azure AD ディレクトリ間のサブスクリプションの転送」を参照してください。

既存のディスク暗号化セットでキーの自動キー交換を有効にする

  1. 自動キー交換を有効にしたいディスク暗号化セットに移動します。
  2. [設定][キー] を選択します。
  3. [自動キー交換] を選択し、 [保存] を選択します。

次のステップ