Azure ページ BLOB 接続文字列の保護

  • [アーティクル]

Azure ページ BLOB は、プロファイル コンテナーまたは ODFC コンテナーの Cloud Cache 構成で使用されます。 Cloud Cache は、REST API 経由で HTTPS プロトコルを使用して BLOB に接続します。 この接続には、接続文字列にフォーマットされたストレージ アカウントのアクセス キーが必要です。 この接続文字列を使用すると、ストレージ アカウント全体にアクセスできます。 この情報を知ると、考慮が必要なセキュリティリスクが露呈されることになります。

FSLogix は、frx コマンドライン ユーティリティを使用してこの情報を仮想マシンの Credential Manager ストアに追加することで、この情報を保護します。

前提条件

  • Azure ページ BLOB ストレージのアカウントの作成。
  • Azure PowerShell モジュールのインポートおよびインストール。
  • 最新バージョンの FSLogix のダウンロードおよびインストール
  • frx コマンド ライン ユーティリティ リファレンスの確認

Azure ページ BLOB ストレージ アカウントの接続文字列を検索する

  1. [スタート] を選択します。

  2. [スタート] メニューに直接、「powershell」と入力します。

  3. メニューから [管理者として実行] を選択します。

    powershell start

  4. Azure にサインインします。

    Connect-AzAccount

  5. Azure コンテキストに変更して、ストレージ アカウントを含むサブスクリプションに変更します。

    Set-AzContext -Subscription <subscription name or id>

  6. ストレージ アカウントの接続文字列を取得します。

    $ResourceGroupName = "<resource-group-name>"
$StorageAccountName = "<storage-account-name>"
$StorageAccount = Get-AzStorageAccount -ResourceGroupName $ResourceGroupName -Name $StorageAccountName
$ConnectionString = $StorageAccount.Context.ConnectionString

    powershell get connection string

資格情報マネージャーに Azure ページ BLOB 接続文字列を追加する

  1. Azure ページ BLOB ストレージ アカウントの接続文字列を検索する」で使用したものと同じ PowerShell セッションを使用します。

  2. frx コマンド add-secure-key使用して、資格情報マネージャーに接続文字列を追加します。

    & "C:\Program Files\FSLogix\Apps\frx.exe" add-secure-key -key <custom-key-name> -value $ConnectionString

  3. frx コマンド list-secure-key使用して、正常に追加されたことを確認します。

    & "C:\Program Files\FSLogix\Apps\frx.exe" list-secure-key

    powershell add list secure key

セキュリティで保護されたキーを CCDLocations で使用する

Cloud Cache では、CCDLocations を使用してストレージ プロバイダーの一覧を取得します。 Azure ページ BLOB の指定に使用される文字列は、特定の形式に従う必要があります。

  • type=azure,name=<optional-name>,connectionString="|fslogix/<key-name>|"

Credential Manager に保存されるキーは、|fslogix/<key-name>| を使用して参照する必要があります。接続文字列の一部は、frx コマンドライン ユーティリティを使用して作成された安全なキーに置き換えることになる場合があります。

Credential Manager から Azure ページ BLOB 接続文字列を削除する

  1. Azure ページ BLOB ストレージ アカウントの接続文字列を検索する」で使用したものと同じ PowerShell セッションを使用します。

  2. frx コマンド del-secure-key使用して、Credential Manager からセキュア キーを削除します。

    & "C:\Program Files\FSLogix\Apps\frx.exe" del-secure-key -key <custom-key-name>

  3. frx コマンド list-secure-key使用して、正常に削除されたことを確認します。

    & "C:\Program Files\FSLogix\Apps\frx.exe" list-secure-key