証明書、シークレット、キーのバックアップと回復を構成する

  • 7 分

Azure Key Vault は、可用性を維持し、データの損失を防ぐうえで役立つ機能を自動的に提供します。 業務上の正当かつ重要な理由がある場合にのみ、シークレットをバックアップするようにしてください。 キー コンテナーにシークレットをバックアップすると、シークレットの有効期限が切れたりシークレットのローテーションを行ったりした際に、ログ、アクセス許可、およびバックアップの一式を複数維持しなければならないなど、運用上の負担が発生します。

Key Vault を使用すると、障害状況下で可用性を維持し、ユーザーの介入なしに自動的に要求をペア リージョンにフェールオーバーできます。

不注意や悪意によってシークレットが削除されないようにする場合は、キー コンテナーに論理的な削除と消去保護の機能を構成します。

Key Vault では現在、キー コンテナー全体を 1 回の操作でバックアップすることはできません。 このドキュメントに記載されているコマンドを使用してキー コンテナーの自動バックアップを実行しようとするとエラーが発生する可能性があります。これは、Microsoft でも Azure Key Vault チームでもサポートしていません。

また、以下のような影響についても考慮してください。

  • 複数のバージョンがあるシークレットをバックアップすると、タイムアウト エラーが発生する可能性があります。
  • バックアップによって、ポイントインタイム スナップショットが作成されます。 バックアップ中にシークレットが更新された場合、暗号化キーの不一致が生じることがあります。
  • 1 秒あたりの要求数に関するキー コンテナー サービスの制限を超えると、キー コンテナーがスロットルされ、バックアップが失敗する原因となります。

設計上の考慮事項

キー コンテナー オブジェクト (シークレット、キー、証明書など) をバックアップすると、そのオブジェクトは、バックアップ操作によって、暗号化された BLOB としてダウンロードされます。 Azure の外部でこの BLOB の暗号化を解除することはできません。 この BLOB から有効なデータを取得するには、同じ Azure サブスクリプションと Azure 地域内のキー コンテナーに BLOB を復元する必要があります。

前提条件

キー コンテナー オブジェクトをバックアップするには、次のものが必要です。

  • Azure サブスクリプションに対する共同作成者レベル以上のアクセス許可。
  • バックアップ対象のシークレットを格納するプライマリ キー コンテナー。
  • シークレットの復元先となるセカンダリ キー コンテナー

Azure portal からのバックアップと復元

このセクションの手順に従い、Azure portal を使用してオブジェクトをバックアップおよび復元します。

バックアップ

  1. Azure ポータルにアクセスします。

  2. キー コンテナーを選択します。

  3. バックアップするオブジェクト (シークレット、キー、または証明書) に移動します。

  4. オブジェクトを選択します。

  5. [バックアップのダウンロード] を選択します。

  6. [Download] を選択します。

  7. 暗号化された BLOB を安全な場所に保存します。

復元

  1. Azure ポータルにアクセスします。

  2. キー コンテナーを選択します。

  3. 復元するオブジェクトの種類 (シークレット、キー、または証明書) に移動します。

  4. [バックアップの復元] を選択します。

  5. 暗号化された BLOB の保存先に移動します。

  6. [OK] を選択します。