カスタマー マネージド キーの概要
Azure Container Registry では、保存したイメージやその他の成果物を自動的に暗号化します。 既定では、Azure によって、サービス マネージド キーが使用され、保存されているレジストリ コンテンツが自動的に暗号化されます。 既定の暗号化を、カスタマー マネージド キーを使用する追加の暗号化レイヤーによって補完できます。
この記事は、4 部構成のチュートリアル シリーズのパート 1 です。 チュートリアルの内容:
- カスタマー マネージド キーの概要
- カスタマー マネージド キーを有効にする
- カスタマー マネージド キーのローテーションと取り消し
- カスタマー マネージド キーのトラブルシューティング
カスタマー マネージド キーの概要
カスタマー マネージド キーを使用すると、Azure Key Vault で独自のキーを使用するための所有権が得られます。 カスタマー マネージド キーを有効にすると、そのローテーションを管理し、それを使用するアクセスとアクセス許可を制御し、その使用を監査できます。
組み込まれている主な機能は次のとおりです。
規制コンプライアンス: Azure はサービスマネージド キーを使用して、保存されているレジストリ コンテンツを自動的に暗号化しますが、カスタマー マネージド キーの暗号化は、規制コンプライアンスのガイドラインを満たすのに役立ちます。
Azure Key Vault との統合: カスタマー マネージド キーでは、Azure Key Vault との統合を通じてサーバー側の暗号化をサポートします。 カスタマー マネージド キーを使用すると、独自の暗号化キーを作成し、キー コンテナーに格納できます。 このほか、Azure Key Vault API を使用してキーを生成することもできます。
キーのライフサイクル管理: カスタマー マネージド キーを Azure Key Vault と統合することで、ローテーションや管理など、キーのライフサイクルを完全に制御でき、責任も負うことになります。
カスタマー マネージド キーを有効にする前に
カスタマー マネージド キーを使用して Azure Container Registry を構成する前に、次の情報を考慮してください。
- この機能は、Premium サービス レベル コンテナー レジストリで使用できます。 詳細については、「Azure Container Registry サービス階層」を参照してください。
- 現在カスタマー マネージド キーを有効にできるのは、レジストリを作成するときだけです。
- レジストリでカスタマー マネージド キーを有効にした後に、暗号化を無効にすることはできません。
- "ユーザー割り当て" マネージド ID を、キー コンテナーにアクセスするように構成する必要があります。 後で、必要に応じて、キー コンテナーへのアクセス用にレジストリの "システム割り当て" マネージド ID を有効にすることができます。
- Azure Container Registry でサポートされているのは、RSA または RSA HSM キーのみです。 楕円曲線キーは現在サポートされていません。
- カスタマー マネージド キーで暗号化されたレジストリでは、Azure Container Registry タスクに関するログを 24 時間のみ保持できます。 それより長くログを保持するには、「タスク実行ログを表示および管理する」を参照してください。
- 現在、カスタマー マネージド キーで暗号化されたレジストリでは、コンテンツの信頼はサポートされていません。
カスタマー マネージド キーのバージョンを更新する
Azure Container Registry では、Azure Key Vault で新しいキー バージョンが利用可能になったときに、自動と手動の両方でレジストリ暗号化キーをローテーションできます。
重要
カスタマー マネージド キーの暗号化を使用するレジストリでは、キー バージョンを頻繁に更新 (ローテーション) することは重要なセキュリティ上の考慮事項です。 組織のコンプライアンス ポリシーに従って、カスタマー マネージド キーを Azure Key Vault に格納する一方で、キー バージョンを定期的に更新してください。
キー バージョンを自動的に更新する: バージョンなしのキーで暗号化されたレジストリの場合、Azure Container Registry により、キー コンテナーの新しいキーのバージョンが定期的に確認され、カスタマー マネージド キーが 1 時間以内に更新されます。 カスタマー マネージド キーを使用するレジストリ暗号化を有効にする場合は、キー バージョンを省略することをお勧めします。 Azure Container Registry は、最新のキー バージョンを自動的に使用して更新します。
キー バージョンを手動で更新する: レジストリが特定のキー バージョンで暗号化されている場合、カスタマー マネージド キーを手動でローテーションするまで、そのバージョンが Azure Container Registry で暗号化に使用されます。 カスタマー マネージド キーを使用するレジストリ暗号化を有効にする場合は、キー バージョンを指定することをお勧めします。 Azure Container Registry では、レジストリの暗号化に特定のバージョンのキーが使用されます。
詳細については、「キーの交換」と「キーのバージョンを更新する」を参照してください。
次のステップ
- Azure CLI、Azure portal、または Azure Resource Manager テンプレートを使用してカスタマー マネージド キーを使用してコンテナー レジストリを有効にするには、次の記事「カスタマー マネージド キーを有効にする」に進みます。
- Azure での保存時の暗号化についてさらに学習します。
- アクセス ポリシーと、キー コンテナーへのアクセスをセキュリティで保護する方法についてさらに学習します。