Azure Key Vault のカスタマー マネージド キーを Azure Data Box に使用する
Azure Data Box では、デバイスのロックに使用されるデバイス ロック解除キー (デバイス パスワードとも呼ばれる) が暗号化キーで保護されます。 既定では、この暗号化キーは Microsoft マネージド キーです。 制御を強化するために、カスタマー マネージド キーを使用できます。
カスタマー マネージド キーを使用しても、デバイス上のデータの暗号化方法には影響しません。 デバイスのロック解除キーの暗号化方法にのみ影響します。
注文プロセス全体でこのレベルの制御を維持するには、注文を作成するときにカスタマー マネージド キーを使用します。 詳細については、「チュートリアル: Azure Data Box を注文する」を参照してください。
この記事では、Azure portal で、カスタマー マネージド キーを既存の Data Box の注文で有効にする方法について説明します。 現在のカスタマー マネージド キーのキーコンテナー、キー、バージョン、または ID を変更する方法、および Microsoft マネージド キーの使用に戻す方法について知ることができます。
この記事は、Azure Data Box と Azure Data Box Heavy の両方のデバイスに適用されます。
要件
Data Box 注文用のカスタマー マネージド キーは、次の要件を満たしている必要があります。
- キーは、[論理的な削除] と [消去しない] が有効になっている Azure Key Vault で作成および保存する必要があります。 詳細については、「 Azure Key Vault とは」を参照してください。 キー コンテナーとキーは、注文を作成または更新する際に作成できます。
- これは、サイズが 2048 以上の RSA キーにする必要があります。
- Azure Key Vault 内のキーに対する
Get、UnwrapKey、WrapKeyのアクセス許可を有効にする必要があります。 アクセス許可は、注文の有効期間にわたって存続している必要があります。 そうしないと、データのコピー フェーズの開始時に、カスタマー マネージド キーにアクセスできません。
キーを有効にする
Azure portal で、カスタマー マネージド キーを既存の Data Box の注文で有効にするには、次の手順を実行します。
Data Box の注文の [概要] 画面に移動します。
![Data Box の注文の [概要] 画面 - 1](media/data-box-customer-managed-encryption-key-portal/customer-managed-key-1.png)
[設定] > [暗号化] と移動し、[カスタマー マネージド キー] を選択します。 次に、[キーとキー コンテナーを選択する] を選択します。
[Azure Key Vault からのキーの選択] 画面で、サブスクリプションが自動的に設定されます。
[キー コンテナー] で、ドロップダウン リストから既存のキー コンテナーを選択するか、[新規作成] を選択して新しいキー コンテナーを作成することができます。
![カスタマー マネージド キーを選択する際の [キー コンテナー] オプション](media/data-box-customer-managed-encryption-key-portal/customer-managed-key-3-a.png)
新しいキー コンテナーを作成するには、サブスクリプション、リソース グループ、キー コンテナー名、その他の情報を [新しい Key Vault の作成] 画面に入力します。 [回復オプション] で、[論理的な削除] と消去保護が有効になっていることを確認します。 次に、レビュー + 作成 を選択します。
キー コンテナーの情報を確認し、 [作成] を選択します。 キー コンテナーの作成が完了するまで数分待ちます。
[Azure Key Vault からのキーの選択] 画面で、キーコンテナーから既存のキーを選択するか、新しいキーを作成することができます。
新しいキーを作成する場合は、[新規作成] を選択します。 RSA キーを使用する必要があります。 サイズは 2,048 以上にすることができます。
新しいキーの名前を入力し、他の既定値をそのまま使用して、 [作成] を選択します。 キー コンテナー内にキーが作成されたことが通知されます。
[バージョン] で、ドロップダウン リストから既存のキーのバージョンを選択できます。
新しいキーのバージョンを生成する場合は、[新規作成] を選択します。
新しいキー バージョンの設定を選択し、 [作成] を選択します。
キー コンテナー、キー、およびキーのバージョンを選択したら、[選択] を選択します。
[暗号化の種類] の設定に、選択したキー コンテナーとキーが表示されます。
このリソースのカスタマー マネージド キーを管理するために使用する ID の種類を選択します。 注文の作成時に生成されたシステム割り当て ID を使用することも、ユーザー割り当て ID を選択することもできます。
ユーザー割り当て ID は、リソースへのアクセスの管理に使用できる独立したリソースです。 詳細については、マネージド ID の種類に関するページを参照してください。
ユーザー ID を割り当てるには、[ユーザー割り当て] を選択します。 次に、[ユーザー ID を選択する] を選択し、使用するマネージド ID を選択します。
ここでは、新しい ユーザー ID を作成することはできません。 作成方法については、「Azure portal を使用してユーザー割り当てマネージド ID を作成、一覧表示、削除したり、それにロールを割り当てたりする」を参照してください。
選択したユーザー ID が [暗号化の種類] の設定に表示されます。
![選択したユーザー ID が [暗号化の種類] の設定に表示される](media/data-box-customer-managed-encryption-key-portal/customer-managed-key-15.png)
[保存] を選択して、更新した暗号化の種類の設定を保存します。
キーの URL が、[暗号化の種類] の下に表示されます。
重要
キーに対する Get、UnwrapKey、WrapKey のアクセス許可を有効にする必要があります。 Azure CLI でアクセス許可を設定するには、az keyvault set-policy に関するページを参照してください。
キーの変更
現在使用しているカスタマー マネージド キーのキーコンテナー、キー、キーのバージョンを変更するには、次の手順を実行します。
Data Box の注文の [概要] 画面で、[設定] > [暗号化] の順に移動して、[キーの変更] をクリックします。
![カスタマー マネージド キーを使用した Data Box の注文の [概要] 画面 - 1](media/data-box-customer-managed-encryption-key-portal/customer-managed-key-16.png)
[別のキー コンテナーとキーを選択する] を選択します。
![Data Box の注文の [概要] 画面の [別のキーとキー コンテナーを選択する] オプション](media/data-box-customer-managed-encryption-key-portal/customer-managed-key-16-a.png)
[Key Vault からのキーの選択] 画面にはサブスクリプションが表示されますが、キー コンテナー、キー、またはキーのバージョンは表示されません。 次の変更を行うことができます。
同じキー コンテナーから別のキーを選択する。 キーとバージョンを選択する前に、キー コンテナーを選択する必要があります。
別のキー コンテナーを選択して、新しいキーを割り当てる。
現在のキーのバージョンを変更する。
変更が完了したら、[選択] を選択します。
[保存] を選択します。
重要
キーに対する Get、UnwrapKey、WrapKey のアクセス許可を有効にする必要があります。 Azure CLI でアクセス許可を設定するには、az keyvault set-policy に関するページを参照してください。
ID を変更する
この注文のカスタマー マネージド キーへのアクセスの管理に使用する ID を変更するには、以下の手順に従います。
完了した Data Box の注文の [概要] 画面で、[設定] > [暗号化] の順に移動します。
次のいずれかの変更を行います。
別のユーザー ID に変更するには、[別のユーザー ID を選択する] をクリックします。 次に、画面の右側にあるパネルで別の ID を選択し、[選択] を選択します。
注文の作成時に生成されたシステム割り当て ID に切り替えるには、[ID の種類の選択] で [システム割り当て] を選択します。
[保存] を選択します。
Microsoft マネージド キーを使用する
注文で使用するキーをカスタマー マネージド キーから Microsoft マネージド キーに変更するには、次の手順を実行します。
完了した Data Box の注文の [概要] 画面で、[設定] > [暗号化] の順に移動します。
[種類の選択] で [Microsoft マネージド キー] を選択します。
![Data Box の注文の [概要] 画面 - 5](media/data-box-customer-managed-encryption-key-portal/customer-managed-key-20.png)
[保存] を選択します。
エラーをトラブルシューティングする
カスタマー マネージド キーに関連するエラーが発生した場合は、次の表を使用してトラブルシューティングを行ってください。
| エラー コード | エラーの詳細 | 回復可能かどうか |
|---|---|---|
| SsemUserErrorEncryptionKeyDisabled | カスタマー マネージド キーが無効にされたため、パスキーをフェッチできませんでした。 | 回復可能 (キー バージョンを有効にした場合)。 |
| SsemUserErrorEncryptionKeyExpired | カスタマー マネージド キーの有効期限が切れたため、パスキーをフェッチできませんでした。 | 回復可能 (キー バージョンを有効にした場合)。 |
| SsemUserErrorKeyDetailsNotFound | カスタマー マネージド キーが見つからなかったため、パスキーをフェッチできませんでした。 | キー コンテナーを削除した場合は、カスタマー マネージド キーを復旧できません。 キー コンテナーを別のテナントに移行した場合は、「サブスクリプション移行後のキー コンテナー テナント ID の変更」を参照してください。 キー コンテナーを削除した場合:
それ以外の場合、キー コンテナーがテナント移行の対象になっていた場合は回復できます。下のいずれかの手順で回復できます。
|
| SsemUserErrorKeyVaultBadRequestException | カスタマー マネージド キーが適用されましたが、キーへのアクセスが許可されていないか、無効になっているか、ファイアウォールが有効になっているため、キー コンテナーにアクセスできませんでした。 | カスタマー マネージド キーへのアクセスを有効にするには、選択した ID をキー コンテナーに追加します。 キー コンテナーでファイアウォールが有効になっている場合は、システム割り当て ID に切り替えてから、カスタマー マネージド キーを追加します。 詳細については、キーを有効にする方法に関する記事を参照してください。 |
| SsemUserErrorKeyVaultDetailsNotFound | カスタマー マネージド キー用の、関連付けられているキー コンテナーが見つからなかったため、パスキーをフェッチできませんでした。 | キー コンテナーを削除した場合は、カスタマー マネージド キーを復旧できません。 キー コンテナーを別のテナントに移行した場合は、「サブスクリプション移行後のキー コンテナー テナント ID の変更」を参照してください。 キー コンテナーを削除した場合:
それ以外の場合、キー コンテナーがテナント移行の対象になっていた場合は回復できます。下のいずれかの手順で回復できます。
|
| SsemUserErrorSystemAssignedIdentityAbsent | カスタマー マネージド キーが見つからなかったため、パスキーをフェッチできませんでした。 | 回復可能。次のことを確認してください。
|
| SsemUserErrorUserAssignedLimitReached | 追加可能なユーザー割り当て ID 合計数の最大値に達したため、新しいユーザー割り当て ID を追加できませんでした。 | ユーザー ID を減らして操作を再試行するか、再試行する前にリソースから一部のユーザー割り当て ID を削除します。 |
| SsemUserErrorCrossTenantIdentityAccessForbidden | マネージド ID アクセス操作に失敗しました。 注: このエラーは、サブスクリプションが別のテナントに移動されたときに発生する可能性があります。 お客様は ID を新しいテナントに手動で移動する必要があります。 |
カスタマー マネージド キーへのアクセスを有効にするには、異なるユーザー割り当て ID をキー コンテナーに追加してみます。 または、ID を、サブスクリプションが存在する新しいテナントに移動します。 詳細については、キーを有効にする方法に関する記事を参照してください。 |
| SsemUserErrorKekUserIdentityNotFound | カスタマー マネージド キーが適用されましたが、Active Directory で、キーにアクセスできるユーザー割り当て ID が見つかりませんでした。 注: このエラーは、ユーザー ID が Azure から削除されたときに発生する可能性があります。 |
カスタマー マネージド キーへのアクセスを有効にするには、異なるユーザー割り当て ID をキー コンテナーに追加してみます。 詳細については、キーを有効にする方法に関する記事を参照してください。 |
| SsemUserErrorUserAssignedIdentityAbsent | カスタマー マネージド キーが見つからなかったため、パスキーをフェッチできませんでした。 | カスタマー マネージド キーにアクセスできませんでした。 キーに関連付けられているユーザー割り当て ID (UAI) が削除されているか、UAI の種類が変更されています。 |
| SsemUserErrorKeyVaultBadRequestException | カスタマー マネージド キーを適用しましたが、キー アクセスが付与されていないか、取り消されています。または、ファイアウォールが有効になっているため、キー コンテナーにアクセスできませんでした。 | カスタマー マネージド キーへのアクセスを有効にするには、選択した ID をキー コンテナーに追加します。 キー コンテナーでファイアウォールが有効になっている場合は、システム割り当て ID に切り替えてから、カスタマー マネージド キーを追加します。 詳細については、キーを有効にする方法に関する記事を参照してください。 |
| SsemUserErrorEncryptionKeyTypeNotSupported | この暗号化キーの種類は、この操作ではサポートされていません。 | キーでサポートされている種類の暗号化 (例: RSA や RSA-HSM) を有効にします。 詳細については、「キーの種類、アルゴリズム、および操作」を参照してください。 |
| SsemUserErrorSoftDeleteAndPurgeProtectionNotEnabled | キー コンテナーで、論理的な削除または消去保護が有効になっていません。 | キー コンテナーで論理的な削除と消去保護の両方が有効になっていることを確認します。 |
| SsemUserErrorInvalidKeyVaultUrl (コマンド ラインのみ) |
無効なキー コンテナー URI が使用されました。 | 正しいキー コンテナー URI を取得します。 キー コンテナー URI を取得するには、PowerShell で Get-AzKeyVault を使用します。 |
| SsemUserErrorKeyVaultUrlWithInvalidScheme | キー コンテナー URI を渡すためにサポートされているのは HTTPS だけです。 | キー コンテナー URI は HTTPS で渡します。 |
| SsemUserErrorKeyVaultUrlInvalidHost | キー コンテナー URI のホストは、地理的リージョンで許可されているホストではありません。 | パブリック クラウドでは、キー コンテナー URI は vault.azure.net で終わる必要があります。 Azure Government クラウドでは、キー コンテナー URI は vault.usgovcloudapi.net で終わる必要があります。 |
| 一般的なエラー | パスキーをフェッチできませんでした。 | このエラーは一般的なエラーです。 エラーをトラブルシューティングして、次の手順を決定するには、Microsoft サポートにお問い合わせください。 |