Azure Key Vault のファイアウォールと仮想ネットワークを構成する

このドキュメントでは、Azure Key Vault のファイアウォールのさまざまな構成について詳しく説明します。 これらの設定を構成する詳細な手順に従うには、「Azure Key Vault のネットワーク設定を構成する」を参照してください。

詳細については、「Azure Key Vault の仮想ネットワーク サービス エンドポイント」を参照してください。

ファイアウォール設定

このセクションでは、Azure Key Vault ファイアウォールを構成するためのさまざまな方法について説明します。

Key Vault ファイアウォールを無効にする (既定値)

既定では、新しいキー コンテナーを作成するとき、Azure Key Vault ファイアウォールは無効になります。 すべてのアプリケーションおよび Azure サービスから、キー コンテナーにアクセスし、キー コンテナーに要求を送信することができます。 この構成は、お客様のキー コンテナー上で任意のユーザーが操作を行えるということを意味するものではありません。 キー コンテナーでは、Microsoft Entra 認証とアクセス ポリシーのアクセス許可を要求することによって、キー コンテナーに格納されているシークレット、キー、および証明書へのアクセスを引き続き制限します。 キー コンテナー認証の詳細については、「Azure Key Vault の認証」を参照してください。 詳細については、「ファイアウォールの向こう側にある Azure Key Vault へのアクセス」を参照してください。

Key Vault ファイアウォールを有効にする (信頼されたサービスのみ)

Key Vault ファイアウォールを有効にすると、[信頼された Microsoft サービスがこのファイアウォールをバイパスすることを許可する] に対するオプションが表示されます。 信頼されたサービスのリストには、単一の Azure サービスがすべてが含まれるわけではありません。 たとえば、Azure DevOps は信頼されたサービスのリストに掲載されていません。 信頼されたサービスの一覧にないサービスが信頼されていない、または安全でないというわけではありません。 信頼されたサービスのリストには、サービス上で実行されるすべてのコードを Microsoft が制御するサービスが含まれます。 Azure DevOps などの Azure サービス内ではユーザーがカスタム コードを記述できるため、Microsoft はサービスの包括的承認を作成するオプションを提供していません。 さらに、サービスが、信頼されたサービスのリストに掲載されていたからといって、それがすべてのシナリオに対して許可されるわけではありません。

使用するサービスが信頼されたサービスのリストにあるか判断するには、「Azure Key Vault の仮想ネットワーク サービス エンドポイント」を参照してください。 攻略ガイドについては、こちらのポータル、Azure CLI、PowerShell 向けの手順に従ってください

Key Vault ファイアウォールを有効にする (IPv4 アドレスおよび範囲 - 静的 IP)

Key Vault ファイアウォールを経由してキー コンテナーにアクセスする特定のサービスを認可したい場合は、その IP アドレスをキー コンテナー ファイアウォール許可リストに追加します。 この構成は、静的 IP アドレスまたは既知の範囲を使用するサービスに最適です。 この場合、CIDR 範囲については、1000 までという制限があります。

Web アプリやロジック アプリなどの Azure リソースの IP アドレスまたは範囲を許可するには、次の手順を行います。

1. Azure portal にサインインします。
2. リソース (サービスの特定のインスタンス) を選択します。
3. [設定] の配下にある [プロパティ] ブレードを確認します。
4. [IP アドレス] フィールドを探す。
5. この値または範囲をコピーし、キー コンテナー ファイアウォール許可リストに入力します。

Key Vault ファイアウォールを介して Azure サービス全体を許可するには、こちらの Azure 用の公式に文書化されたデータセンター IP アドレスのリストを使用してください。 目的のリージョンで必要なサービスに関連付けられている IP アドレスを見つけ、それらの IP アドレスをキー コンテナー ファイアウォールに追加します。

Key Vault ファイアウォールを有効にする (仮想ネットワーク - 動的 IP)

キー コンテナーを介して仮想マシンなどの Azure リソースを許可しようとしている場合は、静的 IP アドレスを使用できない可能性があり、さらに Azure Virtual Machines の一部の IP アドレスにキー コンテナーへのアクセスを許可したくないこともあります。

この場合は、仮想ネットワーク内にリソースを作成し、特定の仮想ネットワークおよびサブネットからのトラフィックがご利用のキー コンテナーにアクセスするのを許可する必要があります。

1. Azure portal にサインインします。
2. 構成するキー コンテナーを選択する。
3. [ネットワーク] タブを選択する。
4. [+ 既存の仮想ネットワークを追加] を選択します。
5. キー コンテナー ファイアウォールを介して許可する仮想ネットワークおよびサブネットを選択する。

Key Vault ファイアウォールを有効にする (プライベート リンク)

ご利用のキー コンテナー上でプライベート リンク接続を構成する方法については、こちらのドキュメントを参照してください。

重要

ファイアウォール ルールを有効にした後は、要求が許可された仮想ネットワークまたは IPv4 アドレス範囲から送信された場合にのみ、ユーザーは Key Vault データ プレーンの操作を実行できます。 これは、Azure portal から Key Vault にアクセスする場合にも適用されます。 ユーザーは Azure portal からキー コンテナーを参照できますが、クライアント マシンが許可リストに登録されていない場合、キー/シークレット/証明書を一覧表示できない場合があります。 これは、他の Azure サービスで使用される Key Vault 選択機能にも影響します。 ファイアウォール ルールでクライアント マシンが許可されていない場合、ユーザーはキー コンテナーを一覧表示できても、キーは一覧表示できないことがあります。

Note

構成に関する次の制限事項に注意してください。

• 最大で 200 個の仮想ネットワーク規則と 1000 個の IPv4 ルールを指定できます。
• IP ネットワーク ルールは、パブリック IP アドレスに対してのみ許可されます。 プライベート ネットワーク用に予約されている IP アドレス範囲 (RFC 1918 で定義) は、IP ルールでは許可されません。 プライベート ネットワークには、10. 、172.16-31、および 192.168. で始まるアドレスが含まれます。
• 現時点でサポートされているのは、IPv4 アドレスのみです。

パブリック アクセスが無効 (プライベート エンドポイントのみ)

ネットワーク セキュリティを強化するために、パブリック アクセスを無効にするようにコンテナーを構成できます。 これにより、すべてのパブリック構成が拒否され、プライベート エンドポイント経由の接続のみが許可されます。

References

• ARM テンプレート リファレンス: Azure Key Vault ARM テンプレート リファレンス
• Azure CLI コマンド: az keyvault network-rule
• Azure PowerShell コマンドレット:Get-AzKeyVault、Add-AzKeyVaultNetworkRule、Remove-AzKeyVaultNetworkRule、Update-AzKeyVaultNetworkRuleSet

次のステップ

• Key Vault の仮想ネットワーク サービス エンドポイント
• Azure Key Vault のセキュリティの概要