コンテナー アクセス ポリシーや Azure ロール ベース アクセス制御を含めて Key Vault へのアクセスを構成する
Azure ロールベースのアクセス制御 (Azure RBAC) は Azure Resource Manager 上に構築された承認システムであり、Azure リソースに対するアクセスをきめ細かく管理できます。
Azure RBAC を使用すると、キー、シークレット、および証明書のアクセス許可を管理できます。 すべてのキー コンテナーにわたるすべてのアクセス許可を管理できる 1 つの場所が用意されています。
Azure RBAC モデルを使用すると、ユーザーはさまざまなスコープ レベル (管理グループ、サブスクリプション、リソース グループ、または個別のリソース) にアクセス許可を設定することができます。 また、キー コンテナー用の Azure RBAC を使用すると、個々のキー、シークレット、および証明書に対して個別のアクセス許可を持つことができます。
個々のキー、シークレット、証明書のロールの割り当てのベスト プラクティス
環境 (開発、実稼働前、および実稼働) ごとにアプリケーションごとのコンテナーを使用することをお勧めします。
個々のキー、シークレット、および証明書のアクセス許可は、次のように特定のシナリオにのみ使用するようにします。
- 複数のアプリケーション間での個々のシークレットの共有。たとえば、あるアプリケーションが他のアプリケーションのデータにアクセスする必要がある場合など
Key Vault データ プレーン操作のための Azure の組み込みロール
Note
Key Vault 共同作成者ロールは、キー コンテナーを管理する管理プレーン操作のみを対象としています。 キー、シークレット、証明書へのアクセスは許可されていません。
| 組み込みのロール | 説明 | ID |
|---|---|---|
| Key Vault Administrator | キー コンテナーとその内部にあるすべてのオブジェクト (証明書、キー、シークレットを含む) に対して、すべてのデータ プレーン操作を実行します。 キー コンテナー リソースの管理やロール割り当ての管理はできません。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 | 00482a5a-887f-4fb3-b363-3b7fe8e74483 |
| Key Vault Certificates Officer | キーコンテナーの証明書に対して、アクセス許可の管理を除く任意の操作を実行します。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 | a4417e6f-fecd-4de8-b567-7b0420556985 |
| Key Vault Crypto Officer | キーコンテナーのキーに対して、アクセス許可の管理を除く任意の操作を実行します。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 | 14b46e9e-c2b7-41b4-b07b-48a6ebf60603 |
| Key Vault Crypto Service Encryption User | キーのメタデータを読み取り、wrap および unwrap 操作を実行します。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 | e147488a-f6f5-4113-8e2d-b22465e65bf6 |
| Key Vault Crypto User | キーを使用した暗号化操作を実行します。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 | 12338af0-0e69-4776-bea7-57ae8d297424 |
| Key Vault Reader | キー コンテナーとその証明書、キー、シークレットのメタデータを読み取ります。 シークレット コンテンツやキー マテリアルなどの機密値を読み取ることはできません。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 | 21090545-7ca7-4776-b22c-e363652d74d2 |
| Key Vault Secrets Officer | キーコンテナーのシークレットに対して、アクセス許可の管理を除く任意の操作を実行します。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 | b86a8fe4-44ce-4948-aee5-eccb2c155cd7 |
| Key Vault Secrets User | 秘密キーを使用し、証明書のシークレット部分を含むシークレットの内容を読み取ります。 「Azure ロールベースのアクセス制御」アクセス許可モデルを使用するキー コンテナーでのみ機能します。 | 4633458b-17de-408a-b874-0445c86b69e6 |
Note
アプリケーションには秘密キーを含む証明書のシークレット部分が必要であるため、Key Vault 証明書ユーザーは存在しません。 アプリケーションが証明書を取得するには、Key Vault Secrets ユーザー ロールを使う必要があります。
組み込みの Key Vault データ プレーン ロールの割り当ての管理 (プレビュー)
| 組み込みのロール | 説明 | ID |
|---|---|---|
| Key Vault データ アクセス管理者 (プレビュー) | Key Vault 管理者、Key Vault 証明書オフィサー、Key Vault Crypto オフィサー、Key Vault Crypto サービス暗号化ユーザー、Key Vault Crypto ユーザー、Key Vault 閲覧者、Key Vault シークレット オフィサー、または Key Vault シークレット ユーザー ロールのロールを追加または削除して、Azure Key Vault へのアクセスを管理します。 ロールの割り当てを制限する ABAC 条件が含まれています。 | 8b54135c-b56d-4d72-a534-26097cfdc8d8 |
Key Vault での Azure RBAC シークレット、キー、および証明書のアクセス許可の使用
Key Vault の新しい Azure RBAC アクセス許可モデルには、コンテナー アクセス ポリシーのアクセス許可モデルに代わるものです。
前提条件
Azure サブスクリプションが必要です。 これがない場合、開始する前に無料アカウントを作成できます。
ロールの割り当てを追加するには、Key Vault データ アクセス管理者 (プレビュー)、ユーザー アクセス管理者、所有者などの Microsoft.Authorization/roleAssignments/write および Microsoft.Authorization/roleAssignments/delete のアクセス許可を持っている必要があります。