Azure Key Vault API バージョン 2026-02-01 以降では、新しいボールトの既定のアクセス制御モデルを、Azure ポータルの使用体験と一致するように Azure RBAC に変更します。 AZURE RBAC とアクセス ポリシーの両方が引き続き完全にサポートされます。 API バージョン 2026-02-01 は、Azure パブリック リージョン、21Vianet によって運用される Azure、および Azure Government で利用できます。
-
新しいキー ボールトの作成動作: API バージョン
2026-02-01以降で新しいボールトを作成する場合、既定のアクセス制御モデルは Azure RBAC (enableRbacAuthorization = true) です。 この既定値は、 作成 操作にのみ適用されます。 新しいボールトにアクセス ポリシーを使用するには、作成時にenableRbacAuthorizationをfalseに設定します。 -
既存のキー コンテナーの動作:
enableRbacAuthorizationを明示的に変更しない限り、既存のコンテナーは現在のアクセス制御モデルを維持します。 API バージョン2026-02-01以降を使用してコンテナーを更新しても、アクセス制御は自動的には変更されません。enableRbacAuthorizationがnull(古い API バージョンからの) コンテナーでは、引き続きアクセス ポリシーが使用されます。
Important
2026-02-01 より前のすべてのKey Vaultコントロール プレーン API バージョンは、2027 年 2 月 27 日に廃止されます。 キー ボールトは存続し、コントロール プレーン API バージョン 2026-02-01 以降でのみアクセス可能です。 データ プレーン API は影響を受けません。
プレビュー API バージョン (2026-04-01-preview を除く) は、90 日間の通知期間で非推奨とされます。 Azure Cloud Shellは常に最新の API バージョンを使用します。 Cloud Shellで実行されるスクリプトがある場合は、API バージョン 2026-02-01 以降と互換性があることを確認してください。 サポートされている API バージョンの一覧については、「 サポートされているコントロール プレーン API のバージョン」を参照してください。 SDK パッケージの詳細については、「
現在、アクセス ポリシー (レガシ) を使用しているキー コンテナーを、セキュリティを強化するために Azure RBAC に移行することをお勧めします。 Azure RBAC が推奨される理由の詳細については、「Azure ロールベースのアクセス制御 (Azure RBAC) とアクセス ポリシー」を参照してください。
実行する必要があること
ボールトのアクセス制御モデルが既にわかっている場合は、次のステップを確認に進んでください。 最初に現在の構成を確認してください。
Important
キー コンテナーの enableRbacAuthorization プロパティを変更するには、Microsoft.KeyVault/vaults/write アクセス許可 (共同作成者や所有者などのロールに含まれています) が必要です。 Azure ポータルでは、変更後に Key Vault の RBAC ロールを割り当て、ロックアウトを回避できるようにするために、Microsoft.Authorization/roleAssignments/write(所有者やユーザーアクセス管理者などのロールに含まれます)も必要です。 詳細については、Key Vault に対する Azure RBAC のアクセス許可を有効にする方法に関するページを参照してください。
現在の構成を確認する
ボールトのアクセス構成が Azure RBAC またはアクセス ポリシーに設定されているかどうかを確認します。 Azure CLIまたは PowerShell コマンドを使用して、この構成を確認します。
構成を確認した後:
- コンテナーで Azure RBAC (
enableRbacAuthorization=true) を使用する場合は、Azure RBAC を使用するコンテナー に移動します。 - 保管庫でアクセス ポリシー (レガシ) (
enableRbacAuthorization=falseまたはnull) を使用している場合は、アクセス ポリシーを使用している保管庫に移動します。
1 つのコンテナーを確認する
az keyvault show コマンドを使用してボールトの詳細を取得します。
az keyvault show --name <vault-name> --resource-group <resource-group>キー ボールトの [RBAC 認可の有効化] プロパティ (
enableRbacAuthorization) を確認します。
リソース グループごとに複数のコンテナーを確認する
az keyvault list コマンドを使用して、リソース グループ内のすべてのコンテナーを一覧表示し、RBAC 承認の状態を確認します。
# List all key vaults in the resource group and check Azure RBAC status
az keyvault list --resource-group <resource-group> --query "[].{name:name, rbacEnabled:properties.enableRbacAuthorization}" --output table
サブスクリプション全体で複数のコンテナーを確認する
az keyvault list コマンドを使用して、サブスクリプション内のすべてのコンテナーを一覧表示し、その RBAC 承認状態を確認します。
# List all key vaults in the subscription and check Azure RBAC status
az keyvault list --query "[].{name:name, rbacEnabled:properties.enableRbacAuthorization}" --output table
次の手順を決定する
現在のアクセス制御モデルに基づいて、次の適切なガイダンスに従います。
Azure RBAC を使用するコンテナー
キー コンテナーで既Azure RBAC を使用している場合、アクセス制御の変更は必要ありません。 ただし、古いコントロール プレーン API バージョンが廃止される 2027 年 2 月 27 日より前に API バージョン 2026-02-01 以降を使用するには、すべてのKey Vaultコントロール プレーン管理 SDK、ARM、Bicep、Terraform テンプレート、および REST API 呼び出しを更新する必要があります。
アクセス ポリシーを使用するコンテナー
キー コンテナーでアクセス ポリシー (レガシ) (enableRbacAuthorization = false または null) を使用する場合は、ロールベースのアクセスに移行するか (推奨)、アクセス ポリシーを引き続き使用するかを決定します。 アクセス制御モデルの詳細については、「 Key Vault および Azure Key Vault ベスト プラクティス へのアクセスを管理するためのAzure RBAC の使用」を参照してください。
道を選んでください。
- Azure RBAC (推奨): セキュリティを強化するために Azure RBAC に移行 します。
-
アクセス ポリシー (レガシ): 新しいボルトを作成するときに を
enableRbacAuthorizationに設定して、falseします。
Azure RBAC への移行 (推奨)
この機会に、コンテナー アクセス ポリシーから Azure RBAC に移行することで、セキュリティ体制を強化できます。 移行の詳細なガイダンスについては、「コンテナー アクセス ポリシーからAzureロールベースのアクセス制御アクセス許可モデルに移行するを参照してください。
移行後、API バージョン 2026-02-01 以降を使用するように、すべてのKey Vaultコントロール プレーン管理 SDK、ARM、Bicep、Terraform テンプレート、および REST API 呼び出しを更新します。
アクセス ポリシーの使用を続行する
アクセス ポリシーは、引き続き完全にサポートされているアクセス制御モデルです。
- 既存のコンテナー: アクセス ポリシーを既に使用しているコンテナーは、変更なしで引き続き動作します。 コントロール プレーン管理 SDK、ARM、Bicep、Terraform テンプレート、および REST API 呼び出しで、2027 年 2 月 27 日より前に API バージョン 2026-02-01 以降が使用されていることを確認してください。
-
新しいコンテナー: API バージョン 2026-02-01 以降で新しいコンテナーを作成する場合は、アクセス ポリシーを使用するために
enableRbacAuthorizationを明示的にfalseに設定する必要があります。以下で説明します。
シナリオに基づいて、次のいずれかの方法を選択します。
ARM、Bicep、Terraform テンプレートの使用
API バージョン 2026-02-01 以降を使用して新しいキー コンテナーを作成する場合は、enableRbacAuthorization をすべての Key Vault ARM、Bicep、Terraform テンプレート、および false 呼び出しで に設定してアクセス ポリシー (レガシ) を使用します。
create Key Vault コマンドの使用
API バージョン 2026-02-01 以降を使用して新しいキー ボールトを作成する場合は、デフォルトで Azure RBAC にしないように、アクセス ポリシーの構成を指定する必要があります。
Azure CLIまたは PowerShell モジュールの最新バージョンがあることを確認します。
Azure CLIを最新バージョンに更新します。 詳細については、「
適切なコマンドを使用して、アクセス ポリシーを含むキー コンテナーを作成します。
az keyvault create コマンドを使用し、--enable-rbac-authorization false設定します。
az keyvault create --name "testCreateTutorial" --resource-group "testResourceGroup" --enable-rbac-authorization false
リソースの作成コマンドの使用
API バージョン 2026-02-01 以降を使用して新しいキー コンテナーを作成する場合は、アクセス ポリシー (レガシ) を使用するように enableRbacAuthorization を false に設定します。 このプロパティを指定しない場合、既定では true (Azure RBAC) になります。
az resource create コマンドを使用し、"enableRbacAuthorization": falseと--api-version "2026-02-01"を設定します。
az resource create --resource-group $resourceGroup --name $vaultName --resource-type "Microsoft.KeyVault/vaults" --location $location --api-version "2026-02-01" --properties "{\"sku\": { \"family\": \"A\", \"name\": \"standard\" }, \"tenantId\": \"$tenantID\",\"enableRbacAuthorization\": false, \"accessPolicies\": []}"