注
この機能は、リソースの種類がマネージド HSM の場合にのみ使用できます。
Managed HSM では、すべてのキー、バージョン、属性、タグ、ロールの割り当てを含む、HSM のコンテンツ全体の完全バックアップの作成がサポートされています。 バックアップ プロセスでは、HSM のセキュリティ ドメインに関連付けられている暗号化キーを使用してデータが暗号化されます。
バックアップはデータプレーンの操作です。 バックアップ操作を開始する呼び出し元には、dataAction Microsoft.KeyVault/managedHsm/backup/start/action を実行するアクセス許可が必要です。
完全バックアップを実行するアクセス許可を持っているのは、次の組み込みロールのみです。
- Managed HSM 管理者
- Managed HSM バックアップ
Managed HSM をバックアップして復元するには、ユーザー割り当てマネージド ID (UAMI) を Managed HSM サービスに割り当てます。 ストレージ アカウントでパブリック ネットワーク アクセスまたはプライベート ネットワーク アクセスが有効になっているかどうかに関係なく、UAMI を使用できます。 ストレージ アカウントがプライベート エンドポイントの背後にある場合、UAMI メソッドは信頼されたサービス バイパスと連携してバックアップと復元を可能にします。
完全バックアップを実行するには、次の情報を指定します。
- HSM 名または URL
- ストレージ アカウント名
- ストレージ アカウントの BLOB ストレージ コンテナー
- ユーザー指定のマネージド ID
Azure Cloud Shell
Azure は、ブラウザーから使用できる対話型シェル環境である Azure Cloud Shell をホストします。 Cloud Shell で Bash または PowerShell を使用して、Azure サービスを操作できます。 ローカル環境に何もインストールしなくても、Cloud Shell にプレインストールされているコマンドを使用して、この記事のコードを実行できます。
Azure Cloud Shell を開始するには、以下のようにします。
| Option | 例とリンク |
|---|---|
| コードまたはコマンド ブロックの右上隅にある [使ってみる] を選択します。 [使ってみる] を選択しても、コードまたはコマンドは Cloud Shell に自動的にはコピーされません。 |
|
| https://shell.azure.com に移動するか、[Cloud Shell を起動する] ボタンを選択して、ブラウザーで Cloud Shell を開きます。 |
|
| Azure portal の右上にあるメニュー バーの [Cloud Shell] ボタンを選択します。 |
![Azure portal の [Cloud Shell] ボタンを示すスクリーンショット](../../reusable-content/cloud-shell/media/hdi-cloud-shell-menu.png)
|
Azure Cloud Shell を使用するには、以下のようにします。
Cloud Shell を開始します。
コード ブロック (またはコマンド ブロック) の [コピー] ボタンを選択し、コードまたはコマンドをコピーします。
Windows および Linux では Ctrl+Shift+V を選択し、macOS では Cmd+Shift+V を選択して、コードまたはコマンドをクラウドシェルセッションに貼り付けます。
「を選択し、 を入力してコードまたはコマンドを実行します。」
ユーザー割り当てマネージド ID を使用したバックアップと復元の前提条件
- Azure CLI バージョン 2.56.0 以降があることを確認します。 バージョンを確認するには、
az --versionを実行します。 インストールまたはアップグレードする必要がある場合は、「 Azure CLI のインストール」を参照してください。 - ユーザー割り当てマネージド ID を作成します。
- ストレージ アカウントを作成します (または、既存のストレージ アカウントを使用します)。 ストレージ アカウントに不変ポリシーを適用することはできません。
- ストレージ アカウントでパブリック ネットワーク アクセスが無効になっている場合は、[ネットワーク] タブの [例外] で、ストレージ アカウントで信頼されたサービス バイパスを有効にします。
- ポータルの [アクセス制御] タブに移動し、[ロールの割り当ての追加] を選択して、手順 2 で作成したユーザー割り当てマネージド ID へのアクセス権をストレージ BLOB データ共同作成者ロールに付与します。 次に、 マネージド ID を 選択し、手順 2 で作成したマネージド ID を選択します ->Review + Assign
- Managed HSM を作成し、マネージド ID を関連付けます。
az keyvault create --hsm-name <hsm-name> -l <location> --retention-days 7 --administrators "<initial-admin>" --mi-user-assigned "/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>"
既存の Managed HSM がある場合は、次のコマンドを使用して MHSM を更新してマネージド ID を関連付けます。
az keyvault update-hsm --hsm-name <hsm-name> --mi-user-assigned "/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managed-identity-name>"
完全バックアップ
バックアップは実行時間の長い操作ですが、すぐにジョブ ID が返されます。 このジョブ ID を使用して、バックアップ プロセスの状態を確認できます。 バックアップ プロセスでは、指定されたコンテナー内に、 mhsm-{HSM_NAME}-{YYYY}{MM}{DD}{HH}{mm}{SS}という名前付けパターンのフォルダーが作成されます。 このパターンでは、 HSM_NAME はバックアップ対象のマネージド HSM の名前であり、バックアップ コマンドを受信した日時の年、月、日付、時間、分、秒を UTC で YYYY、 MM、 DD、 HH、 mm、および SS します。
バックアップの進行中は、一部の HSM パーティションがバックアップ操作の実行中にビジー状態になっているので、HSM が完全なスループットで動作しない可能性があります。
注
不変ポリシーが適用されたストレージ アカウントへのバックアップはサポートされていません。
Azure ポータルで、Managed HSM リソースに移動します。
左側のメニューの [設定] で、[ バックアップ] を選択します。
ストレージ アカウントとコンテナーの詳細を指定し、[ バックアップの開始 ] を選択してバックアップを開始します。
![Azure portal の [Managed HSM バックアップ] ブレードのスクリーンショット。](media/backup-restore/managed-hsm-backup-blade.png)
完全復元
完全復元では、すべてのキー、バージョン、属性、タグ、ロールの割り当てを含む、以前のバックアップから HSM の内容が復元されます。 このプロセスでは、HSM に現在格納されているすべてのものが削除され、ソース バックアップの作成時と同じ状態に戻されます。
Important
完全復元は破壊的で破壊的な操作です。 そのため、復元する HSM の完全バックアップは、 restore 操作の少なくとも 30 分前に完了する必要があります。
復元はデータ プレーン操作です。 復元操作を開始する呼び出し元には、dataAction Microsoft.KeyVault/managedHsm/restore/start/action を実行するアクセス許可が必要です。 バックアップを作成したソース HSM と復元を実行するターゲット HSM には、同じセキュリティ ドメインが 必要です 。 Managed HSM セキュリティ ドメインの詳細を参照してください。
ユーザー割り当てマネージド ID を使用して、完全復元を実行できます。 完全復元を実行するには、次の情報を指定します。
- HSM 名または URL
- ストレージ アカウント名
- ストレージ アカウント ブロブ コンテナー
- ユーザー指定のマネージド ID
- ソース バックアップが格納されているストレージ コンテナー フォルダー名
復元は実行時間の長い操作ですが、すぐにジョブ ID が返されます。 復元プロセスの状態は、このジョブ ID を使用して確認できます。 復元プロセスが進行中の場合、HSM は復元モードになり、すべてのデータ プレーン コマンド (復元状態の確認を除く) が無効になります。
Azure ポータルで、Managed HSM リソースに移動します。
左側のメニューの [設定] で、[ 復元] を選択します。
ストレージ アカウント、コンテナー、バックアップ フォルダーの詳細を指定し、復元を開始します。
![Azure portal の [Managed HSM 復元] ブレードのスクリーンショット。](media/backup-restore/managed-hsm-restore-blade.png)
選択的キーの復元
選択的キー復元では、すべてのキー バージョンを持つ 1 つのキーが以前のバックアップから HSM に復元されます。 選択的キーの復元を機能させるには、キーを消去する必要があります。 ソフト削除されたキーを回復する場合は、key recover を使用します。 キーの回復について詳しくは、こちらをご覧ください。
Azure ポータルで、Managed HSM リソースに移動します。
左側のメニューの [設定] で [ 復元] を選択し、バックアップから 1 つのキーを復元するオプションを選択します。
次のステップ
- Azure CLI を使用したマネージド HSM の管理に関するページを参照してください。
- Managed HSM セキュリティ ドメインの詳細を確認します。