クイック スタート: Azure ポータルを使用して Managed HSM をプロビジョニングしてアクティブ化する

このクイック スタートでは、Azure ポータルを使用して、Azure Key Vault Managed HSM (ハードウェア セキュリティ モジュール) を作成してアクティブ化します。 Managed HSM は、 FIPS 140-3 レベル 3 の検証済み HSM を使用して、クラウド アプリケーションの暗号化キーを保護できるようにする、フル マネージドの高可用性シングルテナントの標準準拠クラウド サービスです。 Managed HSM の詳細については、「 概要」を参照してください。

前提条件

Azure サブスクリプションが必要です。 アカウントをお持ちでない場合は、開始する前に 無料アカウント を作成してください。

マネージド HSM を作成する

Managed HSM は、次の 2 段階のプロセスで作成します。

  1. Managed HSM リソースをプロビジョニングします。
  2. "セキュリティ ドメイン"と呼ばれる成果物をダウンロードして Managed HSM をアクティブにします。

Managed HSM をプロビジョニングする

  1. Azure ポータルにサインインします。

  2. 検索ボックスに「 Managed HSM 」と入力し、結果から [Managed HSM プール ] を選択します。

  3. を選択してを作成します。

  4. [基本] タブで次の情報を指定します。

    • サブスクリプション:使用するサブスクリプションを選択します。

    • リソース グループ: [ 新規作成 ] を選択し、「 myResourceGroup」と入力します。

    • Managed HSM 名: Managed HSM の名前を入力します。

      Important

      各 Managed HSM には一意の名前が必要です。

    • リージョン: 米国東部 (またはお好みのリージョン) を選択します。

    • 初期管理者: 初期管理者として指定するMicrosoft Entraユーザーまたはグループを検索して選択します。

    Azure ポータルの「Azure Key Vault Managed HSM の基本の作成」タブのスクリーンショットです。

  5. 必要に応じて、[詳細設定]、[ネットワーク]、[タグ] タブの設定調整します。

  6. [ 確認と作成] を選択し、[ 作成] を選択します。

    デプロイが完了するまでに数分かかる場合があります。 完了したら、リソースに移動して [概要] ページを表示します。

    Azure portal の Managed HSM の概要ページのスクリーンショット。

プロビジョニング プロセスには数分かかる場合があります。 正常に完了したら、HSM をアクティブ化する準備が整います。

Warnung

Managed HSM インスタンスは常に使用されています。 --enable-purge-protection フラグを使用して消去保護を有効にした場合、保持期間全体に対して支払います。

Managed HSM をアクティブにする

HSM をアクティブ化するまで、すべてのデータ プレーン コマンドは無効になります。 キーを作成したり、ロールを割り当てたりすることはできません。 作成コマンド中に割り当てた指定された管理者のみが HSM をアクティブ化できます。 HSM をアクティブにするには、セキュリティ ドメインをダウンロードする必要があります。

HSM をアクティブ化するには、次のものが必要です。

  • 少なくとも 3 つの RSA キー ペア (最大 10)
  • セキュリティ ドメインの暗号化を解除するために必要なキーの最小数 ( クォーラムと呼ばれます)

HSM には、少なくとも 3 つの RSA 公開キー (最大 10 個) を送信します。 HSM は、それらのキーでセキュリティ ドメインを暗号化して返します。 セキュリティ ドメインのダウンロードが正常に完了すると、HSM を使用する準備が整います。 また、セキュリティ ドメインの暗号化を解除するために必要な秘密キーの最小数であるクォーラムも指定する必要があります。

次の例は、 openssl を使用して 3 つの自己署名証明書を生成する方法を示しています。

openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer

証明書の有効期限は、セキュリティ ドメインの操作には影響しません。"期限切れ" の証明書でも、セキュリティ ドメインの復元に使用できます。

Important

これらの RSA 秘密キーは、Managed HSM の信頼のルートです。 運用環境では、エアギャップ システムまたはオンプレミス HSM を使用してこれらのキーを生成し、安全に格納します。 詳細なガイダンスについては、 セキュリティ ドメインのベスト プラクティス を参照してください。

  1. Azure ポータルで、Managed HSM リソースに移動します。

  2. 左側のメニューの [設定] で、[ セキュリティ ドメイン] を選択します。

  3. ポータルのプロンプトに従って RSA 公開キー証明書 (最低 3 つ) をアップロードし、クォーラム値を設定します。

  4. 暗号化されたセキュリティ ドメイン ファイルをダウンロードします。

Important

セキュリティ ドメイン ファイルと RSA 秘密キーを安全な別の場所に格納します。 ディザスター リカバリー シナリオでは、マネージド HSM を復旧するために必要です。 セキュリティ ドメインが失われると、アクセスが永続的に失われる可能性があります。

セキュリティ ドメイン ファイルと RSA キー ペアを安全に格納します。 2 人がキーを共有できるように、ディザスター リカバリーまたは同じセキュリティ ドメインを共有する別のマネージド HSM を作成するために必要です。

セキュリティ ドメインが正常にダウンロードされると、HSM はアクティブな状態になり、使用できる状態になります。

リソースをクリーンアップする

必要がなくなったら、リソース グループを削除すると、Managed HSM とすべての関連リソースが削除されます。

  1. Azure portal で、「リソース グループ」を検索して選択します。
  2. リソース グループ ( myResourceGroup など) を選択します。
  3. [リソース グループの削除] を選択します。
  4. リソース グループの名前を入力し、[削除] を選択します。

Warnung

リソース グループを削除すると、Managed HSM は論理的に削除された状態になります。 Managed HSM は、消去されるまで引き続き課金されます。 「Managed HSM の論理的削除と消去保護」を参照してください

次のステップ

このクイック スタートでは、マネージド HSM をプロビジョニングしてアクティブ化しました。 Managed HSM の詳細と、アプリケーションとの統合方法については、引き続きこれらの記事を参照してください。

  • Last updated on