Azure MCP Server を介して AI アシスタントとの自然言語の会話を使用して、キー、シークレット、証明書を管理します。
Azure Key Vault は、シークレット、キー、証明書を安全に格納してアクセスするためのクラウド サービスです。 シークレット管理、キー管理、および証明書管理に関連する問題を解決するのに役立ちます。 Azure portal、Azure CLI、Azure PowerShell は強力ですが、Azure MCP Server では、会話型 AI を介してキー コンテナーを操作する、より直感的な方法が提供されます。
Azure MCP サーバーとは
Azure MCP Server を使用すると、AI エージェントとアシスタントは 、モデル コンテキスト プロトコル (MCP) を使用して自然言語コマンドを使用して Azure リソースと対話できます。 ポータル内を手動で移動したりスクリプトを記述したりする代わりに、実行する内容を記述できます。AI アシスタントは、Azure MCP Server ツールを使用してアクションを実行します。
Azure Key Vault の管理者と開発者の場合、次のことができます。
- ポータルを移動せずにキー、シークレット、証明書を作成、取得、および一覧表示する
- 暗号化キーのプロパティと証明書の有効期限を確認する
- 証明書を保管庫にインポートする
- セキュリティの高いデプロイ用の Managed HSM 設定のクエリを実行する
[前提条件]
Azure Key Vault で Azure MCP サーバーを使用するには、次のものが必要です。
Azure の要件
- Azure サブスクリプション: アクティブな Azure サブスクリプション。 無料で作成できます。
- Azure Key Vault リソース: サブスクリプション内の少なくとも 1 つのキー コンテナー。 キー コンテナーは、 Azure CLI、 Azure PowerShell、または Azure portal を使用して作成できます。
- Azure のアクセス許可: 必要な操作を実行するために、Key Vault 管理者、Key Vault シークレット責任者、Key Vault 証明書責任者、Key Vault Crypto Officer などの適切な Azure RBAC ロール 。 「Azure ロールベースのアクセス制御を使用して Key Vault のキー、証明書、シークレットへのアクセスを提供する」を参照してください。
MCP クライアントの要件
モデル コンテキスト プロトコルをサポートする AI アシスタントまたは開発環境が必要です。 いずれかを選択します。
AI を利用したコード エディター:
プログラムによる統合:
完全なセットアップ手順については、「 Azure MCP Server の概要」を参照してください。
Azure MCP Server はどこで使用できますか?
Azure MCP Server は、次の 3 つの主要なコンテキストで動作します。
AI を利用したチャットとコード エディター
AI アシスタントとコード エディター内で Azure MCP Server を直接使用します。 Azure リソースについてチャットすると、AI アシスタントによって Azure MCP Server ツールが自動的に呼び出され、情報の取得、変更、質問への回答が行われます。 これは最も一般的な使用パターンです。
始めましょう:
プログラムによるアプリケーションの場合
MCP SDK を使用して Azure MCP サーバーをアプリケーションに統合します。 アプリは MCP クライアントとして機能し、プログラムによって Azure MCP Server ツールを呼び出します。 このアプローチは、Azure 統合を必要とするカスタム自動化、チャットボット、またはインテリジェント アプリケーションを構築する場合に役立ちます。
始めましょう:
セルフホスト環境の場合
高度な制御、セキュリティ要件、またはカスタム変更のために、独自の環境に Azure MCP サーバーをデプロイします。 コンテナー内でローカルに実行することも、既存のインフラストラクチャに統合することもできます。 このパターンは、エアギャップ環境またはカスタム認証フローを必要とするエンタープライズ シナリオに適しています。
具体的には、次の方法を学習します。
Azure Key Vault で使用できるツール
Azure MCP Server には、Azure Key Vault 操作用の複数のツールが用意されており、自然言語の会話を通じてキー、シークレット、証明書を管理できます。
キーの管理
保管庫に格納されている暗号化キーを作成して取得します。 サポートされているキーの種類には、RSA、RSA-HSM、EC、EC-HSM、oct、oct-HSM があります。
一般的なシナリオ:
- 暗号化または署名操作用の新しい RSA キーまたは EC キーを作成する
- キーのプロパティとメタデータを取得する
- コンテナー内のすべてのキーを一覧表示してキー インベントリを監査する
シークレットを管理する
API キー、パスワード、接続文字列などの 機密情報 を作成、取得、および一覧表示します。
一般的なシナリオ:
- API キーとデータベース パスワードを安全に格納する
- アプリケーション構成の接続文字列を取得する
- シークレット インベントリを監査して未使用の資格情報を識別する
証明書の管理
SSL/TLS 証明書とその他の証明書ベースの資格情報を作成、インポート、取得、および一覧表示します。
一般的なシナリオ:
- Web アプリケーションの SSL/TLS 証明書を生成またはインポートする
- 更新を計画する証明書の有効期限を追跡する
- コンプライアンス検証のために証明書のプロパティを取得する
Managed HSM の設定を管理する
FIPS 140-3 レベル 3 の検証済み HSM を必要とする高セキュリティ デプロイの Azure Key Vault Managed HSM アカウント設定を取得します。 このツールは、標準の Key Vault コンテナーではなく、Managed HSM コンテナーにのみ適用されます。
一般的なシナリオ:
- Managed HSM の消去保護と論理的な削除の保持設定を確認する
- HSM 固有の構成に対してクエリを実行する
パラメーターや例など、各ツールの詳細については、 Azure MCP Server 用の Azure Key Vault ツールを参照してください。
概要
Azure Key Vault リソースで Azure MCP Server を使用する準備はできましたか?
環境を設定する: MCP をサポートする AI アシスタントまたは開発ツールを選択します。 セットアップと認証の手順については、上記の「 Azure MCP Server を使用できる場所 」セクションのリンクを参照してください。
探索を開始する: キーボールトや操作をリクエストするために、AIアシスタントに質問します。 次のようなプロンプトを試してください。
- "キー コンテナー 'my-vault' 内のすべてのシークレットを一覧表示する"
- "Key Vault 'prod-vault' から証明書 'web-ssl-cert' を取得する"
- "キー コンテナー 'crypto-vault' に 'app-key' という名前の新しい RSA キーを作成する"
詳細情報: 使用可能なすべての機能と詳細なパラメーター情報については、 Azure Key Vault ツールリファレンス を参照してください。
ベスト プラクティス
Azure Key Vault で Azure MCP サーバーを使用する場合:
- コンテナー名を明確に指定する: クエリを実行するときは、あいまいさを避けるために、常に正確なキー コンテナー名を含めます。特に、多くのコンテナーを持つサブスクリプションでは、
- 証明書の有効期限を確認する: 証明書のプロパティを定期的に確認し、期限切れになる証明書を事前に認識して問題を防ぎます。
- インベントリの監査: リスト操作を使用して、コンプライアンスとセキュリティの監査のためにキー、シークレット、証明書のインベントリを確認します。
- 他のツールと組み合わせる: Azure MCP Server を使用して、クエリとインベントリの迅速なチェックを行います。 コンテナー構成の変更、アクセス制御の管理、 シークレットローテーションなどの機密性の高い操作には、Azure CLI または PowerShell を使用します。
Azure MCP Server 以外の一般的な Azure Key Vault のセキュリティ ガイダンスについては、 Azure Key Vault のセキュリティ保護に関するページを参照してください。