Microsoft Foundry のカスタマー マネージド キー (CMK)

Microsoft Foundry でのカスタマー マネージド キー (CMK) 暗号化により、データの暗号化を制御できます。 CMK を使用して追加の保護層を追加し、Azure Key Vaultまたは Azure Managed HSM 統合のコンプライアンス要件を満たすのに役立ちます。

Microsoft Foundry には、機密データのセキュリティ保護に役立つ Key Vault または Managed HSM に格納されている CMK を使用する機能など、堅牢な暗号化機能が用意されています。 CMK 暗号化は、Foundry リソースの関連ストレージ アカウントに格納されている保存データ (プロジェクト成果物、アップロードされたファイル、評価データなど) に適用されます。

この記事では、Foundry リソースに対して Key Vault または Managed HSM を使用して CMK 暗号化を構成する方法について説明します。

メモ

基になるAzure AI 検索 インフラストラクチャの容量制約により、カスタマー マネージド キー (CMK) 暗号化は現在、一部のリージョンでのみ使用できます。 サポートされているリージョンの一覧については、「Azure AI 検索リージョンの可用性を参照してください。

CMK の利点

  • 静止中のデータを独自のキーで暗号化するための機能。
  • 組織のセキュリティおよびコンプライアンス ポリシーとの統合。
  • 暗号化されたデータへのアクセスの制御を強化するために、キーをローテーションまたは取り消す機能。

前提 条件

Foundry 用に CMK を構成するには、次のものが必要です。

  • Azure リソースを作成および管理するためのアクティブなAzure サブスクリプション。

  • キーを格納する既存のキー コンテナーまたはマネージド HSM。 これらの要件も適用されます。

    • キー ストアと Foundry リソースを同じAzure リージョンにデプロイします。
    • キー ストアで論理的な削除と消去の保護を有効にして、カスタマー マネージド キーが偶発的または悪意のある削除 (Azureで必要) から保護できるようにします。

    キー コンテナーを作成するには、「Quickstart: Azure ポータルを使用してキー コンテナーを作成するを参照してください。 Managed HSM を作成するには、「Quickstart: Azure ポータルを使用して Managed HSM をプロビジョニングしてアクティブ化するを参照してください。

  • マネージド ID の構成:

  • キー ストアのアクセス許可:

    • Azure RBAC を使用したKey Vaultの場合は、Key Vault Crypto User ロールをマネージド ID に割り当てます。
    • ボールト アクセス ポリシーを使用した Key Vault では、unwrapKeywrapKey などのキー固有のアクセス許可をマネージド ID に付与します。
    • Managed HSM の場合は、適切なスコープでマネージド ID に Managed HSM Crypto User ロールを割り当てます。 詳細については、「 Managed HSM ローカル RBAC の組み込みロール」を参照してください。

  • 十分なAzureアクセス許可:

    • キー コンテナーで RBAC ロールを割り当てるためには、所有者またはユーザー アクセス管理者ロールが必要です。 Managed HSM の場合、ローカル RBAC ロールの割り当てを行うための Managed HSM 管理者ロール。
    • 暗号化設定を構成するための Foundry リソースの共同作成者または所有者ロール。

CMK を構成する前に、必ずサポートされているリージョンにリソースをデプロイしてください。 Foundry 機能のリージョンサポートの詳細については、「Microsoft Foundry feature availability across cloud regions」を参照してください。

キー ストアのネットワーク構成

Foundry リソースでプライベート ネットワークを使用する場合、CMK をホストする顧客提供のAzure Key Vaultまたは Managed HSM では、次の構成がサポートされます。

  • "信頼されたMicrosoft サービスを許可する" が有効になっているPrivate リンク エンドポイント: キー ストアは接続にプライベート エンドポイントを使用し、信頼されたMicrosoft サービスからのアクセスも許可します。 これは、プライベート接続を必要とする環境に推奨される構成です。
  • "Allow trusted Microsoft サービス" enabled (プライベート エンドポイントなし) : キー ストアは、パブリック エンドポイント経由で信頼されたMicrosoft サービスからのアクセスを許可します。 Foundry リソースが暗号化操作のためにキー ストアにアクセスできるようにするには、この設定を有効にします。

信頼されたサービス アクセスを構成するには、ファイアウォールと仮想ネットワーク Azure Key Vaultの構成 または Managed HSM ネットワーク セキュリティを参照してください。

CMK を構成する手順

手順 1: キー ストアにキーを作成またはインポートする

Azure Key Vaultでキーを生成するには:

  1. Azure ポータルで、キー ボールトに移動します。

  2. [設定][キー] を選択します。

  3. [ + 生成/インポート] を選択します。

  4. キー名を入力し、キーの種類 (RSA や HSM に基づくものなど) を選択し、キー サイズ (2048 ビット最小) と有効期限の詳細を構成します。

  5. [ 作成] を選択して新しいキーを保存します。

    新しいキーが [ キー ] の一覧に表示されます。

Azure Managed HSM でキーを生成するには、「 HSM キーの作成を参照してください。

次の考慮事項に注意してください。

  • プロジェクトは、Microsoftマネージド キーから CMK に更新できますが、元に戻すわけではありません。
  • Project CMK は、同じキー ストア内のキーにのみ更新できます。
  • ストレージ関連の料金は、CMK 暗号化の論理的に削除されたリテンション期間中も発生します。

詳細については、「 キーについて」を参照してください。

Key Vaultにキーをインポートするには:

  1. キーボルトで「キー」セクションに移動します。

  2. [ + 生成/インポート] を選択し、[ インポート ] オプションを選択します。

  3. キー マテリアルをアップロードし、キー構成に必要な詳細を指定します。

  4. プロンプトに従ってインポート プロセスを完了します。

Managed HSM にキーをインポートするには、「 HSM で保護されたキーを Managed HSM にインポートする」を参照してください。

手順 2: マネージド ID にキー ストアのアクセス許可を付与する

システム割り当てマネージド ID またはユーザー割り当てマネージド ID がキー ストアにアクセスするための適切なアクセス許可を構成します。

Key Vault

  1. Azure ポータルで、キー ボールトに移動します。

  2. Access Control (IAM) を選択します。

  3. [ + ロールの割り当ての追加] を選択します。

  4. Key Vault Crypto User ロールを Foundry リソースのシステム割り当てマネージド ID またはユーザー割り当てマネージド ID に割り当てます。

    マネージド ID は、キー ボールトのロール割り当て一覧に表示されます。

管理された HSM

Managed HSM では、Azure RBAC とは別のローカル RBAC システムが使用されます。 az keyvault role assignment createまたは Managed HSM データ プレーンを使用してロールを割り当てます。

  1. Managed HSM 管理者として、 Managed HSM Crypto User ロールを Foundry リソースのシステム割り当てマネージド ID またはユーザー割り当てマネージド ID に割り当てます。 割り当てのスコープをキーに割り当てるか、ご自身のシナリオに適切なスコープに設定してください。

  2. az keyvault role assignment listを使用して割り当てを確認します。

詳細については、 Managed HSM のアクセス制御に関するページを参照してください。

手順 3: Foundry で CMK を有効にする

CMK は、Foundry リソースの作成時または既存のリソースの更新によって有効にすることができます。 リソースの作成時に、ウィザードでは、ユーザー割り当てマネージド ID またはシステム割り当てマネージド ID を使用するように指示されます。 また、キーが格納されているキー コンテナーまたは Managed HSM を選択する方法についても説明します。

既存の Foundry リソースを更新する場合は、次の手順を使用して CMK を有効にします。

  1. Azure ポータルで Foundry リソースを開きます。

  2. リソース管理>Encryption に移動します。

  3. 暗号化の種類として Customer-Managed キー を選択します。

  4. キー ストアの URL (キー コンテナーの URL または Managed HSM URL) とキー名を入力します。

  5. [保存] を選択します

構成を確認するには、 Resource Management>Encryption に移動し、 Customer-Managed キー がアクティブな暗号化の種類として表示され、キー ストアとキー名が表示されていることを確認します。

コンテナー アクセス: Azure RBAC とコンテナー アクセス ポリシー

Azure Key Vaultでは、アクセス許可を管理するための 2 つのモデルがサポートされています。

  • AZURE RBAC (推奨):

    • Microsoft Entraロールを使用して一元的なアクセス制御を提供します。
    • Azure全体のリソースのアクセス許可管理を簡略化します。
    • Key Vault暗号化ユーザー ロールが必要です。

  • ボールトアクセス ポリシー:

    • Key Vault リソースに固有の詳細なアクセス制御を許可します。
    • レガシまたは分離されたアクセス許可の設定が必要な構成に適しています。

組織の要件に合ったモデルを選択します。 新しいデプロイでは、Azure RBAC を使用します。 既存の組織の要件で要求されている場合にのみボールト アクセス ポリシーを使用します。

Azure Managed HSM では、Azure RBAC とは別の独自のローカル RBAC システムが使用されます。 Managed HSM の場合は、Managed HSM Crypto User ロールをマネージド ID に割り当てます。 詳細については、「 Managed HSM ローカル RBAC の組み込みロール」を参照してください。

キーの監視とローテーション

最適なセキュリティとコンプライアンスを維持するには、次のプラクティスを実装します。

  • 診断の有効化: Azure MonitorまたはLog Analyticsでキー ボールトまたはManaged HSMの診断ログを有効にして、キーの使用状況とアクセス アクティビティを監視します。
  • キーを定期的にローテーションする: キー ストアに新しいバージョンのキーを定期的に作成します。 Foundry リソースを更新して、暗号化設定で最新のキー バージョンを参照します。
  • キー失効の影響を理解する: CMK を取り消すか削除すると、そのキーで暗号化されたデータは、キーが復元されるまでアクセスできなくなります。 データが不要になっていることを最初に確認せずに、キー ストアまたはキーのバージョンを消去しないでください。

トラブルシューティング

問題 解像 度
403 CMK を有効にすると禁止されます Key Vaultの場合は、マネージド ID に Key Vault Crypto User ロール (RBAC) または unwrapKeywrapKey アクセス許可 (コンテナー アクセス ポリシー) があることを確認します。 Managed HSM の場合は、マネージド ID に適切なスコープの Managed HSM Crypto User ロールがあることを確認します。
キー ストアが見つかりません Key Vault または Managed HSM が Foundry リソースと同じAzure リージョン内にあるかどうかを確認します。
キーのバージョンはサポートされていません 最小サイズが 2048 ビットの RSA キーを使用します。
キー失効後にデータにアクセスできない キー ストアのキー バージョンを復元します。 キーが復元されるまで、データにアクセスできなくなります。 キー ストアが消去された場合は、Azure サポートにお問い合わせください。

関連コンテンツ

  • Last updated on