Az - Key Vault
基本情報
ドキュメントから: Azure Key Vaultは、秘密を安全に保存およびアクセスするためのクラウドサービスです。秘密とは、APIキー、パスワード、証明書、暗号鍵など、アクセスを厳密に制御したいものを指します。Key Vaultサービスは、ボールトと管理されたハードウェアセキュリティモジュール(HSM)プールの2種類のコンテナをサポートしています。ボールトは、ソフトウェアおよびHSMバックアップキー、秘密、および証明書の保存をサポートします。管理されたHSMプールはHSMバックアップキーのみをサポートします。詳細はAzure Key Vault REST APIの概要を参照してください。
URL形式は https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}
です。以下のように構成されています:
vault-name
はキー・ボールトのグローバルに一意の名前ですobject-type
は "keys", "secrets" または "certificates" ですobject-name
はキー・ボールト内のオブジェクトの一意の名前ですobject-version
はシステム生成され、オブジェクトの一意のバージョンを指定するためにオプションで使用されます。
ボールトに保存された秘密にアクセスするためには、2つの権限モデルが使用できます:
Vault access policy
Azure RBAC
アクセス制御
Key Vaultリソースへのアクセスは、2つのプレーンによって制御されます:
管理プレーン、ターゲットはmanagement.azure.comです。
キー・ボールトとアクセスポリシーを管理するために使用されます。Azureロールベースのアクセス制御(RBAC)のみがサポートされています。
データプレーン、ターゲットは**
<vault-name>.vault.azure.com
**です。キー・ボールト内のデータ(キー、秘密、証明書)を管理およびアクセスするために使用されます。これにはキー・ボールトアクセスポリシーまたはAzure RBACがサポートされています。
Contributorのような管理プレーンでアクセスポリシーを管理する権限を持つロールは、アクセスポリシーを変更することで秘密にアクセスできます。
Key Vault RBAC ビルトインロール
ネットワークアクセス
Azure Key Vaultでは、ファイアウォールルールを設定して、指定された仮想ネットワークまたはIPv4アドレス範囲からのみデータプレーン操作を許可することができます。この制限はAzure管理ポータル経由のアクセスにも影響し、ログインIPアドレスが許可された範囲内にない場合、ユーザーはキー、秘密、または証明書をキー・ボールト内でリストすることができません。
これらの設定を分析および管理するために、Azure CLIを使用できます:
前のコマンドは、name-vault
のファイアウォール設定を表示し、有効なIP範囲や拒否されたトラフィックのポリシーを含みます。
列挙
Last updated