Azure Data Manager for Energy のデータ セキュリティと暗号化

  • [アーティクル]

この記事では、Azure Data Manager for Energy のセキュリティ機能の概要について説明します。 保存時の暗号化、転送中の暗号化、TLS、https、Microsoft マネージド キー、カスタマー マネージド キーの主要な領域について説明します。

保存データを暗号化

Azure Data Manager for Energy では、メタデータ、ユーザー データ、メモリ内データなどを格納するために、複数のストレージ リソースが使用されます。プラットフォームでは、サービス側の暗号化を使用して、クラウドに永続化されるときにすべてのデータが自動的に暗号化されます。 データの保存時の暗号化によってデータは保護され、組織のセキュリティおよびコンプライアンス コミットメントを満たすのに役立ちます。 Azure Data Manager for Energy のすべてのデータは、既定で Microsoft が管理するキーで暗号化されます。 Microsoft マネージド キーに加えて、独自の暗号化キーを使用して、Azure Data Manager for Energy のデータを保護できます。 カスタマー マネージド キーを指定すると、そのキーは、データを暗号化する Microsoft マネージド キーへのアクセスを保護および制御するために使用されます。

転送中のデータを暗号化する

Azure Data Manager for Energy では、クラウド サービスと顧客の間を移動するときにデータを保護するためのトランスポート層セキュリティ (TLS 1.2) プロトコルがサポートされています。 TLS には、強力な認証、メッセージの機密性、整合性 (メッセージの改ざん、傍受、偽造の検出の有効化)、相互運用性、アルゴリズムの柔軟性といったメリットがあります。

TLS に加えて、Azure Data Manager for Energy と対話すると、すべてのトランザクションが HTTPS 経由で実行されます。

Azure Data Manager for Energy インスタンスのカスタマー マネージド キー (CMK) を設定する

重要

Azure Data Manager for Energy インスタンスが作成されると、CMK 設定を編集することはできません。

前提条件

手順 1: キー コンテナーを構成する

  1. 新規または既存のキー コンテナーを使用して、カスタマー マネージド キーを格納することができます。 Azure Key Vault の詳細については、「Azure Key Vault の概要」と「Azure Key Vault とは」を参照してください。

  2. Azure Data Manager for Energy でカスタマー マネージド キーを使用するには、キー コンテナーに対して論理的な削除と消去保護の両方を有効にする必要があります。 新しいキー コンテナーを作成すると、論理的な削除は既定で有効になり、無効にすることはできません。 消去保護は、キー コンテナーの作成時または作成後に有効にすることができます。

  3. Azure portal を使ってキー コンテナーを作成する方法を学習するには、「クイック スタート: Azure portal を使用してキー コンテナーを作成する」を参照してください。 キー コンテナーを作成するときに、[消去保護を有効にする] を選択します。

    キー コンテナーの作成時に消去保護と論理的な削除を有効にするスクリーンショット

  4. 既存のキー コンテナーで消去保護を有効にするには、次の手順を実行します。

    1. Azure portal で、ご自身のキー コンテナーに移動します。
    2. [設定][プロパティ] を選択します。
    3. [消去保護] セクションで、[消去保護を有効にする] を選択します。

手順 2: キーを追加する

  1. 次に、キー コンテナーにキーを追加します。
  2. Azure portal を使ってキーを追加する方法を学習するには、「クイック スタート: Azure portal を使用して Azure Key Vault との間でキーの設定と取得を行う」を参照してください。
  3. RSA キー サイズは 3072 を推奨します。「Azure Cosmos DB アカウントのカスタマー マネージド キーを構成する | Microsoft Learn」を参照。

手順 3: マネージド ID を選択して、キー コンテナーへのアクセスを承認する

  1. 既存の Azure Data Manager for Energy インスタンスに対してカスタマー マネージド キーを有効にする場合は、キーを含むキー コンテナーへのアクセスを承認するために使用するマネージド ID を指定する必要があります。 マネージド ID には、キー コンテナー内のキーにアクセスするためのアクセス許可が必要です。
  2. ユーザー割り当てマネージド ID を作成できます。

既存のアカウントでカスタマー マネージド キーを構成する

  1. Azure Data Manager for Energy インスタンスを作成します。
  2. [暗号化] タブを選択します。

Azure Data Manager for Energy の作成時の [暗号化] タブのスクリーンショット。

  1. [暗号化] タブで、[カスタマー マネージド キー (CMK)] を選択します。

  2. CMK を使用するには、キーが格納されているキー コンテナーを選択する必要があります。

  3. [暗号化キー] を “キー コンテナーとキーの選択” として選択します。

  4. 次に、“キー コンテナーとキーの選択” を選択します。

  5. 次に、キー コンテナーキーを選択します。

    [キー コンテナーとキーの選択] を選択した後に開く右側のウィンドウでサブスクリプション、キー コンテナー、キーの選択を示すスクリーンショット

  6. 次に、キーが格納されるキー コンテナーへのアクセスを承認するために使用されるユーザー割り当てマネージド ID を選択します。

  7. ユーザー ID を選択する” を選択します。 前提条件で作成したユーザー割り当てマネージド ID を選択します。

[暗号化] タブのキー コンテナー、キー、ユーザー割り当て ID、CMK のスクリーンショット

  1. このユーザー割り当て ID には、キー コンテナーに対するキーの取得キーの一覧表示キーの折り返しキーの折り返し解除のアクセス許可が必要です。 Azure Key Vault アクセス ポリシーの割り当ての詳細については、「Key Vault アクセス ポリシーの割り当て」を参照してください。

    キー アクセス ポリシーの取得、一覧表示、折り返し、折り返し解除のスクリーンショット

  2. [暗号化キー] を “URI からキーを入力”として選択することもできます。 キーでは、論理的な削除と消去の保護を有効にすることが必須です。 以下のチェックボックスをオンにして、確認する必要があります。

    暗号化用のキー コンテナー URI のスクリーンショット

  3. 次に、他のタブを完了してから、“確認と作成” を選択します。

  4. "作成" ボタンを選択します。

  5. Azure Data Manager for Energy インスタンスは、カスタマー マネージド キーを使用して作成されます。

  6. CMK が有効になると、その状態が [概要] 画面に表示されます。

    Azure Data Manager for Energy の概要ページで有効になっている CMK のスクリーンショット。

  7. [暗号化] に移動し、ユーザー マネージド ID で CMK が有効になっていることを確認できます。

    Azure Data Manager for Energy インスタンスがインストールされると無効になった CMK 設定のスクリーンショット。

次のステップ

プライベート リンクの詳細。

プライベート リンクの設定方法