Azure Key Vault の仮想ネットワーク サービス エンドポイント

  • [アーティクル]

Azure Key Vault の仮想ネットワーク サービス エンドポイントを使用すると、指定した仮想ネットワークに対するアクセスを制限できます。 エンドポイントでは、IPv4 (インターネット プロトコル バージョン 4) アドレス範囲のリストへのアクセスを制限することもできます。 このようなソースの外部からお使いのキー コンテナーに接続するユーザーはすべて、アクセスを拒否されます。

この制限には重要な例外が 1 つあります。 ユーザーが信頼できる Microsoft サービスを許可するようにオプトインした場合、このようなサービスからの接続はファイアウォールを介して行われます。 たとえば、Office 365 Exchange Online、Office 365 SharePoint Online、Azure コンピューティング、Azure Resource Manager、Azure Backup などのサービスが含まれます。 このようなユーザーでも有効な Microsoft Entra トークンを提示する必要があり、要求された操作を実行できるアクセス許可 (アクセス ポリシーとして構成) を持っている必要があります。 詳細については、仮想ネットワーク サービス エンドポイントに関するページを参照してください。

使用シナリオ

既定で (インターネット トラフィックを含む) すべてのネットワークからのトラフィックに対するアクセスを拒否するように Key Vault ファイアウォールと仮想ネットワークを構成することができます。 特定の Azure 仮想ネットワークやパブリック インターネット IP アドレスの範囲からのトラフィックにアクセスを許可できるため、アプリケーションに対してセキュリティで保護されたネットワーク境界を構築することができます。

注意

Key Vault ファイアウォールと仮想ネットワーク規則は、Key Vault のデータ プレーンにのみ適用されます。 Key Vault のコントロール プレーン操作 (作成、削除、変更操作、アクセス ポリシーの設定、ファイアウォールと仮想ネットワーク規則の設定、ARM テンプレートによるシークレットまたはキーのデプロイなど) は、ファイアウォールや仮想ネットワーク規則の影響を受けません。

サービス エンドポイントの使用方法の例をいくつか次に示します。

  • Key Vault を使用して暗号化キー、アプリケーションのシークレット、証明書を保存しており、パブリック インターネットからキー コンテナーへのアクセスをブロックする場合。
  • 自分のアプリケーションまたはリストで指定した少数のホストのみが自分のキー コンテナーに接続できるように、キー コンテナーへのアクセスをロックする場合。
  • Azure 仮想ネットワークでアプリケーションを実行していて、この仮想ネットワークはすべての受信および送信トラフィックに対してロックされている。 それでもアプリケーションで、シークレットまたは証明書を取得したり、暗号キーを使用したりするために、キー コンテナーに接続する必要がある場合。

信頼された Azure サービスにアクセスを許可する

他のアプリに対するネットワーク ルールを維持しながら、キー コンテナーに信頼された Azure サービスへのアクセス権を付与できます。 それにより、これらの信頼されたサービスでは、強力な認証を使用してキー コンテナーに安全に接続します。

ネットワーク設定を構成することによって、信頼された Azure サービスへのアクセス権を付与できます。 ステップ バイ ステップ ガイダンスについては、この記事のネットワーク構成オプションを参照してください。

信頼された Azure サービスにアクセスを許可する場合は、次の種類のアクセスを許可します。

  • サブスクリプションに登録されているリソースに対する選択された操作のための信頼されたアクセス。
  • マネージド ID に基づくリソースへの信頼されたアクセス。
  • フェデレーション ID 資格情報を使用した、テナントにまたがる信頼されたアクセス

信頼できるサービス

信頼できるサービスを許可するオプションが有効な場合にキー コンテナーへのアクセスが許可されている信頼できるサービスの一覧を次に示します。

信頼できるサービス サポートされる使用シナリオ
Azure API Management MSI を使用してキー コンテナーからカスタムドメイン用の証明書をデプロイする
Azure App Service App Service は、Azure Web アプリ証明書をキー コンテナー経由でデプロイする場合にのみ信頼されます。個別アプリ自体については、キー コンテナーの IP ベース ルールに送信 IP を追加できます。
Azure Application Gateway HTTPS 対応リスナーに Key Vault 証明書を使用する
Azure Backup Azure Backup を使用して、Azure 仮想マシンのバックアップ中に関連するキーとシークレットのバックアップと復元を許可する。
Azure Batch Batch アカウント用のカスタマー マネージド キーを構成するおよびユーザー サブスクリプションの Batch アカウント用の Key Vault
Azure Bot Service Azure AI Bot Service での保存データの暗号化
Azure CDN Azure CDN カスタム ドメインで HTTPS を構成する: Azure CDN にお使いのキー コンテナーへのアクセス権を付与する
Azure Container Registry カスタマー マネージド キーを使用したレジストリの暗号化
Azure Data Factory データ ファクトリからキー コンテナー内のデータ ストア資格情報を取得する
Azure Data Lake Store 顧客が管理するキーによる Azure Data Lake Store 内のデータの暗号化
Azure Data Manager for Agriculture 独自のライセンス キーを保存して使用する
Azure Database for MySQL 単一サーバー Azure Database for MySQL 単一サーバーのデータ暗号化
Azure Database for MySQL フレキシブル サーバー Azure Database for MySQL フレキシブル サーバーのデータ暗号化
Azure Database for PostgreSQL 単一サーバー Azure Database for PostgreSQL 単一サーバーのデータ暗号化
Azure Database for PostgreSQL フレキシブル サーバー Azure Database for PostgreSQL フレキシブル サーバーのデータ暗号化
Azure Databricks 高速で使いやすい、コラボレーション対応の Apache Spark ベースの分析サービス
Azure Disk Encryption ボリューム暗号化サービス 仮想マシンのデプロイ中に、BitLocker キー (Windows VM) または DM パスフレーズ (Linux VM) とキー暗号化キーへのアクセスを許可する。 これにより、Azure Disk Encryption が有効になります。
Azure Disk Storage ディスク暗号化セット (DES) で構成されている場合。 詳細については、カスタマー マネージド キーを使用した Azure Disk Storage のサーバー側暗号化に関する記事を参照してください。
Azure Event Hubs カスタマー マネージト キーのシナリオでキー コンテナーへのアクセスを許可する
Azure ExpressRoute ExpressRoute Direct で MACsec を使用する場合
Azure Firewall Premium Azure Firewall Premium の証明書
Azure Front Door クラシック HTTPS に Key Vault 証明書を使用する
Azure Front Door Standard/Premium HTTPS に Key Vault 証明書を使用する
Azure Import/Export Azure Key Vault でユーザーが管理するキーを Import/Export サービスのために使用する
Azure Information Protection Azure Information Protection のテナント キーへのアクセスを許可する。
Azure Machine Learning 仮想ネットワーク内の Azure Machine Learning をセキュリティで保護する
Azure NetApp Files Azure Key Vault のカスタマー マネージド キーへのアクセスを許可する
Azure Policy スキャン シークレットのコントロール プレーン ポリシー、データ プレーンに格納されているキー
Azure Resource Manager テンプレート展開サービス デプロイ時にセキュリティで保護された値を渡す
Azure Service Bus カスタマー マネージト キーのシナリオでキー コンテナーへのアクセスを許可する
Azure SQL データベース Azure SQL Database と Azure Synapse Analytics に対する Transparent Data Encryption での Bring Your Own Key のサポート
Azure Storage Azure Key Vault で顧客が管理するキーを Storage Service Encryption に使用する
Azure Synapse Analytics Azure Key Vault でのユーザーが管理するキーを使用したデータ暗号化
Azure Virtual Machines 展開サービス ユーザー管理のキー コンテナーから VM に証明書を展開する
Exchange Online、SharePoint Online、M365DataAtRestEncryption カスタマー キーを使用した保存データの暗号化のために、カスタマー マネージド キーへのアクセスを許可します。
Microsoft Purview Microsoft Purview でのソース認証用の資格情報の使用

注意

対応するサービスが Key Vault にアクセスできるように、関連するKey Vault RBACロールの割り当てまたはアクセスポリシー (レガシー) を設定する必要があります。

次のステップ