論理的な削除と消去保護を使用した Azure Key Vault の回復の管理

この記事では、Azure Key Vault の 2 つの回復機能である論理的な削除と消去保護について説明します。 このドキュメントでは、これらの機能の概要について説明し、Azure portal、Azure CLI、Azure PowerShell を使用してそれらを管理する方法を示します。

重要

キー コンテナーで論理的な削除の保護が有効になっていない場合、キーを削除することはそれを完全に削除することになります。 利用者は、Azure Policy を介してコンテナーの論理的な削除の適用を有効にすることが強く推奨されます。

Key Vault の詳細については、以下を参照してください。

前提条件

  • Azure サブスクリプション - 無料アカウントを作成します

  • Azure PowerShell

  • Azure CLI

  • キー コンテナー - Azure portalAzure CLI、または Azure PowerShell を使用して作成できます

  • 論理的に削除されたコンテナーに対して操作を実行するには、ユーザーには (サブスクリプション レベルでの) 以下のアクセス許可が必要です。

    権限 説明
    Microsoft.KeyVault/locations/deletedVaults/read 論理的に削除された Key Vault のプロパティを表示します。
    Microsoft.KeyVault/locations/deletedVaults/purge/action 論理的に削除された Key Vault を消去します。
    Microsoft.KeyVault/locations/operationResults/read コンテナーの消去状態を確認するために必要です
    Key Vault Contributor 論理的に削除されたコンテナーを回復するために必要です

論理的な削除および消去保護とは

論理的な削除と消去保護は、Key Vault の 2 つの異なる回復機能です。

論理的な削除は、キー コンテナーおよびキー コンテナー内に格納されているキー、シークレット、証明書が誤って削除されるのを防ぐように設計されています。 論理的な削除はごみ箱のようなものと考えることができます。 キー コンテナーまたはキー コンテナー オブジェクトを削除すると、それは、ユーザーが構成可能な保持期間または既定の 90 日の間、回復可能な状態に保たれます。 論理的に削除された状態のキー コンテナーは消去 (完全に削除) することもできます。これにより、同じ名前のキー コンテナーとキー コンテナー オブジェクトを再作成できるようになります。 キー コンテナーとオブジェクトの回復と削除のどちらについても、昇格されたアクセス ポリシーのアクセス許可が必要です。 いったん有効にした論理的な削除を、無効にすることはできません。

キー コンテナーの名前はグローバルに一意であるため、論理的に削除された状態のキー コンテナーと同じ名前のキー コンテナーは作成できないことに注意することが重要です。 同様に、キー、シークレット、証明書の名前は、キー コンテナー内で一意です。 論理的に削除された状態の別のものと同じ名前で、シークレット、キー、証明書を作成することはできません。

消去保護は、悪意のある内部関係者によってキー コンテナー、キー、シークレット、証明書が削除されるのを防ぐように設計されています。 これは、時間ベースのロック機能を備えたごみ箱と考えてください。 構成可能な保持期間中であればいつでも、項目を回復できます。 キー コンテナーは、保持期間が経過するまでは、完全に削除したり消去したりできません。 保持期間が経過すると、キー コンテナーまたはキー コンテナー オブジェクトは自動的に消去されます。

Note

消去保護は、管理者のロールまたはアクセス許可によって消去保護を上書き、無効化、または回避することができないように設計されています。 消去保護を有効にすると、Microsoft を含め、誰もそれを無効にしたり、上書きしたりすることはできません。 つまり、キー コンテナー名を再利用するには、最初に削除されたキー コンテナーを回復するか、保持期間が経過するまで待つ必要があります。

論理的な削除の詳細については、「Azure Key Vault の論理的な削除の概要」を参照してください。

キー コンテナーで論理的な削除が有効になっているかどうかを確認し、論理的な削除を有効にする

  1. Azure portal にサインインします。
  2. キー コンテナーを選択します。
  3. [プロパティ] ブレードを選択します。
  4. 論理的な削除の横にあるオプション ボタンが、"回復を有効にする" に設定されているかどうかを確認します。
  5. キー コンテナーで論理的な削除が有効になっていない場合は、論理的な削除を有効にするラジオ ボタンを選択して、[保存] を選択します。

[プロパティ] では、有効にするための値として [論理的な削除] が強調表示されます。

削除されたシークレットを消去および回復するためのアクセス権をサービス プリンシパルに許可する

  1. Azure portal にサインインします。
  2. キー コンテナーを選択します。
  3. [アクセス ポリシー] ブレードを選択します。
  4. テーブルで、アクセスを許可するセキュリティ プリンシパルの行を見つけます (または、新しいセキュリティ プリンシパルを追加します)。
  5. キー、証明書、シークレットのドロップダウンを選択します。
  6. ドロップダウンの一番下までスクロールし、[回復] と [消去] を選択します
  7. セキュリティ プリンシパルには、大部分の操作を実行するための [取得] と [一覧表示] の権限も必要となります。

左側のナビゲーション ウィンドウで、[アクセス ポリシー] が強調表示されます。[アクセス ポリシー] には [Secret Positions]\(シークレット位置\) のドロップダウン リストが表示され、4 つの項目が選択されます: 取得、一覧表示、回復、消去

論理的に削除されたキー コンテナーを一覧表示、回復、または消去する

  1. Azure portal にサインインします。
  2. ページの上部にある検索バーを選択します。
  3. "Key Vault" サービスを検索します。 個々のキー コンテナーは選択しないでください。
  4. 画面の上部で、[削除されたコンテナーの管理] オプションを選択します
  5. 画面の右側にコンテキスト ペインが開きます。
  6. サブスクリプションを選択します。
  7. キー コンテナーが論理的に削除されている場合は、右側のコンテキスト ペインに表示されます。
  8. コンテナーの数が多すぎる場合は、コンテキスト ペインの下部にある [さらに読み込む] を選択するか、CLI または PowerShell を使用して結果を取得します。
  9. 回復または消去したいコンテナーを見つけたら、その横にあるチェックボックスを選択します。
  10. キー コンテナーを回復する場合は、コンテキスト ペインの下部にある回復オプションを選択します。
  11. キー コンテナーを完全に削除する場合は、消去オプションを選択します。

キー コンテナーで、[Manage deleted vaults]\(削除されたコンテナーの管理\) オプションが協調表示されます。

[Manage deleted vaults]\(削除されたコンテナーの管理\) では、表示された唯一のキー コンテナーが選択された状態で強調表示され、[回復] が強調表示されます。

論理的に削除されたシークレット、キー、証明書を一覧表示、回復、または消去する

  1. Azure portal にサインインします。
  2. キー コンテナーを選択します。
  3. 管理するシークレットの種類 (キー、シークレット、または証明書) に対応するブレードを選択します。
  4. 画面の上部で、[削除された (キー、シークレット、証明書) の管理] を選択します
  5. 画面の右側にコンテキスト ペインが表示されます。
  6. シークレット、キー、または証明書が一覧に表示されない場合は、論理的に削除された状態ではありません。
  7. 管理するシークレット、キー、または証明書を選択します。
  8. コンテキスト ペインの下部にある回復または消去のオプションを選択します。

[キー] では、[Manage deleted keys]\(削除されたキーの管理\) オプションが協調表示されます。

次のステップ