Azure Key Vault の設定

顧客管理キー(CMK)は、Microsoft Azure Key Vault からのキーのみをサポートします。 作業を開始するには、Azure を使用して新しいエンタープライズアカウントを作成するか、既存のエンタープライズアカウントを使用して、以下の手順に従って Key Vault を作成する必要があります。

IMPORTANT
Azure Key Vault の Standard、Premium、Managed HSM レベルのみがサポートされています。 Azure Dedicated HSM および Azure Payments HSM はサポートされていません。 提供されるキー管理サービスについて詳しくは、Azure ドキュメントを参照してください。
NOTE
以下のドキュメントでは、Key Vault を作成する基本的な手順についてのみ説明します。 このガイダンス以外では、組織のポリシーに従って Key Vault を設定する必要があります。

Azure ポータルにログインし、検索バーを使用してサービスのリストの下にある Key vaults を見つけます。

検索結果で Key vaults がハイライト表示されている Microsoft Azure の検索機能

サービスを選択すると、Key vaults ページが表示されます。 ここから Create を選択します。

Create がハイライト表示された Microsoft Azure の Key vaults ダッシュボード

提供されたフォームを使用して、名前や割り当てられたリソースグループなど、Key Vault の基本的な詳細を入力します。

WARNING
ほとんどのオプションはデフォルト値のままでかまいませんが、必ずソフト削除および消去保護オプションを有効にしてください。これらの機能を有効にしないと、Key Vault が削除された場合、データへのアクセスが失われる可能性があります。
ソフト削除および消去保護がハイライト表示された Microsoft Azure Create a Key Vault ワークフロー

ここから、Key Vault の作成ワークフローを続け、組織のポリシーに従って様々なオプションを設定します。

Review + create の手順に達したら、検証中に Key Vault の詳細を確認できます。 検証に問題がなければ、「Create」を選択してプロセスを完了します。

「作成」がハイライト表示されたMicrosoft Azure Key Vault の「レビューと作成」ページ

アクセスを設定 configure-access

次に、Key Vault の Azure ロールベースのアクセス制御を有効にします。 左側のナビゲーションの「Settings」セクションで「Access configuration」を選択したあと、「Azure role-based access control」を選択して設定を有効にします。 CMK アプリは後で Azure ロールに関連付ける必要があるので、この手順は必須です。 役割の割り当ては、API ワークフローと UI ワークフローの両方に記載されています。

Access configuration と Azure role-based access control がハイライト表示された Microsoft Azure ダッシュボード。

ネットワークオプションの設定 configure-network-options

公開アクセスを特定の仮想ネットワークに制限するように Key Vault が設定されている場合、または公開アクセスを完全に無効にする場合は、ファイアウォールの例外を付与する必要 Microsoft あります。

左側のナビゲーションの「Networking」を選択します。 Firewalls and virtual networks の下で、「Allow trusted Microsoft services to bypass this firewall」チェックボックスを選択し、「Apply」を選択します。

Networking と Allow trusted Microsoft surfaces to bypass this firewall の例外がハイライト表示された Microsoft Azure の「Networking」タブ

キーの生成 generate-a-key

Key Vault を作成したら、新しいキーを生成できます。 「Keys」タブに移動し、「Generate/Import」を選択します。

Generate import がハイライト表示された Azure の「Keys」タブ

提供されたフォームを使用してキーの名前を指定し、キータイプに RSA または RSA-HSM のいずれかを選択します。 少なくとも、Cosmos DB で要求されているように、RSA key size は少なくとも 3072 ビットである必要があります。 Azure Data Lake Storage は、RSA 3027 とも互換性があります。

NOTE
キーをAdobeに送るために必要なので、キーに指定した名前を覚えておきます。

残りのコントロールを使用して、必要に応じて生成または読み込むキーを設定します。終了したら「Create」を選択します。

3072 ビットがハイライト表示された Create a key ダッシュボード。

設定されたキーが、Vault のキーのリストに表示されます。

キー名がハイライト表示された Keys ワークスペース。

次の手順

顧客管理キー機能の設定の 1 回限りのプロセスを続行するには、顧客管理キー設定ガイド API または UI のいずれかに進みます。

recommendation-more-help
5741548a-2e07-44b3-9157-9c181502d0c5