Azure Key Vault の設定
顧客管理キー(CMK)は、Microsoft Azure Key Vault からのキーのみをサポートします。 作業を開始するには、Azure を使用して新しいエンタープライズアカウントを作成するか、既存のエンタープライズアカウントを使用して、以下の手順に従って Key Vault を作成する必要があります。
Azure ポータルにログインし、検索バーを使用してサービスのリストの下にある Key vaults を見つけます。
サービスを選択すると、Key vaults ページが表示されます。 ここから Create を選択します。
提供されたフォームを使用して、名前や割り当てられたリソースグループなど、Key Vault の基本的な詳細を入力します。
ここから、Key Vault の作成ワークフローを続け、組織のポリシーに従って様々なオプションを設定します。
Review + create の手順に達したら、検証中に Key Vault の詳細を確認できます。 検証に問題がなければ、「Create」を選択してプロセスを完了します。
アクセスを設定 configure-access
次に、Key Vault の Azure ロールベースのアクセス制御を有効にします。 左側のナビゲーションの「Settings」セクションで「Access configuration」を選択したあと、「Azure role-based access control」を選択して設定を有効にします。 CMK アプリは後で Azure ロールに関連付ける必要があるので、この手順は必須です。 役割の割り当ては、API ワークフローと UI ワークフローの両方に記載されています。
ネットワークオプションの設定 configure-network-options
公開アクセスを特定の仮想ネットワークに制限するように Key Vault が設定されている場合、または公開アクセスを完全に無効にする場合は、ファイアウォールの例外を付与する必要 Microsoft あります。
左側のナビゲーションの「Networking」を選択します。 Firewalls and virtual networks の下で、「Allow trusted Microsoft services to bypass this firewall」チェックボックスを選択し、「Apply」を選択します。
キーの生成 generate-a-key
Key Vault を作成したら、新しいキーを生成できます。 「Keys」タブに移動し、「Generate/Import」を選択します。
提供されたフォームを使用してキーの名前を指定し、キータイプに RSA または RSA-HSM のいずれかを選択します。 少なくとも、Cosmos DB で要求されているように、RSA key size は少なくとも 3072 ビットである必要があります。 Azure Data Lake Storage は、RSA 3027 とも互換性があります。
残りのコントロールを使用して、必要に応じて生成または読み込むキーを設定します。終了したら「Create」を選択します。
設定されたキーが、Vault のキーのリストに表示されます。
次の手順
顧客管理キー機能の設定の 1 回限りのプロセスを続行するには、顧客管理キー設定ガイド API または UI のいずれかに進みます。