次の方法で共有


Azure Key Vault 内で MARS エージェント パスフレーズを安全に保存して管理する

Recovery Services エージェント (MARS) を使用する Azure Backup では、ファイル/フォルダーとシステム状態データを Azure Recovery Services コンテナーにバックアップできます。 このデータは、MARS エージェントのインストールと登録時に指定したパスフレーズを使用して暗号化されます。 このパスフレーズは、バックアップ データを取得して復元するために必要であり、安全な外部の場所に保存する必要があります。

重要

このパスフレーズが失われた場合、Microsoft は Recovery Services コンテナーに格納されているバックアップ データを取得できません。 このパスフレーズは、外部の安全な場所 (Azure Key Vault など) に格納することをお勧めします。

これで、新しいマシンのインストール中に MARS コンソールからシークレットとして Azure Key Vault に暗号化パスフレーズを安全に保存し、既存のマシンのパスフレーズを変更できるようになりました。 パスフレーズを Azure Key Vault に保存できるようにするには、Azure Key Vault でシークレットを作成するためのアクセス許可を Recovery Services コンテナーに付与する必要があります。

開始する前に

  • Recovery Services コンテナーをまだお持ちでない場合は、作成します。
  • すべてのパスフレーズを格納するには、1 つの Azure Key Vault を使用する必要があります。 Key Vault がない場合は、作成します。
  • パスフレーズを格納する新しい Azure Key Vault を作成する場合は、Azure Key Vault 価格が適用されます。
  • Key Vault を作成した後、パスフレーズの誤った削除や悪意のある削除から保護するには、論理的な削除と消去の保護がオンになっていることを確認します
  • この機能は、MARS エージェント バージョン 2.0.9262.0 以上の Azure パブリック リージョン内でのみサポートされています。

Azure Key Vault へのパスフレーズを格納するように Recovery Services コンテナーを構成する

パスフレーズを Azure Key Vault に保存する前に、Recovery Services コンテナーと Azure Key Vault を構成します。

コンテナーを構成するには、意図した結果を得られるように指定された順序に従ってください。 各アクションについては、以下のセクションで詳しく説明します。

  1. Recovery Services コンテナーに対してシステム割り当てマネージド ID を有効にしました。
  2. Azure Key Vault にシークレットとしてパスフレーズを保存するためのアクセス許可を Recovery Services コンテナーに割り当てる
  3. Azure Key Vault で論理的な削除と消去保護を有効にします。

Note

  • この機能を有効にしたら、一度有効にしたマネージド ID は、(一時的にであっても) 無効にしないでください。 マネージド ID を無効にすると、動作に一貫性がなくなる可能性があります。
  • ユーザー割り当てマネージド ID は、Azure Key Vault でのパスフレーズの保存は現在サポートされていません。

Recovery Services コンテナーに対してシステム割り当てマネージド ID を有効にする

クライアントを選択する:

次の手順のようにします。

  1. ご自身の Recovery Services コンテナー>[ID] の順に移動します。

    Recovery Services コンテナーで ID に移動する方法を示すスクリーンショット。

  2. [システム割り当て済み] タブを選択します。

  3. [状態][オン] に変更します。

  4. [保存] を選択して、そのコンテナーの ID を有効にします。

オブジェクト ID が生成されます。これがコンテナーのシステム割り当てマネージド ID です。

アクセス許可を割り当てて Azure Key Vault にパスフレーズを保存する

Key Vault 用に構成された Key Vault アクセス許可モデル (ロールベースのアクセス許可またはアクセス ポリシー ベースのアクセス許可モデル) に基づいて、次のセクションを参照してください。

Key Vault のロールベースのアクセス許可モデルを使用してアクセス許可を有効にする

クライアントを選択する:

アクセス許可を割り当てるには、次の手順に従ってください。

  1. [Azure Key Vault]>[設定]>[アクセス構成] の順に移動して、アクセス許可モデルが RBAC であることを確認します。

    [設定] の下の [アクセス構成] を開く方法を示すスクリーンショット。

  2. [アクセス制御 (IAM)]>[追加] の順に選択して、ロール割り当てを追加します。

  3. Recovery Services コンテナー ID では、パスフレーズを作成してシークレットとして Key Vault に追加するには、シークレットに対する設定のアクセス許可が必要です。

    アクセス許可を持つ Key Vault Secrets Officer などの組み込みロールを選択するか (この機能に必要ないその他のアクセス許可と共に)、シークレットに対する設定のアクセス許可のみを持つカスタム ロールを作成できます。

    [詳細][表示] を選択して、ロールによって付与されたアクセス許可を表示し、"シークレット" に対する "設定" のアクセス許可を使用できることを確認します。

    アクセス許可の詳細を表示する方法を示すスクリーンショット。

    設定のアクセス許可が使用可能かどうかを確認する方法を示すスクリーンショット。

  4. [次へ] を選択して、割り当てに [メンバー] を選択します。

  5. [マネージド ID][メンバーの選択] の順に選びます。 ターゲット Recovery Services コンテナーの [サブスクリプション] を選択し、[システム割り当てマネージド ID] で Recovery Services コンテナーを選択します。

    Recovery Services コンテナーの名前を検索して選択します。

    マネージド ID でメンバーを追加する方法を示すスクリーンショット。

  6. [次へ] を選択し、割り当てを確認して、[確認と割り当て] を選択します。

    アクセス許可を確認して割り当てる方法を示すスクリーンショット。

  7. Key Vault で [アクセス制御 (IAM)] に移動し、[ロールの割り当て] を選択し、Recovery Services コンテナーが一覧表示されていることを確認します。

    Recovery Services コンテナーがアクセス制御に一覧表示されている様子を示すスクリーンショット。.

Key Vault のアクセス ポリシーのアクセス許可モデルを使用してアクセス許可を有効にする

クライアントを選択する:

次の手順のようにします。

  1. [Azure Key Vault]>[アクセス ポリシー]>[アクセス ポリシー] の順に移動し、[+ 作成] を選択します。

    Key Vault の作成を開始する方法を示すスクリーンショット。

  2. [シークレットのアクセス許可] で、[操作の設定] を選択します。

    これにより、シークレットに対して許可される操作が指定されます。

    アクセス許可の設定を開始する方法を示すスクリーンショット。

  3. [プリンシパルの選択] に移動し、検索ボックスで名前またはマネージド ID を使用して、ご自身のコンテナーを検索します。

    検索結果からコンテナーを選択し、[選択] を選びます。

    選択したコンテナーに対するアクセス許可の割り当てを示すスクリーンショット。

  4. [確認と作成] に移動し、[アクセス許可の設定] が使用可能であり、[プリンシパル] が正しい Recovery Services コンテナーであることを確認し、[作成] を選択します。

    割り当てられた Recovery Services コンテナーの確認と Key Vault の作成を示すスクリーンショット。

    アクセスの存在を確認する方法を示すスクリーンショット。

Azure Key Vault 上で論理的な削除と消去保護を有効にする

暗号化キーを格納している Azure Key Vault で、論理的な削除と消去保護を有効にする必要があります。

クライアントを選択する*

Azure Key Vault から論理的な削除と消去保護を有効にすることができます。

あるいは、Key Vault の作成時にこれらのプロパティを設定することもできます。 これらの Key Vault のプロパティの詳細をご確認ください

論理的な削除を有効にする方法を示すスクリーンショット。

新しい MARS インストールのためにパスフレーズを Azure Key Vault に保存する

MARS エージェントのインストールに進む前に、Azure Key Vault へのパスフレーズを格納するように Recovery Services コンテナーを構成し、正常に完了していることを確認します。

  1. Recovery Services コンテナーを作成しました。

  2. Recovery Services コンテナーのシステム割り当てマネージド ID を有効にしました。

  3. ご利用の Key Vault 内にシークレットを作成するためのアクセス許可を、ご利用の Recovery Services コンテナーに割り当てました。

  4. キー コンテナーで論理的な削除と消去保護を有効にしました。

  5. マシンに MARS エージェントをインストールするには、Azure portal から MARS インストーラーをダウンロードし、インストール ウィザードを使用します

  6. 登録中に Recovery Services コンテナーの資格情報を指定した後、[暗号化設定] で、パスフレーズを Azure Key Vault に保存するオプションを選択します。

    パスフレーズを選択した Azure Key Vault に保存するオプションを示すスクリーンショット。

  7. パスフレーズを入力するか、[パスフレーズの生成] を選択します。

  8. Azure portal で、Key Vault を開き、Key Vault URI をコピーします。

    キー コンテナー URI をコピーする方法を示すスクリーンショット。

  9. MARS コンソールKey Vault URI を貼り付け、[登録] を選択します。

    エラーが発生した場合は、「トラブルシューティング」セクションをチェックして詳細をご確認ください。

  10. 登録が成功すると、識別子をシークレットにコピーするためのオプションが作成され、パスフレーズはローカルのファイルに保存されません。

    識別子を作成するシークレットにコピーするオプションを示すスクリーンショット。

    今後、この MARS エージェントのパスフレーズを変更すると、新しいバージョンのシークレットが最新のパスフレーズと共に追加されます。

このプロセスは、インストール スクリプトSet-OBMachineSetting command で新しい KeyVaultUri オプションを使用して自動化できます。

既存の MARS インストールのためにパスフレーズを Azure Key Vault に保存する

既存の MARS エージェントをインストールしてあり、パスフレーズを Azure Key Vault に保存する場合は、バージョン 2.0.9262.0 以上にエージェントを更新し、パスフレーズの変更操作を実行します。

MARS エージェントを更新した後に、Azure Key Vault へのパスフレーズを格納するように Recovery Services コンテナーを構成し、正常に完了していることを確認します。

  1. Recovery Services コンテナーを作成しました。
  2. Recovery Services コンテナーのシステム割り当てマネージド ID を有効にしました。
  3. ご利用の Key Vault 内にシークレットを作成するためのアクセス許可を、ご利用の Recovery Services コンテナーに割り当てました。
  4. キー コンテナーで論理的な削除と消去保護を有効にした

パスフレーズを Key Vault に保存するには、次のようにします。

  1. MARS エージェント コンソールを開きます。

    パスフレーズを Azure Key Vault に保存するためのリンクを選択するように求めるバナーが表示されます。

    または、[プロパティの変更]>[パスフレーズの変更] の順に選択して続行します。

    既存の MARS インストール用にパスフレーズの変更を開始する方法を示すスクリーンショット。

  2. [プロパティの変更] ダイアログ ボックスに、Key Vault URI を指定してパスフレーズを Key Vault に保存するためのオプションが表示されます。

    Note

    パスフレーズを Key Vault に保存するためのマシンが既に構成されている場合は、Key Vault URI がテキスト ボックスに自動的に設定されます。

    生成する Key Vault URI を指定して、パスフレーズを Key Vault に保存するオプションを示すスクリーンショット。

  3. Azure portal を開き、Key Vault を開き、Key Vault URI をコピーします。

    キー コンテナー URI をコピーする方法を示すスクリーンショット。

  4. MARS コンソールKey Vault URI を貼り付け[OK] を選択します。

    エラーが発生した場合は、「トラブルシューティング」セクションをチェックして詳細をご確認ください。

  5. パスフレーズの変更操作が成功すると、識別子をシークレットにコピーするためのオプションが作成され、パスフレーズはローカルのファイルに保存されません。

    識別子を作成されるシークレットにコピーするオプションを示すスクリーンショット。

    今後、この MARS エージェントのパスフレーズを変更すると、新しいバージョンのシークレットが最新のパスフレーズと共に追加されます。

Set-OBMachineSetting コマンドレットの新しい KeyVaultUri オプションを使用することで、この手順を自動化できます。

マシンの Azure Key Vault からパスフレーズを取得する

マシンが使用できなくなった場合に、別の場所の復元を介して Recovery Services コンテナーからバックアップ データを復元する必要がある場合は、マシンのパスフレーズを続行する必要があります。

パスフレーズは、シークレットとして Azure Key Vault に保存されます。 マシンごとに 1 つのシークレットが作成され、マシンのパスフレーズが変更されると、新しいバージョンがシークレットに追加されます。 シークレットには AzBackup-machine fully qualified name-vault name と名前が付けられます。

マシンのパスフレーズを見つけるには、次のようにします。

  1. Azure portal で、マシンのパスフレーズを保存するために使用する Key Vault を開きます。

    すべてのパスフレーズを保存するには、1 つの Key Vault を使用することをお勧めします。

  2. [シークレット] を選択し、AzBackup-<machine name>-<vaultname> という名前のシークレットを検索します。

    シークレット名を確認する方法を示すスクリーンショット。

  3. [シークレット] を選択し、最新のバージョンを開き、シークレットの値をコピーします

    これは、リカバリ中に使用されるマシンのパスフレーズです。

    シークレットの選択を示すスクリーンショット。

    Key Vault に大量のシークレットがある場合は、Key Vault CLI を使用してシークレットを一覧表示して検索します。

az keyvault secret list --vault-name 'myvaultname’ | jq '.[] | select(.name|test("AzBackup-<myvmname>"))'

一般的なシナリオのトラブルシューティング

このセクションでは、パスフレーズを Azure Key Vault に保存するときに発生する一般的なエラーの一覧を示します。

システム ID が構成されていない – 391224

原因: このエラーは、Recovery Services コンテナーにシステム割り当てマネージド ID が構成されていない場合に発生します。

推奨される操作: 前提条件に従って、Recovery Services コンテナーに対してシステム割り当てマネージド ID が正しく構成されていることを確認します。

アクセス許可が構成されていない – 391225

原因: Recovery Services コンテナーにはシステム割り当てマネージド ID がありますが、ターゲット Key Vault にシークレットを作成するための設定のアクセス許可がありません。

推奨される操作:

  1. 使用するコンテナー資格情報が、対象の Recovery Services コンテナーに対応していることを確認します。
  2. Key Vault URI が対象の Key Vault に対応していることを確認します。
  3. [Key Vault] -> [アクセス ポリシー] -> [アプリケーション] の下に Recovery Services コンテナー名が一覧表示され、シークレットのアクセス許可が設定されていることを確認します。

Key Vault に一覧表示された Recovery Services コンテナー名を示すスクリーンショット。

一覧にない場合は、もう一度アクセス許可を構成します

Azure Key Vault URI が正しくない - 100272

原因: 入力された Key Vault URI が正しい形式ではありません。

推奨される操作: Azure portal からコピーした Key Vault URI を入力していることを確認します。 たとえば、https://myvault.vault.azure.net/ のようにします。

Key Vault URL をコピーする方法を示すスクリーンショット。

UserErrorSecretExistsSoftDeleted (391282)

原因: 予想される形式のシークレットは既に Key Vault 内に存在しますが、論理的に削除された状態です。 そのシークレットが復元されない限り、MARS はそのマシンのパスフレーズを指定された Key Vault に保存することができません。

推奨されるアクション: シークレットが AzBackup-<machine name>-<vaultname> という名前を持つコンテナー内に存在するかどうか、および論理的に削除された状態であるかどうかをチェックします。 論理的に削除されたシークレットを回復してパスフレーズを保存します。

UserErrorKeyVaultSoftDeleted (391283)

原因: MARS に提供される Key Vault が論理的に削除された状態です。

推奨されるアクション: その Key Vault を回復するか、新しい Key Vault を指定します。

登録が不完全である

原因: パスフレーズを登録しても MARS 登録が完了しませんでした。 そのため、登録するまでバックアップを構成することはできません。

推奨される操作: 警告メッセージを選択し、登録を完了します。

登録を完了する方法を示すスクリーンショット。