次の方法で共有

機密 VM のカスタマー マネージド キーをローテーションする

  • [アーティクル]

Azure の機密仮想マシン (機密 VM) では、カスタマー マネージド キーがサポートされています。 カスタマー マネージド キーは、機密 VM とそれに関連する成果物が適切に動作するのに役立ちます。 これらのキーは、Azure Key Vault で、またはマネージド ハードウェア セキュリティ モジュール (マネージド HSM) を使って、管理できます。 この記事では、特に明記されていない限り、マネージド HSM によるキーの管理について説明します。

カスタマー マネージド キーを使う場合は、機密 VM を作成するときにディスク暗号化セット リソースを指定する必要があります。 ディスク暗号化セットでは、カスタマー マネージド キーを参照する必要があります。 通常は、1 つのディスク暗号化セットを複数の機密 VM と関連付けます。 セキュリティのベスト プラクティスとして、カスタマー マネージド キーを定期的にローテーションすることをお勧めします。 ローテーションの頻度は、組織のポリシーで決定します。 カスタマー マネージド キーが侵害された場合も、ローテーションが必要です。

カスタマー マネージド キーを変更する

機密 VM に使っているキーはいつでも変更できます。 カスタマー マネージド キーをローテーションするには:

  1. Azure portal にサインインします。
  2. [仮想マシン] サービスに移動します。
  3. 同じディスク暗号化セットを使っているすべての機密 VM を停止します。 停止状態でない VM が 1 つでもある場合、どの VM も新しいキーを受け取ることができません。
  4. [ディスク暗号化セット] サービスに移動します。
  5. 機密 VM に関連付けられているディスク暗号化セット リソースを選びます。
  6. リソースのメニューの [設定] で、[キー] を選びます。
  7. [キーの変更] を選びます。
  8. 適切なキー コンテナー、キー、バージョンを選びます。
  9. 変更を保存します。 保存操作により、すべての機密 VM 成果物のキーが更新されます。

キーのローテーションを再試行する

まれに、すべての VM を停止した場合でも、すべての機密 VM でカスタマー マネージド キーがローテーションされないことがあります。 カスタマー マネージド キーがローテーションされない場合、ディスク暗号化セット リソースには古いキーへの参照がまだ含まれます。 この状態では、一部の機密 VM では新しいキーが使われ、一部では古いキーが使われている可能性があります。

この問題を解決するには、ディスク暗号化セットを更新する手順を繰り返してください。

制限事項

  • 現在、機密 VM では、キーの自動ローテーションはサポートされていません。
  • エフェメラル ディスクでは、キーのローテーションはサポートされていません。 エフェメラル ディスクを備えた機密 VM には、個別のディスク暗号化セットを使うことをお勧めします。 同じディスク暗号化セットを共有する機密 VM に、エフェメラル ディスクを使うものと非エフェメラル ディスクを使うものがある場合は、非エフェメラル ディスクを使う機密 VM のキーをローテーションする前に、エフェメラル ディスクを使う機密 VM を削除する必要があります。