次の方法で共有


Azure Key Vault のカスタマー マネージド キーを Azure Data Box に使用する

Azure Data Box では、デバイスのロックに使用されるデバイス ロック解除キー (デバイス パスワードとも呼ばれる) が暗号化キーで保護されます。 既定では、この暗号化キーは Microsoft マネージド キーです。 制御を強化するために、カスタマー マネージド キーを使用できます。

カスタマー マネージド キーを使用しても、デバイス上のデータの暗号化方法には影響しません。 デバイスのロック解除キーの暗号化方法にのみ影響します。

注文プロセス全体でこのレベルの制御を維持するには、注文を作成するときにカスタマー マネージド キーを使用します。 詳細については、「チュートリアル: Azure Data Box を注文する」を参照してください。

この記事では、Azure portal で、カスタマー マネージド キーを既存の Data Box の注文で有効にする方法について説明します。 現在のカスタマー マネージド キーのキーコンテナー、キー、バージョン、または ID を変更する方法、および Microsoft マネージド キーの使用に戻す方法について知ることができます。

この記事は、Azure Data Box と Azure Data Box Heavy の両方のデバイスに適用されます。

要件

Data Box 注文用のカスタマー マネージド キーは、次の要件を満たしている必要があります。

  • キーは、[論理的な削除][消去しない] が有効になっている Azure Key Vault で作成および保存する必要があります。 詳細については、「 Azure Key Vault とは」を参照してください。 キー コンテナーとキーは、注文を作成または更新する際に作成できます。
  • これは、サイズが 2048 以上の RSA キーにする必要があります。
  • Azure Key Vault 内のキーに対する GetUnwrapKeyWrapKey のアクセス許可を有効にする必要があります。 アクセス許可は、注文の有効期間にわたって存続している必要があります。 そうしないと、データのコピー フェーズの開始時に、カスタマー マネージド キーにアクセスできません。

キーを有効にする

Azure portal で、カスタマー マネージド キーを既存の Data Box の注文で有効にするには、次の手順を実行します。

  1. Data Box の注文の [概要] 画面に移動します。

    Data Box の注文の [概要] 画面 - 1

  2. [設定] > [暗号化] と移動し、[カスタマー マネージド キー] を選択します。 次に、[キーとキー コンテナーを選択する] を選択します。

    カスタマー マネージド キーの暗号化オプションを選択する

    [Azure Key Vault からのキーの選択] 画面で、サブスクリプションが自動的に設定されます。

  3. [キー コンテナー] で、ドロップダウン リストから既存のキー コンテナーを選択するか、[新規作成] を選択して新しいキー コンテナーを作成することができます。

    カスタマー マネージド キーを選択する際の [キー コンテナー] オプション

    新しいキー コンテナーを作成するには、サブスクリプション、リソース グループ、キー コンテナー名、その他の情報を [新しい Key Vault の作成] 画面に入力します。 [回復オプション] で、[論理的な削除]消去保護が有効になっていることを確認します。 次に、レビュー + 作成 を選択します。

    Azure Key Vault を確認および作成する

    キー コンテナーの情報を確認し、 [作成] を選択します。 キー コンテナーの作成が完了するまで数分待ちます。

    設定を使用して Azure Key Vault を作成する

  4. [Azure Key Vault からのキーの選択] 画面で、キーコンテナーから既存のキーを選択するか、新しいキーを作成することができます。

    Azure Key Vault からキーを選択する

    新しいキーを作成する場合は、[新規作成] を選択します。 RSA キーを使用する必要があります。 サイズは 2,048 以上にすることができます。

    Azure Key Vault で新しいキーを作成する

    新しいキーの名前を入力し、他の既定値をそのまま使用して、 [作成] を選択します。 キー コンテナー内にキーが作成されたことが通知されます。

    新しいキーに名前を付ける

  5. [バージョン] で、ドロップダウン リストから既存のキーのバージョンを選択できます。

    新しいキーのバージョンを選択する

    新しいキーのバージョンを生成する場合は、[新規作成] を選択します。

    新しいキーのバージョンを作成するためのダイアログ ボックスを開く

    新しいキー バージョンの設定を選択し、 [作成] を選択します。

    新しいキー バージョンを作成する

  6. キー コンテナー、キー、およびキーのバージョンを選択したら、[選択] を選択します。

    Azure Key Vault のキー

    [暗号化の種類] の設定に、選択したキー コンテナーとキーが表示されます。

    カスタマー マネージド キーのキーとキー コンテナー

  7. このリソースのカスタマー マネージド キーを管理するために使用する ID の種類を選択します。 注文の作成時に生成されたシステム割り当て ID を使用することも、ユーザー割り当て ID を選択することもできます。

    ユーザー割り当て ID は、リソースへのアクセスの管理に使用できる独立したリソースです。 詳細については、マネージド ID の種類に関するページを参照してください。

    ID の種類を選択する

    ユーザー ID を割り当てるには、[ユーザー割り当て] を選択します。 次に、[ユーザー ID を選択する] を選択し、使用するマネージド ID を選択します。

    使用する ID を選択する

    ここでは、新しい ユーザー ID を作成することはできません。 作成方法については、「Azure portal を使用してユーザー割り当てマネージド ID を作成、一覧表示、削除したり、それにロールを割り当てたりする」を参照してください。

    選択したユーザー ID が [暗号化の種類] の設定に表示されます。

    選択したユーザー ID が [暗号化の種類] の設定に表示される

  8. [保存] を選択して、更新した暗号化の種類の設定を保存します。

    カスタマー マネージド キーを保存する

    キーの URL が、[暗号化の種類] の下に表示されます。

    カスタマー マネージド キーの URL

重要

キーに対する GetUnwrapKeyWrapKey のアクセス許可を有効にする必要があります。 Azure CLI でアクセス許可を設定するには、az keyvault set-policy に関するページを参照してください。

キーの変更

現在使用しているカスタマー マネージド キーのキーコンテナー、キー、キーのバージョンを変更するには、次の手順を実行します。

  1. Data Box の注文の [概要] 画面で、[設定] > [暗号化] の順に移動して、[キーの変更] をクリックします。

    カスタマー マネージド キーを使用した Data Box の注文の [概要] 画面 - 1

  2. [別のキー コンテナーとキーを選択する] を選択します。

    Data Box の注文の [概要] 画面の [別のキーとキー コンテナーを選択する] オプション

  3. [Key Vault からのキーの選択] 画面にはサブスクリプションが表示されますが、キー コンテナー、キー、またはキーのバージョンは表示されません。 次の変更を行うことができます。

    • 同じキー コンテナーから別のキーを選択する。 キーとバージョンを選択する前に、キー コンテナーを選択する必要があります。

    • 別のキー コンテナーを選択して、新しいキーを割り当てる。

    • 現在のキーのバージョンを変更する。

    変更が完了したら、[選択] を選択します。

    暗号化オプションを選択する - 2

  4. [保存] を選択します。

    更新した暗号化の設定を保存する - 1

重要

キーに対する GetUnwrapKeyWrapKey のアクセス許可を有効にする必要があります。 Azure CLI でアクセス許可を設定するには、az keyvault set-policy に関するページを参照してください。

ID を変更する

この注文のカスタマー マネージド キーへのアクセスの管理に使用する ID を変更するには、以下の手順に従います。

  1. 完了した Data Box の注文の [概要] 画面で、[設定] > [暗号化] の順に移動します。

  2. 次のいずれかの変更を行います。

    • 別のユーザー ID に変更するには、[別のユーザー ID を選択する] をクリックします。 次に、画面の右側にあるパネルで別の ID を選択し、[選択] を選択します。

      カスタマー マネージド キーのユーザー割り当て ID を変更するためのオプション

    • 注文の作成時に生成されたシステム割り当て ID に切り替えるには、[ID の種類の選択][システム割り当て] を選択します。

      カスタマー マネージド キーでシステム割り当てに変更するためのオプション

  3. [保存] を選択します。

    更新した暗号化の設定を保存する - 2

Microsoft マネージド キーを使用する

注文で使用するキーをカスタマー マネージド キーから Microsoft マネージド キーに変更するには、次の手順を実行します。

  1. 完了した Data Box の注文の [概要] 画面で、[設定] > [暗号化] の順に移動します。

  2. [種類の選択][Microsoft マネージド キー] を選択します。

    Data Box の注文の [概要] 画面 - 5

  3. [保存] を選択します。

    更新した暗号化の設定 (Microsoft マネージド キー) を保存する

エラーをトラブルシューティングする

カスタマー マネージド キーに関連するエラーが発生した場合は、次の表を使用してトラブルシューティングを行ってください。

エラー コード エラーの詳細 回復可能かどうか
SsemUserErrorEncryptionKeyDisabled カスタマー マネージド キーが無効にされたため、パスキーをフェッチできませんでした。 回復可能 (キー バージョンを有効にした場合)。
SsemUserErrorEncryptionKeyExpired カスタマー マネージド キーの有効期限が切れたため、パスキーをフェッチできませんでした。 回復可能 (キー バージョンを有効にした場合)。
SsemUserErrorKeyDetailsNotFound カスタマー マネージド キーが見つからなかったため、パスキーをフェッチできませんでした。 キー コンテナーを削除した場合は、カスタマー マネージド キーを復旧できません。 キー コンテナーを別のテナントに移行した場合は、「サブスクリプション移行後のキー コンテナー テナント ID の変更」を参照してください。 キー コンテナーを削除した場合:
  1. 回復可能。消去保護期間内であれば、「キー コンテナーの復旧」にある手順を利用します。
  2. 回復不可能。消去保護期間を超えている場合。

それ以外の場合、キー コンテナーがテナント移行の対象になっていた場合は回復できます。下のいずれかの手順で回復できます。
  1. キー コンテナーを古いテナントに戻します。
  2. Identity = None を設定し、コンテナーを Identity = SystemAssigned の設定に戻します。 これにより、ID が削除され、新しい ID の作成後に再登録されます。 キー コンテナーのアクセス ポリシーで新しい ID の GetWrapKeyUnwrapKey アクセス許可を有効にします。
SsemUserErrorKeyVaultBadRequestException カスタマー マネージド キーが適用されましたが、キーへのアクセスが許可されていないか、無効になっているか、ファイアウォールが有効になっているため、キー コンテナーにアクセスできませんでした。 カスタマー マネージド キーへのアクセスを有効にするには、選択した ID をキー コンテナーに追加します。 キー コンテナーでファイアウォールが有効になっている場合は、システム割り当て ID に切り替えてから、カスタマー マネージド キーを追加します。 詳細については、キーを有効にする方法に関する記事を参照してください。
SsemUserErrorKeyVaultDetailsNotFound カスタマー マネージド キー用の、関連付けられているキー コンテナーが見つからなかったため、パスキーをフェッチできませんでした。 キー コンテナーを削除した場合は、カスタマー マネージド キーを復旧できません。 キー コンテナーを別のテナントに移行した場合は、「サブスクリプション移行後のキー コンテナー テナント ID の変更」を参照してください。 キー コンテナーを削除した場合:
  1. 回復可能。消去保護期間内であれば、「キー コンテナーの復旧」にある手順を利用します。
  2. 回復不可能。消去保護期間を超えている場合。

それ以外の場合、キー コンテナーがテナント移行の対象になっていた場合は回復できます。下のいずれかの手順で回復できます。
  1. キー コンテナーを古いテナントに戻します。
  2. Identity = None を設定し、コンテナーを Identity = SystemAssigned の設定に戻します。 これにより、ID が削除され、新しい ID の作成後に再登録されます。 キー コンテナーのアクセス ポリシーで新しい ID の GetWrapKeyUnwrapKey アクセス許可を有効にします。
SsemUserErrorSystemAssignedIdentityAbsent カスタマー マネージド キーが見つからなかったため、パスキーをフェッチできませんでした。 回復可能。次のことを確認してください。
  1. キー コンテナーのアクセス ポリシーに引き続き MSI が含まれている。
  2. ID は、システムによって割り当てられたものである。
  3. キー コンテナーのアクセス ポリシーで、ID に対する GetWrapKeyUnwrapKey のアクセス許可を有効にします。 これらのアクセス許可は、注文の有効期間にわたって存続している必要があります。 これらは、注文の作成時とデータ コピー フェーズの開始時に使用されます。
SsemUserErrorUserAssignedLimitReached 追加可能なユーザー割り当て ID 合計数の最大値に達したため、新しいユーザー割り当て ID を追加できませんでした。 ユーザー ID を減らして操作を再試行するか、再試行する前にリソースから一部のユーザー割り当て ID を削除します。
SsemUserErrorCrossTenantIdentityAccessForbidden マネージド ID アクセス操作に失敗しました。
注: このエラーは、サブスクリプションが別のテナントに移動されたときに発生する可能性があります。 お客様は ID を新しいテナントに手動で移動する必要があります。
カスタマー マネージド キーへのアクセスを有効にするには、異なるユーザー割り当て ID をキー コンテナーに追加してみます。 または、ID を、サブスクリプションが存在する新しいテナントに移動します。 詳細については、キーを有効にする方法に関する記事を参照してください。
SsemUserErrorKekUserIdentityNotFound カスタマー マネージド キーが適用されましたが、Active Directory で、キーにアクセスできるユーザー割り当て ID が見つかりませんでした。
注: このエラーは、ユーザー ID が Azure から削除されたときに発生する可能性があります。
カスタマー マネージド キーへのアクセスを有効にするには、異なるユーザー割り当て ID をキー コンテナーに追加してみます。 詳細については、キーを有効にする方法に関する記事を参照してください。
SsemUserErrorUserAssignedIdentityAbsent カスタマー マネージド キーが見つからなかったため、パスキーをフェッチできませんでした。 カスタマー マネージド キーにアクセスできませんでした。 キーに関連付けられているユーザー割り当て ID (UAI) が削除されているか、UAI の種類が変更されています。
SsemUserErrorKeyVaultBadRequestException カスタマー マネージド キーを適用しましたが、キー アクセスが付与されていないか、取り消されています。または、ファイアウォールが有効になっているため、キー コンテナーにアクセスできませんでした。 カスタマー マネージド キーへのアクセスを有効にするには、選択した ID をキー コンテナーに追加します。 キー コンテナーでファイアウォールが有効になっている場合は、システム割り当て ID に切り替えてから、カスタマー マネージド キーを追加します。 詳細については、キーを有効にする方法に関する記事を参照してください。
SsemUserErrorEncryptionKeyTypeNotSupported この暗号化キーの種類は、この操作ではサポートされていません。 キーでサポートされている種類の暗号化 (例: RSA や RSA-HSM) を有効にします。 詳細については、「キーの種類、アルゴリズム、および操作」を参照してください。
SsemUserErrorSoftDeleteAndPurgeProtectionNotEnabled キー コンテナーで、論理的な削除または消去保護が有効になっていません。 キー コンテナーで論理的な削除と消去保護の両方が有効になっていることを確認します。
SsemUserErrorInvalidKeyVaultUrl
(コマンド ラインのみ)
無効なキー コンテナー URI が使用されました。 正しいキー コンテナー URI を取得します。 キー コンテナー URI を取得するには、PowerShell で Get-AzKeyVault を使用します。
SsemUserErrorKeyVaultUrlWithInvalidScheme キー コンテナー URI を渡すためにサポートされているのは HTTPS だけです。 キー コンテナー URI は HTTPS で渡します。
SsemUserErrorKeyVaultUrlInvalidHost キー コンテナー URI のホストは、地理的リージョンで許可されているホストではありません。 パブリック クラウドでは、キー コンテナー URI は vault.azure.net で終わる必要があります。 Azure Government クラウドでは、キー コンテナー URI は vault.usgovcloudapi.net で終わる必要があります。
一般的なエラー パスキーをフェッチできませんでした。 このエラーは一般的なエラーです。 エラーをトラブルシューティングして、次の手順を決定するには、Microsoft サポートにお問い合わせください。

次のステップ