次の方法で共有

Azure Key Vault のネットワーク セキュリティを構成する

この記事では、Azure Key Vault のさまざまなネットワーク セキュリティ構成について説明し、それらを構成する手順について説明します。 セキュリティのベスト プラクティスについては、「 Azure Key Vault のセキュリティ保護: ネットワーク セキュリティ」を参照してください。

仮想ネットワーク サービス エンドポイントの詳細については、「 Azure Key Vault の仮想ネットワーク サービス エンドポイント」を参照してください。

ファイアウォールの設定

このセクションでは、Azure Key Vault ファイアウォールを構成するためのさまざまな方法について説明します。

Key Vault ファイアウォールが無効 (既定)

既定では、新しいキー コンテナーを作成するとき、Azure Key Vault ファイアウォールは無効になります。 すべてのアプリケーションおよび Azure サービスから、キー コンテナーにアクセスし、キー コンテナーに要求を送信することができます。 この構成は、お客様のキー コンテナー上で任意のユーザーが操作を行えるということを意味するものではありません。 キー コンテナーでは、Microsoft Entra 認証およびアクセス ポリシーのアクセス許可を要求することで、キー コンテナーに格納されているシークレット、キー、および証明書へのアクセスが引き続き制限されます。 キー コンテナー認証の詳細については、「 Azure Key Vault での認証」を参照してください。 詳細については、 ファイアウォールの背後にある Azure Key Vault へのアクセスに関するページを参照してください。

Key Vault ファイアウォールが有効 (信頼されたサービスのみ)

Key Vault ファイアウォールを有効にすると、[信頼された Microsoft サービスがこのファイアウォールをバイパスすることを許可する] というオプションが表示されます。 信頼されたサービスのリストには、単一の Azure サービスがすべてが含まれるわけではありません。 たとえば、Azure DevOps は信頼されたサービスのリストに掲載されていません。 信頼されたサービスの一覧にないサービスが信頼されていない、または安全でないというわけではありません。 信頼されたサービスのリストには、サービス上で実行されるすべてのコードを Microsoft が制御するサービスが含まれます。 Azure DevOps などの Azure サービス内ではユーザーがカスタム コードを記述できるため、Microsoft はサービスの包括的承認を作成するオプションを提供していません。 さらに、サービスが、信頼されたサービスのリストに掲載されていたからといって、それがすべてのシナリオに対して許可されるわけではありません。

使用しようとしているサービスが信頼されたサービスの一覧にあるかどうかを確認するには、「 Azure Key Vault の仮想ネットワーク サービス エンドポイント」を参照してください。

信頼されたサービスがファイアウォールをバイパスできるようにするには:

  1. Azure portal で、お使いの Key Vault を参照します。
  2. 左側 メニューで [ネットワーク] を選択します。
  3. [ ファイアウォールと仮想ネットワーク ] タブの [ 例外] で、[ 信頼された Microsoft サービスによるこのファイアウォールのバイパスを許可する] を選択します。
  4. 保存 を選択します。

Key Vault ファイアウォールが有効になっている (IPv4 アドレスと範囲 - 静的 IP)

Key Vault ファイアウォールを介してキー コンテナーにアクセスする特定のサービスを承認する場合は、その IP アドレスを Key Vault ファイアウォールの許可リストに追加できます。 この構成は、静的 IP アドレスまたは既知の範囲を使用するサービスに最適です。 この場合、CIDR 範囲については、1000 までという制限があります。

Web アプリやロジック アプリなどの Azure リソースの IP アドレスまたは範囲を許可するには、次の手順を行います。

  1. Azure portal にサインインします。
  2. リソース (サービスの特定のインスタンス) を選択します。
  3. [設定] の下の [プロパティ] ブレードを選択します。
  4. [IP アドレス] フィールドを探します。
  5. この値または範囲をコピーし、Key Vault ファイアウォールの許可リストに入力します。

Azure サービス全体を許可するには、Key Vault ファイアウォールを介して、 Azure の公開されているデータ センター IP アドレスの一覧を使用します。 目的のリージョンで必要なサービスに関連付けられている IP アドレスを見つけ、それらの IP アドレスをキー コンテナー ファイアウォールに追加します。

IP アドレス 規則を追加するには:

  1. キー コンテナーを参照し、[ ネットワーク] を選択します。
  2. [ ファイアウォールと仮想ネットワーク ] タブの [ ファイアウォール] で、IPv4 アドレスまたは CIDR 範囲を入力します。
  3. 保存 を選択します。

Key Vault ファイアウォールが有効になっている (仮想ネットワーク - 動的 IP)

キー コンテナーを介して仮想マシンなどの Azure リソースを許可しようとしている場合は、静的 IP アドレスを使用できない可能性があり、さらに Azure Virtual Machines の一部の IP アドレスにキー コンテナーへのアクセスを許可したくないこともあります。

この場合は、仮想ネットワーク内にリソースを作成し、特定の仮想ネットワークおよびサブネットからのトラフィックがご利用のキー コンテナーにアクセスするのを許可する必要があります。

  1. 構成する Key Vault を参照します。
  2. [ネットワーク] を選択してから、 [ファイアウォールと仮想ネットワーク] タブを選択します。
  3. [許可するアクセス元] で、[特定の仮想ネットワークと IP アドレスからのパブリック アクセスを許可する] を選択します。
  4. [+ 仮想ネットワークの追加] を選択>既存の仮想ネットワークを追加します
  5. アクセスを許可するサブスクリプション、仮想ネットワーク、サブネットを選択します。 サービス エンドポイントが有効になっていない場合は、メッセージが表示されたら [有効にする] を選択します。 有効になるまでに最大 15 分かかることがあります。
  6. [追加] を選択し、 [保存] を選択します。

新しい仮想ネットワークを追加するには、[+ 仮想ネットワークの追加] を選択し>新しい仮想ネットワークを追加し、画面の指示に従います。

キー コンテナーでプライベート リンク接続を構成する方法については、「 Key Vault と Azure Private Link の統合」を参照してください。

ネットワーク ルールを一覧表示する

お使いのキー ボールトに構成されている現在のネットワーク規則を表示するには:

  1. キー コンテナーを参照し、[ ネットワーク] を選択します。
  2. [ファイアウォールと仮想ネットワーク] タブで、構成されている 仮想ネットワークと IP アドレスを確認します。

ネットワーク規則を削除する

  1. キー コンテナーを参照し、[ ネットワーク] を選択します。
  2. [ ファイアウォールと仮想ネットワーク ] タブで、削除するルールの横にある削除アイコンを選択します。
  3. 保存 を選択します。

重要

ファイアウォール規則が有効になると、ユーザーは、要求が許可された仮想ネットワークまたは IPv4 アドレス範囲から送信された場合にのみ、Key Vault データ プレーン 操作を実行できます。 これは、Azure portal から Key Vault にアクセスする場合にも適用されます。 ユーザーは Azure portal からキー コンテナーを参照できますが、クライアント マシンが許可リストに登録されていない場合、キー/シークレット/証明書を一覧表示できない場合があります。 これは、他の Azure サービスで使用される Key Vault 選択機能にも影響します。 ファイアウォール ルールでクライアント マシンが許可されていない場合、ユーザーはキー コンテナーを一覧表示できても、キーは一覧表示できないことがあります。

構成に関する次の制限事項に注意してください。

  • 最大で 200 個の仮想ネットワーク規則と 1000 個の IPv4 ルールを指定できます。
  • IP ネットワーク ルールは、パブリック IP アドレスに対してのみ許可されます。 プライベート ネットワーク用に予約されている IP アドレス範囲 (RFC 1918 で定義) は、IP ルールでは許可されません。 プライベート ネットワークには、10.、172.16-31192.168 で始まるアドレスが含まれます。
  • 現時点でサポートされているのは、IPv4 アドレスのみです。

パブリック アクセスが無効 (プライベート エンドポイントのみ)

ネットワーク セキュリティを強化するために、パブリック アクセスを無効にするようにコンテナーを構成できます。 これにより、すべてのパブリック構成が拒否され、プライベート エンドポイント経由の接続のみが許可されます。

Private Link のセットアップ手順の詳細については、「 Key Vault と Azure Private Link の統合」を参照してください。

Private Link を構成した後でパブリック アクセスを無効にするには:

  1. Azure portal で、お使いの Key Vault を参照します。
  2. 左側 メニューで [ネットワーク] を選択します。
  3. [ ファイアウォールと仮想ネットワーク ] タブを選択します。
  4. アクセスを許可するで、パブリックアクセスを無効にするを選択します。
  5. 保存 を選択します。

重要

パブリック アクセスを無効にすると、キー コンテナーにはプライベート エンドポイント経由でのみアクセスできます。 パブリック アクセスを無効にする前に、プライベート エンドポイントの構成が完了していることを確認します。

ネットワーク セキュリティ境界

ネットワーク セキュリティ境界 を使用すると、組織の仮想ネットワークの外部にデプロイされる PaaS リソース (Azure Key Vault、Azure Storage、SQL Database など) の論理ネットワーク分離境界を定義できます。 境界外にある PaaS リソースへのパブリック ネットワーク アクセスを制限しますが、パブリック インバウンドとパブリック アウトバウンドに対する明示的なアクセス規則を使用することで、そのアクセスを例外として許可できます。

ネットワーク セキュリティ境界は、サポートされているリソースで一般提供されるようになりました。 オンボードされたプライベート リンク リソースネットワーク セキュリティ境界の制限事項を参照してください。 詳細については、「 ネットワーク セキュリティ境界への移行」を参照してください。

重要

プライベート エンドポイント トラフィックは安全性が高いと見なされるため、ネットワーク セキュリティ境界の規則の対象になりません。 信頼されたサービスを含む他のすべてのトラフィックは、キー コンテナーが境界に関連付けられている場合、ネットワーク セキュリティ境界の規則の対象になります。

ネットワーク セキュリティ境界を使用する場合:

  • 境界内にあるすべてのリソースは、境界内にある他のリソースと通信できます。
  • 外部アクセスは、次の条件に基づいて使用することができます。
    • パブリック インバウンド アクセスは、ソース IP アドレスやサブスクリプションなど、クライアントのネットワーク属性および ID 属性を使用して承認できます。
    • パブリック アウトバウンドは、外部送信先の FQDN (完全修飾ドメイン名) を使用して承認できます。
  • 診断ログは、監査とコンプライアンスのために、境界内にある PaaS リソースに対して有効になっています。

制限事項と制約事項

  • [パブリック ネットワーク アクセス] を [無効] に設定しても、信頼されたサービスは許可されます。 [パブリック ネットワーク アクセス] を [境界で保護] に切り替えると、信頼されたサービスを許可するように構成されている場合でも、信頼されたサービスは禁止されます。
  • Azure Key Vault のファイアウォール規則は 、データ プレーン 操作にのみ適用されます。 コントロール プレーン の操作は、ファイアウォール規則で指定されている制限の対象になりません。 これには、Key Vault データ プレーン エンドポイント (management.azure.com) ではなく Azure Resource Manager コントロール プレーン エンドポイント (<vault-name>.vault.azure.net) を使用する ARM テンプレートを使用したシークレットまたはキーのデプロイが含まれます。 詳細については、「 Azure Key Vault の仮想ネットワーク サービス エンドポイント」を参照してください。
  • Azure portal などのツールを使用してデータにアクセスするには、ネットワーク セキュリティ規則を構成するときに確立する、信頼できる境界内のマシンから実行する必要があります。
  • Azure Key Vault にはアウトバウンド規則の概念はありませんが、アウトバウンド規則を持つ境界にキー コンテナーを関連付けることはできます。ただし、キー コンテナーではそれらのアウトバウンド規則は使用されません。
  • Azure Key Vault のネットワーク セキュリティ境界アクセス ログには、"count" フィールドまたは "timeGeneratedEndTime" フィールドがない可能性があります。

ネットワーク セキュリティ境界をキー コンテナーに関連付ける - Azure PowerShell

ネットワーク セキュリティ境界を Azure PowerShell のキー コンテナーに関連付けるには、次の 手順に従います。

ネットワーク セキュリティ境界をキー コンテナーに関連付ける - Azure CLI

Azure CLI でネットワーク セキュリティ境界をキー コンテナーに関連付けるには、次の 手順に従います。

ネットワーク セキュリティ境界のアクセス モード

ネットワーク セキュリティ境界では、関連付けられたリソースに対して 2 つの異なるアクセス モードがサポートされています。

モード 説明
移行モード (旧称"学習モード") 既定のアクセス モード。 移行モードでは、ネットワーク セキュリティ境界は、境界が強制モードであった場合に拒否された検索サービスへのすべてのトラフィックをログに記録します。 これにより、ネットワーク管理者は、アクセス規則の適用を実装する前に、検索サービスの既存のアクセス パターンを理解できます。
強制モード 強制モードでは、ネットワーク セキュリティ境界は、アクセス規則によって明示的に許可されていないすべてのトラフィックをログに記録して拒否します。

ネットワーク セキュリティ境界とキー コンテナーのネットワーク設定

publicNetworkAccess 設定は、キー コンテナーがネットワーク セキュリティ境界とどのように関連付けられるかを決定します。

  • 遷移モードでは、 publicNetworkAccess 設定によってリソースへのパブリック アクセスが制御されます。

  • 強制モードでは、publicNetworkAccess 設定は、ネットワーク セキュリティ境界の規則によってオーバーライドされます。 たとえば、publicNetworkAccess 設定が enabled になっている検索サービスが、強制モードでネットワーク セキュリティ境界に関連付けられている場合、その検索サービスへのアクセスは、引き続きネットワーク セキュリティ境界のアクセス規則によって制御されます。

ネットワーク セキュリティ境界のアクセス モードを変更する

  1. ポータルでネットワーク セキュリティ境界のリソースに移動します。

  2. 左側のメニューで [ リソース ] を選択します。

  3. テーブルでキー コンテナーを探します。

  4. 検索サービス行の右端にある 3 つのドットを選択します。 ポップアップで [アクセス モードの変更 ] を選択します。

  5. 目的のアクセス モードを選択し、[ 適用] を選択します。

ネットワーク アクセスのログを有効にする

ネットワーク セキュリティ境界の診断ログを参照してください。

References

次のステップ

  • Last updated on