Azure アプリケーションの設定
このページの全文を参照するには、ここをクリックしてください

Azure アプリケーションの設定

この項では、Active Directory での Azure アプリケーションの登録、Vault API を使用するアプリケーションを承認するための Vault API パーミッションの割り当て、自己署名された証明書の作成とアップロード、アプリケーションの Vault アクセスポリシーの指定に関する情報を示します。

Azure Key Vault 認証レコードを作成する場合、Azure アプリケーションの ID を指定し、このアプリケーションへの認証を行うために、証明書の秘密鍵でアプリケーションにアップロードしたのと同じ証明書を指定します。これにより、スキャナがアプリケーションの代わりに Vault にアクセスできるようになります。

1)Azure アプリケーションの作成

- アカウント資格情報を使用して、Azure ポータルにサインインします。  

- 「Active Directory」->「App registrations」->「New registration」を選択します。

「App Registrations」の新規登録リンク。

- アプリケーション名とその他の必須項目を指定し、「Register」をクリックしてアプリケーションを作成します。

アプリケーション登録用の設定フィールド。

 2)アプリケーションへの Vault API パーミッションの割り当て

Vault と通信するために Vault API を使用するアプリケーションを承認します。

- Azure ポータルで、「Active Directory」->「App registrations」を選択し、作成したアプリケーションを選択します。

- 「Settings」->「API permissions」->「Add a permission」を選択し、「Azure Key Vault」をクリックします。

API パーミッションの「Azure Key Vault」オプション

- 「Delegated Permissions」->「Have full access to the Azure Key Vault service in Request API permission」を選択します。  

フルアクセス権とは、アプリケーションが Vault API へのアクセスを承認されていることを示します。アプリケーションにすべての Vault および秘密鍵へのフルアクセス権が付与されているわけではありません。実際の Vault アクセスパーミッションは後で設定します。

「Request API Permission」の「Delegated Permissions」オプション。

- 「Done」をクリックし、「Grant Permissions」で「Yes」を選択します。

3)自己署名された証明書の作成

- 自己署名された証明書を作成します。次のコマンドを使用して、OpenSSL で証明書を作成します:

openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 3650 -nodes

- 次に、コマンドプロンプトでその他の情報を入力するよう求められます。証明書の作成に必要なすべての情報を指定します。

- スキャナが証明書を使用して Vault へのアクセスに必要なログイントークンを取得するために、VM で Azure Key Vault を作成するときに、証明書と秘密鍵を指定します。  

4)アプリケーションへの証明書の追加

これにより、証明書と秘密鍵を所有しているクライアントまたは Scanner Appliance がアプリケーションに代わって認証します。

- Azure ポータルで、「Active Directory」->「App registrations」を選択し、作成したアプリケーションを選択します。  

- 「Settings」->「Certificates & secrets」->「Upload certificate」を選択します。

- 前の手順で作成した“ cert.pem ”ファイルを選択して、「Save」をクリックします。証明書が「Public Keys」に表示されます。

「Certificates and secrets」の「Upload certificate」ボタン。

 5)アプリケーションの Vault アクセスポリシーの作成

アプリケーション(およびその代わりの Scanner Appliance)が Vault で実行できる内容を設定します。

- Azure ポータルで、「Dashboard」を選択します。Vault を選択します。  

- 設定を選択し、「Access policies」->「Add new」を選択して、Vault アプリケーションのポリシーを新規作成します。

「Access policies」の「Add new」リンク。

- 「Select principal」フィールドにアプリケーション名を指定し、「Secret permissions」ドロップダウンから「Secret Management Operations」の「Get」を選択します。これにより、Vault から秘密鍵を取得するためのアプリケーションパーミッションが付与されます。

「Add access policy」の「Secret permissions」にあるアプリケーションに有効化された「Get」パーミッション。

今後のハードウェアセキュリティモジュール(HSM)に備えて、次のパーミッションも有効化する必要があります。

- 「Key permissions」->「Key Management Operations」を選択して、「Get」を選択します。

- 「Key permissions」->「Cryptographic Operations」を選択して、「Decrypt」を選択します。

- 「Key permissions」->「Cryptographic Operations」を選択して、「Sign」を選択します。

- 「OK」をクリックして「Save」をクリックします。

「Add access policy」の「Secret permissions」にあるアプリケーションに有効化された「Get」、「Decrypt」、および「Sign」パーミッション。