😊
[Azure] Key Vault について
Azure Key Vaultのローテーションについて
キーのローテーションはポリシーを設定して、KeyVaultで完結して実施することができる。
証明書も、キーほど細かい設定ではないが、有効期限が来た時のアクションを設定できる。
一方で、シークレットの場合は、有効期限は存在するが自動対応に関する設定項目はない。
そのため、Azure Functionにて自動ローテーションを実行する必要がある。
以前の項目で載せているリンクを参照。
Key Vaultローテーションの自動化
Event Gtid とAzure functionを使った実現が可能らしい。 powershell rundeckだと、実行間隔が日数になるので場合によっては向いていない?(ヵ月指定とかになると)
KeyVaultの設定として自動ローテーションも可能なので、労力が少ないのはそのやり方になる。
key vaultシークレットの有効/無効化
key vaultへのアクセスはRBACでも制御可能?
制御可能。
Key Vaultを作成するときに、アクセスポリシー or RBACでの制御で選択ができる。
作成後は各人にRBACの割り当てを行うことで、権限に応じた操作が可能になる。
ちなみにRBACの割り当てを行うことができるのは、サブスクリプションレベルでの所有者権限を持つ人になる。
Key Vaultの不思議なところだが、所有者みたいにすべてのアクションが許可されている場合でも、許可の割り当てが行われるまではキーの作成等はできない。暗黙的な拒否を上書きするような明示的な許可が必要になるのだろう。
信頼できるサービス(Key Vaultのみ)
例えばDiskの暗号化の場合、信頼できるサービスからのアクセスの☑を入れることで、ネットワークの追加をせずに済む。
ロールの設定から、具体的な割り当て期間や割り当てにMFAや理由記載有無の選択ができる。
承認者グループに自分が所属していても、自分のリクエストは自分では承認できないらしいぃ。
Discussion