デモ - 暗号化を作成して構成し、アプリ アクセスをセキュリティで保護する。

このデモでは、暗号化とアプリのセキュリティについて説明します。

注: このデモでは、マネージド ID、キー コンテナー、キーを作成します。 時間を節約するには、これらのリソースを事前に作成する必要があります。

キー コンテナー、キー、マネージド ID を作成します。

  1. 新しい Azure ストレージ アカウントを作成します。 これは、セキュリティで保護されたストレージ機能を表示するために使用されます。

  2. [補助スライド] 開始する前に、新しい開発者アプリが必要なストレージに安全にアクセスする方法を確認してください。 アプリはマネージド ID によってアクセスされます。 マネージド ID は、Azure Key Vault に格納されている暗号化キーを使用します。 Azure Key Vault は、キー、シークレット、証明書を管理するために使用されるクラウド サービスです。 このプロセスにより、アプリ コードにセキュリティ情報を格納する必要がなくなりました。 すべての学生がこれらの概念に精通しているわけではありません。

  3. マネージド ID を作成します。 マネージド ID に関する詳細を確認します。

  4. キー コンテナーを作成してください。 既定値を使用します。ただし[アクセス構成] タブで、[Azure ロールベースのアクセス制御 (推奨)] が選択されていることを確認します。 Azure Key Vault に関する詳細を確認します。

  5. キー コンテナーがデプロイされるまで待ってから、リソースに移動します

  6. [オブジェクト] ブレードで、キー、シークレット、証明書を指摘します。

  7. [キー] を選択し、[生成/インポート] を選択します。

  8. キーに名前を付け、キーを作成します。 既定値のままにします。

マネージド ID とキー コンテナーのストレージ アカウントを構成し、アクセス許可を割り当てます。

  1. ストレージ アカウントに戻ります。

  2. [セキュリティとネットワーク] ブレードで、[暗号化] を選択します。

    • [カスタマー マネージド キー] を選択します。 Microsoft マネージド キーとカスタマー マネージド キーの違いについて説明します。 たとえば、Microsoft マネージド キーは、ストレージの自動暗号化と復号化に使用されます。 カスタマー マネージド キーは、アプリで使用できます。 カスタマー マネージド キーに関する詳細を確認します。

    • キー格納の種類として、キー コンテナーを選択します。 キーは、ソフトウェア (キー コンテナー) またはハードウェア (ハードウェア セキュリティ モジュール) に格納できます。 キー コンテナーを使用しています。

    • キー コンテナーキーを選択します。

    • [ID の種類] で、[システム割り当てマネージド ID] を選択します。 これは、キー コンテナーにアクセスできるようにマネージド ID を構成する既定値です。

  3. [補助スライド] この時点で、マネージド ID にキー コンテナーへのアクセスを許可し、ID をストレージ アカウントに関連付けました。 次に、マネージド ID にストレージ アカウントへのアクセスを許可する必要があります。 Azure のロールの割り当てに関する詳細を確認します。

  4. 自分のストレージ アカウントに戻り [アクセス制御 (IAM)] を選択します。 Azure の組み込みロールに関する詳細を確認します。

    • [追加][ロールの割り当ての追加] の順に選択します。 [割り当ての種類] タブで、役職のロールを割り当てていることを指摘します。

    • [ロール] タブに移動し、BLOB を検索します。 ストレージ BLOB データ閲覧者のロールを選択します。

    • [メンバー] タブに移動し、マネージド ID へのアクセスを割り当てます。

    • [メンバーの選択] を選択し、ユーザー割り当てマネージド ID を選択します。

不変ストレージを構成する。

  1. [補助スライド] 開発者は、ユーザーが指定した期間、変更や削除ができないビジネスクリティカルなデータを保存する方法が必要です。 不変ストレージを使用すると、データが上書きまたは削除されないように保護できます。 時間ベースの保持ポリシーと訴訟ホールド ポリシーについて説明します。 不変ストレージに関する詳細を確認します。

  2. ストレージ アカウントで、[コンテナー] ブレードを選択します。

  3. hold という名前のコンテナーを作成し、ファイルをアップロードします。

  4. hold コンテナーにアクセスし、[アクセス ポリシー] ブレードを選択します。

  5. [不変 BLOB ストレージ] セクションで、[+ ポリシーの追加] を選択します。

  6. [ポリシーの種類] では [時間ベースの保持] を選択します。

  7. [保持期間]5 日に設定します。

  8. 変更を必ず保存してください。

  9. コンテナーからファイルを削除してみてください。

  10. ポリシーが設定されているため、ファイルを削除できないことを確認します。

インフラストラクチャ暗号化の暗号化スコープを構成します。

  1. [補足スライド] 開発者は、コンテナー レベルでインフラストラクチャ暗号化のスコープを設定する必要もあります。 暗号化スコープとインフラストラクチャの暗号化について説明します。 暗号化スコープに関する詳細を確認します。

  2. ストレージ アカウントで続けます。

  3. [セキュリティとネットワーク] セクションで、[暗号化] を選択します。

  4. [暗号化スコープ] タブに移動し、[+ 追加] を選択します。

  5. 暗号化スコープ名前を付けます。

  6. インフラストラクチャ暗号化有効であることを確認します 「この暗号化スコープを作成した後は、このオプションを変更できません」というメモを指摘します。

: 学生は LAB_04 を完了できるようになりました。