Skip to main content

Azure Key Vault コネクタ

DigiCert​​®​​ Trust Lifecycle Manager を Azure Key Vault にリンクさせて、Azure クラウド上のヴォールトから証明書のインポートとヴォールトへの配信を行います。

開始する前に

DigiCert の前提条件

Trust Lifecycle Manager と、ターゲットの鍵ヴォールトが含まれた Azure テナントの両方に到達できるネットワーク上に、アクティブな DigiCert センサーが必要です。詳細については、「センサーを展開および管理する」を参照してください。

Azure の前提条件

  1. 接続する鍵ヴォールトが含まれた Azure テナントのテナント ID をメモしておきます。テナントに複数のサブスクリプションがある場合は、該当するサブスクリプション ID もメモしておきます。

  2. Trust Lifecycle Manager 統合のためのアプリケーションを登録し、[Application (client) ID]をメモします。

  3. 登録アプリケーションの[Certificates & secrets]ページで、[New client secret]を選択して、アプリケーションへのアクセス用のシークレットを作成します。シークレットのをコピーして、セキュアな場所に保存します。

  4. Make sure the key vaults are configured for role-based access control (RBAC). To enable this permission model for a key vault, open the key vault and select Access configuration > Permission model > Azure role-based access control (recommended).

  5. 鍵ヴォールトに、必要な最小アクセスロールの Key Vault Certificates Officer および Key Vault Secrets User が設定されていることを確認します。

    • 必要な最小スコープは Resource group です。Azure でこのレベルでアクセスロールを割り当てるために、鍵ヴォールトが含まれたリソースグループの名前をメモし、[Resource groups]> {リソースグループ名} >[Access control (IAM)]>[Add]>[Add role assignment]を選択します。

    • アクセスロールは Subscription スコープでも割り当てることができます。Azure でこのレベルでアクセスロールを割り当てるために、鍵ヴォールトが含まれたサブスクリプションの名前をメモし、[Subscriptions]> {サブスクリプション名} >[Access control (IAM)]>[Add]>[Add role assignment]を選択します。

      注記

      デジサートは、必要な最小スコープの Resource group でアクセスロールを割り当てることを推奨します。Subscription スコープでロールを割り当てた場合、Trust Lifecycle Manager では、Azure サブスクリプションに含まれるすべての鍵ヴォールトが可視化されます。

    • API アクセスのために、ネイティブクライアントには [Delegated permissions]で指定された user_impersonation 権限が必要です。

Azure Key Vault コネクタを追加する

  1. Trust Lifecycle Manager メインメニューから、[統合]>[コネクタ]を選択します。

  2. [コネクタの追加]ボタンを選択します。

  3. [ヴォールト]セクションで、[Azure Key Vault]のタイルを選択します。

    以下の手順に従って、表示されるフォームに情報を入力します。

  4. フォーム上部のセクションで、コネクタの一般的なプロパティを設定します。

    • [名前]: このコネクタにフレンドリ名を割り当てます。

    • [事業部門]: このコネクタの事業部門を選択します。この事業部門に割り当てられたユーザーだけが、コネクタを管理できます。

    • [管理センサー]: 統合を管理するアクティブな DigiCert センサーを選択します。

  5. [アカウントのリンク]セクションで、Azure のアクセスの詳細を入力します。

    • [テナント ID]: 接続する鍵ヴォールトが含まれた Azure テナントの ID を入力します。

    • [サブスクリプション ID]: Azure テナントが複数のサブスクリプションにマッピングされている場合は、鍵ヴォールトが含まれるサブスクリプションの ID を入力します。このフィールドは、Azure テナントに単一のサブスクリプションしかない場合は任意です。

    • [クライアント ID]: Trust Lifecycle Manager のアクセスのために Azure に登録したアプリケーションのクライアント ID を入力します。

    • [クライアントシークレット]: 上記の ID を持つ登録アプリケーションの有効なクライアントシークレットの値を入力します。

  6. [ヴォールトオブジェクト命名オプション]セクションで、鍵ヴォールトに配信された証明書の命名方法のオプションを確認または更新します。

    • [一意の名前(デフォルト)]: すべての証明書に一意の識別子を割り当てます。

    • [コモンネーム(バージョン管理)]: コモンネームに基づいて証明書に名前を付け、証明書の新バージョンが発行および配布されるのに伴い、経時的にグループにまとめます。

  7. 接続された鍵ヴォールトから既存の証明書をインポートする場合は、[属性のインポート]セクションに情報を入力します。

    • インポートを有効にする場合は[オン]に切り替えます。

    • 有効にした場合、Trust Lifecycle Manager により、ヴォールトからすべての証明書がインポートされます。期限切れの証明書をインポートしない場合は、チェックボックスを選択します。

    • (任意)インポートされた証明書に事業部門やタグを割り当てると、Trust Lifecycle Manager での証明書管理に役立ちます。

    • Trust Lifecycle Manager が新しい証明書をチェックして Azure からインポートするための[インポート頻度]を選択します。デフォルトは 24 時間に 1 回です。

  8. [Add]を選択し、構成した設定で Azure Key Vault コネクタを作成します。

重要

Azure Key Vault コネクタはそれぞれ、単一の Azure サブスクリプションに対応します。複数のサブスクリプションに含まれる鍵ヴォールトを統合するには、サブスクリプション ID ごとに 1 つずつ、複数のコネクタを追加します。

次の手順

  • Integrations > Connectors]ページに進み、Azure Key Vault コネクタを表示ステータス確認、管理します。

  • 管理者ウェブ要求機能を使用して、新しい証明書と接続された鍵ヴォールトへの自動配信を登録します。

このセクションの内容: