Azure Key Vault コネクタ
DigiCert® Trust Lifecycle Manager を Azure Key Vault にリンクさせて、Azure クラウド上のヴォールトから証明書のインポートとヴォールトへの配信を行います。
開始する前に
You need an active DigiCert sensor on your network that can reach both Trust Lifecycle Manager and the Azure tenant with the target key vaults. To learn more, see センサーを展開および管理する.
To use a PAM service to store the client secret for authenticating the connection to Azure, you need a secrets manager connector.
接続する鍵ヴォールトが含まれた Azure テナントのテナント ID をメモしておきます。テナントに複数のサブスクリプションがある場合は、該当するサブスクリプション ID もメモしておきます。
Trust Lifecycle Manager 統合のためのアプリケーションを登録し、[Application (client) ID]をメモします。
登録アプリケーションの[Certificates & secrets]ページで、[New client secret]を選択して、アプリケーションへのアクセス用のシークレットを作成します。シークレットの値をコピーして、セキュアな場所に保存します。
Make sure the key vaults are configured for role-based access control (RBAC). To enable this permission model for a key vault, open the key vault and select Access configuration > Permission model > Azure role-based access control (recommended).
鍵ヴォールトに、必要な最小アクセスロールの
Key Vault Certificates OfficerおよびKey Vault Secrets Userが設定されていることを確認します。必要な最小スコープは
Resource groupです。Azure でこのレベルでアクセスロールを割り当てるために、鍵ヴォールトが含まれたリソースグループの名前をメモし、[Resource groups]> {リソースグループ名} >[Access control (IAM)]>[Add]>[Add role assignment]を選択します。アクセスロールは
Subscriptionスコープでも割り当てることができます。Azure でこのレベルでアクセスロールを割り当てるために、鍵ヴォールトが含まれたサブスクリプションの名前をメモし、[Subscriptions]> {サブスクリプション名} >[Access control (IAM)]>[Add]>[Add role assignment]を選択します。注記
デジサートは、必要な最小スコープの
Resource groupでアクセスロールを割り当てることを推奨します。Subscriptionスコープでロールを割り当てた場合、Trust Lifecycle Manager では、Azure サブスクリプションに含まれるすべての鍵ヴォールトが可視化されます。API アクセスのために、ネイティブクライアントには [Delegated permissions]で指定された
user_impersonation権限が必要です。
Azure Key Vault コネクタを追加する
Trust Lifecycle Manager メインメニューから、[統合]>[コネクタ]を選択します。
[コネクタの追加]ボタンを選択します。
[ヴォールト]セクションで、[Azure Key Vault]のタイルを選択します。
以下の手順に従って、表示されるフォームに情報を入力します。
フォーム上部のセクションで、コネクタの一般的なプロパティを設定します。
[名前]: このコネクタにフレンドリ名を割り当てます。
[事業部門]: このコネクタの事業部門を選択します。この事業部門に割り当てられたユーザーだけが、コネクタを管理できます。
[管理センサー]: 統合を管理するアクティブな DigiCert センサーを選択します。
[アカウントのリンク]セクションで、Azure のアクセスの詳細を入力します。
[テナント ID]: 接続する鍵ヴォールトが含まれた Azure テナントの ID を入力します。
[サブスクリプション ID]: Azure テナントが複数のサブスクリプションにマッピングされている場合は、鍵ヴォールトが含まれるサブスクリプションの ID を入力します。このフィールドは、Azure テナントに単一のサブスクリプションしかない場合は任意です。
[クライアント ID]: Trust Lifecycle Manager のアクセスのために Azure に登録したアプリケーションのクライアント ID を入力します。
Under Authentication settings, select one of the following options for providing the client secret value for the Azure application:
Direct input: Select this option to add the client secret directly to the connector configuration. Enter the client secret value in the field provided. The value is encrypted for secure storage.
Secrets manager: Select this option to use the client secret stored in a privileged access management (PAM) service via a secrets manager connector. Configure the following settings:
Secrets manager connector: Select the secrets manager connector for the PAM service that stores the client secret.
Client secret: Enter the vault reference for the client secret in the selected PAM service. The reference format depends on the PAM service:
BeyondTrust: Use the format SystemName/AccountName (for example,
TLM-Prod-System/My-AKV-credentials).CyberArk: Use the format AccountName (for example,
My-AKV-credentials).
[ヴォールトオブジェクト命名オプション]セクションで、鍵ヴォールトに配信された証明書の命名方法のオプションを確認または更新します。
[一意の名前(デフォルト)]: すべての証明書に一意の識別子を割り当てます。
[コモンネーム(バージョン管理)]: コモンネームに基づいて証明書に名前を付け、証明書の新バージョンが発行および配布されるのに伴い、経時的にグループにまとめます。
接続された鍵ヴォールトから既存の証明書をインポートする場合は、[属性のインポート]セクションに情報を入力します。
インポートを有効にする場合は[オン]に切り替えます。
有効にした場合、Trust Lifecycle Manager により、ヴォールトからすべての証明書がインポートされます。期限切れの証明書をインポートしない場合は、チェックボックスを選択します。
(任意)インポートされた証明書に事業部門やタグを割り当てると、Trust Lifecycle Manager での証明書管理に役立ちます。
Trust Lifecycle Manager が新しい証明書をチェックして Azure からインポートするための[インポート頻度]を選択します。デフォルトは 24 時間に 1 回です。
[Add]を選択し、構成した設定で Azure Key Vault コネクタを作成します。
重要
Azure Key Vault コネクタはそれぞれ、単一の Azure サブスクリプションに対応します。複数のサブスクリプションに含まれる鍵ヴォールトを統合するには、サブスクリプション ID ごとに 1 つずつ、複数のコネクタを追加します。