ハードウェア セキュリティ モジュールからお客様所有の鍵を使用する

このトピックでは、自身の Azure Key Vault ハードウェア セキュリティ モジュール（HSM）鍵を使用した、GKE on Azure での保存データの暗号化について説明します。

始める前に

以下の手順を行うには、GKE on Azure のセキュリティ アーキテクチャを理解している必要があります。

これらの手順を行うには、以下のものが必要です。

• Azure でサポートされている HSM

• Azure ロールベース アクセス制御 権限モデルを持つ Azure Key Vault

• Azure Key Vault にインポートされた HSM により保護されている鍵

• Azure Key Vault 承認を管理し、指定された鍵でデータを暗号化する権限を持つ、GKE on Azure のサービス プリンシパル。

  これらの権限を付与する最も簡単な方法は、Azure 組み込みロール Key Vault Crypto Officer と User Access Administrator をサービス プリンシパルに割り当てることです。

お客様所有の鍵の使用

お客様所有の鍵を使用するには、次の手順に沿って操作します。

1. Azure Key Vault の鍵 ID を環境変数に保存します。

   export KEY_VAULT_ID="$(az keyvault show --name ${KEY_VAULT_NAME} \
       --resource-group ${RESOURCE_GROUP} --query id -otsv)"
   export KEY_VAULT_KEY_ID="${KEY_VAULT_ID}/keys/${KEY_NAME}"
   

2. クラスタを作成するときに、--config-encryption-key-id パラメータで鍵の ID を渡します。

   gcloud container azure clusters create CLUSTER_NAME \
       --config-encryption-key-id  ${KEY_VAULT_KEY_ID} \
       ...
   

3. クラスタ作成の手順に沿って操作を続けます。

次のステップ

Azure ドキュメントの鍵についてをご覧ください。