Azure Key Vault を使用すると、Azure 加入者は、クラウド アプリおよびサービスが使用する暗号化キーおよびその他の秘密情報のセキュリティ保護と制御を行うことができます。
- ハードウェア セキュリティ モジュール (HSM) のキーを使用して (パスワードなどの) キーおよび小規模の秘密情報を暗号化 します。
- さらに安心感を高めたい場合には、FIPS 140-2 レベル 2 規格の認証を受けた HSM でキーをインポートまたは生成すれば、キーを HSM の境界内にとどめることができます。
- SSL/TLS 証明書のタスクを簡略化および自動化し、サポートされている公開証明機関 (CA) からの証明書を登録して自動的に更新します。
- Azure Storage アカウント キーの管理と自動ローテーションを行い、Shared Access Signature を使用してキーに直接アクセスしないようにします。
- 調達、ハードウェア、または IT チームの対応を待たなくても、新しいコンテナーとキーのプロビジョニングとデプロイを数分で行い、キー、秘密情報、ポリシーを集中管理します。
- 暗号化データの制御を維持します。必要に応じて、自社のアプリケーションおよびサード パーティ製のアプリケーションによるキーの使用を許可したり取り消したりします。
- キー管理の分離タスクにより、開発者は開発やテストに使用するキーを管理しやすくなるとともに、セキュリティ操作で管理するプロダクション キーにシームレスに移行できます。
- クラウド アプリケーションの暗号化のニーズとピーク時の需要に合わせて迅速に拡大/縮小します。
- 世界中の Azure データセンターにコンテナーをプロビジョニングしてグローバルな冗長性を実現するとともに、持続性を高めるために自社の HSM にコピーを保持します。
米国政府機関は、ライセンス ソリューション プロバイダーから、Azure Government サービスを購入できます。その際、事前の料金契約なしで、または従量課金制のオンライン サブスクリプションで直接ご購入いただけます。
重要 - R$ で示されている料金は参照用のみです。これは国際取引のため、最終料金は為替レートと IOF 税により変更される場合があります。eNF は発行されません。
Azure Germany をご利用いただけるのは、欧州連合 (EU) または欧州自由貿易連合 (EFTA) 加盟国および英国 (UK) 内に事業を展開しているお客様とパートナー企業です。より高いレベルの制御とデータ保護を備えた、ドイツでのデータの保存場所が提供されます。また、Azure Germany の無料試用版にサインアップすることも可能です。
Azure Key Vault では、2 つのサービス レベル (Standard、Premium) が提供されています。
| Standard | Premium | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|
| 秘密情報の操作 | $-/10,000 | $-/10,000 | ||||||||
| 証明書の操作2 |
更新 -$-/更新リクエストごと。 その他すべての操作 -$-/10,000 |
更新 -$-/更新リクエストごと。 その他すべての操作 -$-/10,000 |
||||||||
| Managed Azure Storage アカウント キーの交換 (プレビュー) |
プレビュー期間中は無料です。 |
プレビュー期間中は無料です。 |
||||||||
| ソフトウェアで保護されたキー | ||||||||||
| RSA 2048 ビット キー | $-/10,000 | $-/10,000 | ||||||||
|
高度なキーの種類 - RSA 3072 ビット、RSA 4096 ビット、楕円曲線暗号 (ECC) キー |
$-/10,000 |
$-/10,000 |
||||||||
| HSM で保護されたキー | ||||||||||
| RSA 2048 ビット キー | 該当なし |
キーあたり $-/月1 + $-/10,000 |
||||||||
|
高度なキーの種類1 - RSA 3072 ビット、RSA 4096 ビット、楕円曲線暗号 (ECC) キー |
該当なし |
|
サポートおよび SLA
- 課金やサブスクリプションの管理についてのサポートは、無料で提供されています。
- テクニカル サポートは、さまざまな Azure サポート プランを通じて、月額 $29 からご利用いただけます。 サービス レベル アグリーメント (SLA) - Microsoft は、99.9% 以上の時間において、Key Vault トランザクションのリクエストが 5 秒以内に処理されることを保証します。Microsoft が提供する SLA の詳細はこちらをご覧ください。
FAQ
-
Key Vault に格納できるキーの種類と秘密情報は、次のとおりです。
- キーは HSM でインポートまたは生成でき、HSM の境界に常にロックされます。Key Vault サービスに復号またはキーによる署名を依頼する場合、操作は HSM 内で実行されます。
- HSM にあるキーを使用して暗号化することもできます。この場合、暗号化の操作は、HSM 内部では行われず、ソフトウェアで実行されます。このコンピューティング処理は、Azure コンピューティング ロールで行います。
- 秘密情報は、アプリケーションがテキスト形式で格納および取得できる、パスワードまたは PFX ファイルなどの (10 KB 未満の) データです。Key Vault サービスでは、HSM で支えられたキーを使用して暗号化された秘密情報を保持するとともに、その上にアクセス制御レイヤーを設けています。
公開 CA が Key Vault でサポートされている場合、キーと秘密情報に加えて、公開 CA から購入した SSL/TLS 証明書を格納して管理し、Key Vault を介して自動的に登録または更新できます。
-
認証が成功した REST API の各呼び出しが 1 つの操作としてカウントされます。
キーの操作の例 - 作成、インポート、取得、リスト、バックアップ、復元、削除、更新、署名、確認、ラップ、ラップ解除、暗号化、復号。操作に課金される金額は、キーの種類によって変わる可能性があることにご注意ください (たとえば、2048 ビット RSA キーや 4096 ビット RSA キーで実行される操作は、前述の料金セクションで説明されているように、価格の異なるさまざまな基準で請求されます)。
秘密情報の操作の例 - 作成/更新、取得、リスト。
証明書の操作の例 - 作成、ポリシーの更新、連絡先の更新、証明書のインポートおよび更新。証明書の更新操作には、証明書に関するその他すべての操作とは別のコストがかかることに注意してください。
-
すべてのキー (ソフトウェアで保護されたキーおよび HSM で保護されたキー)、秘密情報、および証明書に対する操作は 10,000 操作ごとに $- の定額で請求されますが、証明書の更新依頼だけは、更新ごとに $- のレートで請求されます。例 - A) 請求サイクル中に、HSM で保護されたキーの操作を 2,000 回、ソフトウェアで保護されたキーの操作を 1,000 回、秘密情報の操作を 500 回実行しました。この請求サイクルでは、操作 3,500 回分が請求されます。B) 特定の請求サイクル中に、20 証明書の操作を 500 回実行し、そのうち 2 の証明書は Key Vault によって更新されています。500 回の操作と 2 証明書の更新依頼について請求されます。
-
Azure Key Vault の HSM で生成したり、インポートしたりする各キーは、個別のキーとして課金されます。キーは、キーの作成日を基にして、過去 30 日間に 1 回以上キーが使用された場合にのみ課金されます。特定のキーの複数 (履歴) バージョンを保存する場合、各バージョンは個別のキーとして扱われ、請求されることに注意してください。
例:
- キー コンテナーに HSM で保護されたキーを 3 つ追加します。今後 30 日間で、1 番目のキーを 10,000 回、2 番目のキーを 1 回使用します。3 番目のキーは使用しません。この 30 日間で、2 の HSM キー ユニットに対して請求されます。たとえば、2048 ビット RSA キーの場合は、2 x $- /キー/月 = $- が請求されます。また、3072 ビット RSA キーの場合は、2 x $- /キー/月 = $- が請求されます。
- HSM で保護されたキーが、キー コンテナーに 1 つあります。キーの値を 4 回変更したため、キーの履歴バージョンが 5 つあります。過去 30 日間に 2 つのバージョンを使用し、他の 3 つのバージョンは使用しませんでした。2048 ビット RSA キーの場合、この例では $- が請求されます。高度なキーの種類の場合、この例では $- が請求されます。
- HSM で保護されたキーで実行される操作は、別途課金され、HSM キーの料金に加えて適用されることに注意してください。
-
いいえ、Azure Key Vault の設定に料金はかかりません。
-
HSM キーの料金は、有効期間に応じて調整されることはありません。HSM キーは、キーの作成日を基にして、過去 30 日間に 1 回以上キーが使用された場合にのみ課金されます。
-
はい。Key Vault に格納されたキーの使用は、どの場所 (Microsoft Azure、サード パーティ製クラウド、社内) でホストされたどのアプリケーションに対しても許可できます。
-
いいえ。キーの所有者のみが請求されます。