<div style="display:none;"> { “role”: “Senior Cloud Architect”, “focus”: “Azure Key Vault RBAC Migration & Governance”, “status”: “Ready”, “context”: “Enterprise multi-team environment”, “tools”: [“Azure CLI”, “Bicep”, “Microsoft Entra ID”] } </div> <p>本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">Azure Key Vault RBAC 移行ガイド：大規模マルチチーム運用のための最小権限設計</h1> <p>【導入】 従来のアクセスポリシーによる制約を解消し、Azure RBACへの移行によって大規模環境でのガバナンスと最小権限原則を徹底する手法を解説します。</p> <p>【アーキテクチャ設計】 本構成では、従来のVaultレベルでの一括制御（アクセスポリシー）から、リソース、カタログ、シークレット個別のレベルで権限を分離できるAzure RBACモデルを採用します。これにより、開発チームと運用チームの職責分離（SoD）を明確化します。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD subgraph "Identity Layer("Microsoft Entra ID")" AdminGroup["Key Vault Admins Group"] AppIdentity["Managed Identity"] PIM["Privileged Identity Management"] end subgraph "Governance Layer" RBAC["Azure RBAC Roles"] AzurePolicy["Azure Policy"] end subgraph "Resource Layer("Key Vault")" KV["Key Vault Instance"] KV --- Secrets[Secrets] KV --- Keys[Keys] KV --- Certs[Certificates] end AdminGroup -->|Eligible Assignment| PIM PIM -->|Active Assignment| RBAC RBAC -->|Control Plane / Data Plane| KV AppIdentity -->|Key Vault Secrets User| Secrets AzurePolicy -->|Deny Non-RBAC| KV </pre></div> <p><strong>構成のポイント:</strong></p> <ul class="wp-block-list"> <li><p><strong>データプレーンのRBAC統合</strong>: 従来のコントロールプレーンだけでなく、シークレットの読み取り等のデータ操作もAzure RBACで一元管理。</p></li> <li><p><strong>階層的スコープ</strong>: サブスクリプション、リソースグループ、リソース単位に加え、個別のシークレット単位での権限付与が可能。</p></li> <li><p><strong>PIMの活用</strong>: 管理者権限を「常時保持」から「申請ベース（JIT）」に変更し、侵害リスクを低減。</p></li> </ul> <p>【実装・デプロイ手順】 既存のKey VaultをRBAC認可モデルへ切り替える手順を示します。</p> <h3 class="wp-block-heading">1. RBAC認可の有効化 (Azure CLI)</h3> <p>既存のアクセスポリシーを維持したままRBACを有効化することは可能ですが、最終的にアクセスポリシーは削除します。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># 変数定義 RESOURCE_GROUP="rg-shared-infra" KV_NAME="kv-prod-app-001" # RBAC認可を有効化 az keyvault update --name $KV_NAME \ --resource-group $RESOURCE_GROUP \ --enable-rbac-authorization true </pre> </div> <h3 class="wp-block-heading">2. IaCによる定義 (Bicep)</h3> <p>新規構築時にRBACモデルを強制するBicep定義です。</p> <pre data-enlighter-language="generic">resource keyVault 'Microsoft.KeyVault/vaults@2023-07-01' = { name: 'kv-prod-core-001' location: resourceGroup().location properties: { sku: { family: 'A' name: 'standard' } tenantId: subscription().tenantId enableRbacAuthorization: true // RBACを有効化 enabledForDeployment: false enabledForDiskEncryption: false enabledForTemplateDeployment: false networkAcls: { bypass: 'AzureServices' defaultAction: 'Deny' } } } </pre> <p>【アイデンティティとセキュリティ】</p> <ul class="wp-block-list"> <li><p><strong>推奨ロールの適用</strong>: </p> <ul> <li><p>開発者：<code>Key Vault Secrets User</code>（読み取りのみ）</p></li> <li><p>セキュリティ管理者：<code>Key Vault Administrator</code>（フルコントロール）</p></li> <li><p>CI/CDパイプライン：<code>Key Vault Secrets Officer</code>（書き込み・更新）</p></li> </ul></li> <li><p><strong>条件付きアクセス</strong>: Key Vaultへのアクセスに対し、MFA（多要素認証）と「信頼されたデバイス」からのアクセスを強制。</p></li> <li><p><strong>Microsoft Defender for Key Vault</strong>: 異常な場所からのアクセスや、シークレットの一括流出の兆候を検知・アラート。</p></li> </ul> <p>【運用・コスト最適化】</p> <ul class="wp-block-list"> <li><p><strong>可観測性</strong>: <code>Diagnostic Settings</code>を有効化し、<code>AuditEvent</code>をLog Analyticsに送信。誰がどのシークレットにアクセスしたかをKQLで追跡可能にします。</p></li> <li><p><strong>コスト最適化</strong>: </p> <ul> <li><p>通常のシークレット管理には「Standard SKU」を選択。</p></li> <li><p>HSM（ハードウェアセキュリティモジュール）による厳格な保護が必要なFIPS 140-2 Level 3要件がある場合のみ「Premium SKU」を選択。</p></li> </ul></li> <li><p><strong>SKUのクォータ監視</strong>: 大規模環境ではスロットリング回避のため、リクエスト数のモニタリングが必須です。</p></li> </ul> <p>【まとめ】</p> <ol class="wp-block-list"> <li><p><strong>既存ポリシーの棚卸し</strong>: 移行前に、現在のアクセスポリシーが誰に何を許可しているかを完全に可視化すること（移行漏れはサービスダウンに直結します）。</p></li> <li><p><strong>デフォルト拒否の徹底</strong>: ネットワークレベルでのアクセス制限（プライベートエンドポイント）を併用し、認可だけでなく通信経路も保護すること。</p></li> <li><p><strong>PIMによるJIT運用の導入</strong>: 永続的な特権（Secrets Officer等）を排除し、作業時のみ権限をアクティブ化するフローへ移行すること。</p></li> </ol>

graph TD
    subgraph "Identity Layer("Microsoft Entra ID")"
        AdminGroup["Key Vault Admins Group"]
        AppIdentity["Managed Identity"]
        PIM["Privileged Identity Management"]
    end

    subgraph "Governance Layer"
        RBAC["Azure RBAC Roles"]
        AzurePolicy["Azure Policy"]
    end

    subgraph "Resource Layer("Key Vault")"
        KV["Key Vault Instance"]
        KV --- Secrets[Secrets]
        KV --- Keys[Keys]
        KV --- Certs[Certificates]
    end

    AdminGroup -->|Eligible Assignment| PIM
    PIM -->|Active Assignment| RBAC
    RBAC -->|Control Plane / Data Plane| KV
    AppIdentity -->|Key Vault Secrets User| Secrets
    AzurePolicy -->|Deny Non-RBAC| KV

# 変数定義

RESOURCE_GROUP="rg-shared-infra"
KV_NAME="kv-prod-app-001"

# RBAC認可を有効化

az keyvault update --name $KV_NAME \
    --resource-group $RESOURCE_GROUP \
    --enable-rbac-authorization true

resource keyVault 'Microsoft.KeyVault/vaults@2023-07-01' = {
  name: 'kv-prod-core-001'
  location: resourceGroup().location
  properties: {
    sku: {
      family: 'A'
      name: 'standard'
    }
    tenantId: subscription().tenantId
    enableRbacAuthorization: true // RBACを有効化
    enabledForDeployment: false
    enabledForDiskEncryption: false
    enabledForTemplateDeployment: false
    networkAcls: {
      bypass: 'AzureServices'
      defaultAction: 'Deny'
    }
  }
}