<p><!-- STYLE_PROMPT_VERSION: 1.0 -->本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">Azure Key Vaultのアクセス制御がAzure RBACへ完全移行、旧アクセス方針は2027年2月に廃止へ</h1> <p>MicrosoftはAzure Key Vaultの既定のアクセス制御モデルをAzure RBACへ移行し、従来の「アクセス方針（Access Policies）」を2027年2月28日に廃止します。</p> <h2 class="wp-block-heading">【ニュースの概要】</h2> <p>Microsoftは、Azureの主要な暗号鍵・シークレット管理サービスである「Azure Key Vault」において、長年利用されてきた従来の「Vaultのアクセス方針（Vault Access Policies）」モデルを<strong>2027年2月28日（協定世界時）</strong>をもって廃止することを発表しました。</p> <p>発表の重要ポイントは以下の3点です。</p> <ul class="wp-block-list"> <li><p><strong>アクセス制御モデルの統合：</strong> 2027年3月1日以降、Azure Key Vaultのアクセス制御は「Azureロールベースのアクセス制御（Azure RBAC）」モデルのみがサポートされます。</p></li> <li><p><strong>新規リソースの既定値変更：</strong> ポータルやAPI経由で新規作成されるKey Vaultは、既定でAzure RBACが有効化されるようになります。</p></li> <li><p><strong>段階的なAPIの非推奨化：</strong> 従来のアクセス方針を管理していたAPI（Microsoft.KeyVault/vaults の特定プロパティ等）は、2027年2月の廃止日以降、利用不可または非推奨化されます。</p></li> </ul> <h2 class="wp-block-heading">【技術的背景と仕組み】</h2> <p>従来のAzure Key Vaultは、Azureの標準的なアクセス制御フレームワーク（Azure RBAC）とは異なる独自の「アクセス方針（Access Policies）」というプレーンな制御シートを使用してデータプレーンへの権限を付与していました。</p> <h3 class="wp-block-heading">従来モデルが抱えていた課題</h3> <ol class="wp-block-list"> <li><p><strong>一元管理の欠如：</strong> 他のAzureリソース（StorageやVMなど）がAzure RBACで一元管理される中、Key Vaultだけが異なる管理体系を持っており、監査やガバナンスの運用の妨げになっていました。</p></li> <li><p><strong>粒度の粗さ：</strong> アクセス方針ではリソースグループやサブスクリプション単位での高度な条件付きアクセス制御が難しく、セキュリティ設計が複雑化する原因となっていました。</p></li> </ol> <h3 class="wp-block-heading">Azure RBAC移行によるメリット</h3> <p>Azure RBACに一本化されることで、Azure Resource Manager（ARM）とデータプレーンのアクセス制御が完全に統合されます。これにより、Privileged Identity Management（PIM）による一時的な権限昇格や、高度な条件付きアクセスポリシーの適用、サブスクリプションを跨ぐ一元的な監査（Azure Policy）がKey Vaultに対しても適用可能になります。</p> <h3 class="wp-block-heading">アクセス制御モデルの構成図</h3> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD subgraph "Azure RBAC（推奨・統合モデル）" ID["ID / サービスプリンシパル"] -->|ロール割り当て| Role["Key Vault Secrets Officer等"] Role -->|一元的な制御| VaultRBAC["Azure Key Vault"] end subgraph "アクセス方針（2027年2月廃止）" ID_Legacy["ID / サービスプリンシパル"] -->|個別プロパティ設定| policy["Vault独自のアクセス方針"] policy -->|分離された制御| VaultLegacy["Azure Key Vault"] end </pre></div> <p>※Azure RBACモデルでは、セキュリティ・プリンシパルに対するロール割り当て（Role Assignment）を通じて、Azureリソース全体の共通言語でアクセスを制御します。</p> <h2 class="wp-block-heading">【コード・コマンド例】</h2> <p>既存のAzure Key Vaultのアクセス制御モデルを「Azure RBAC」に移行するためのAzure CLIおよびTerraformの設定例です。</p> <h3 class="wp-block-heading">1. Azure CLIによる移行コマンド</h3> <p>既存のKey Vaultのプロパティを更新し、Azure RBACによるアクセス制御を有効化（<code>--enable-rbac-authorization true</code>）します。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># 既存のKey VaultをAzure RBAC認可に切り替える az keyvault update \ --name "my-secure-vault" \ --resource-group "rg-production" \ --enable-rbac-authorization true </pre> </div> <h3 class="wp-block-heading">2. Terraformによる定義（移行対応）</h3> <p>Infrastructure as Code（IaC）で管理している場合、<code>enable_rbac_authorization</code> 属性を <code>true</code> に設定します。</p> <div class="codehilite"> <pre data-enlighter-language="generic">resource "azurerm_key_vault" "example" { name = "my-secure-vault" location = "japaneast" resource_group_name = "rg-production" tenant_id = "00000000-0000-0000-0000-000000000000" sku_name = "standard" # Azure RBACによる権限管理を有効化 enable_rbac_authorization = true # 従来のaccess_policyブロックはすべて削除します } </pre> </div> <h2 class="wp-block-heading">【インパクトと今後の展望】</h2> <h3 class="wp-block-heading">開発現場および運用への影響（Fact）</h3> <p>すでにAzure RBACモデルはGA（一般提供）されて久しく、新規システムでの採用が進んでいます。しかし、数年以上前に構築されて稼働し続けているエンタープライズシステムや、古いTerraform/ARMテンプレートを再利用している環境では、依然として「アクセス方針」モデルが残存しています。移行期間は3年近く確保されているものの、本番環境のインフラ定義ファイルを変更・検証する必要があるため、計画的な棚卸しが求められます。</p> <h3 class="wp-block-heading">アナリストの視点（Opinion）</h3> <p>今回の廃止決定は、Microsoftが提唱する「ゼロトラスト・セキュリティ」のアーキテクチャを完全に具現化するための必然的なステップと言えます。Key Vaultを他のクラウド資源と同様に統合されたIDマネジメントの傘下に収めることで、企業のセキュリティガバナンスは格段に向上します。運用担当者は、ただ「動かなくなるから移行する」のではなく、PIM（必要な時に必要なだけ権限を付与する仕組み）の導入など、一歩進んだアクセス制御設計へアップデートする好機と捉えるべきです。</p> <h2 class="wp-block-heading">【まとめ】</h2> <p>本ニュースにおいて、読者が留意すべき3つのポイントは以下の通りです。</p> <ol class="wp-block-list"> <li><p><strong>2027年2月28日に旧「アクセス方針」は廃止：</strong> 以降はAzure RBACモデルのみがサポートされ、未移行のVaultは管理不能になるリスクがあります。</p></li> <li><p><strong>ガバナンスとセキュリティの向上：</strong> Azure RBACへの統一により、PIMやAzure Policyといった高度なプラットフォーム機能をシームレスに利用可能になります。</p></li> <li><p><strong>速やかな棚卸しと移行：</strong> Azure CLIやIaC（Terraformなど）を用いて、既存のVaultの設定確認とRBAC移行の自動化を計画的に進める必要があります。</p></li> </ol> <h3 class="wp-block-heading">参考リンク</h3> <ul class="wp-block-list"> <li><p><a href="https://learn.microsoft.com/ja-jp/azure/key-vault/general/access-policy-deprecation">Azure Key Vault のアクセス方針の非推奨化（公式ドキュメント）</a></p></li> <li><p><a href="https://learn.microsoft.com/ja-jp/azure/key-vault/general/rbac-guide">Azure RBAC を使用した Key Vault へのアクセス権の付与（公式ドキュメント）</a></p></li> </ul>

graph TD
    subgraph "Azure RBAC（推奨・統合モデル）"
        ID["ID / サービスプリンシパル"] -->|ロール割り当て| Role["Key Vault Secrets Officer等"]
        Role -->|一元的な制御| VaultRBAC["Azure Key Vault"]
    end

    subgraph "アクセス方針（2027年2月廃止）"
        ID_Legacy["ID / サービスプリンシパル"] -->|個別プロパティ設定| policy["Vault独自のアクセス方針"]
        policy -->|分離された制御| VaultLegacy["Azure Key Vault"]
    end

# 既存のKey VaultをAzure RBAC認可に切り替える

az keyvault update \
  --name "my-secure-vault" \
  --resource-group "rg-production" \
  --enable-rbac-authorization true

resource "azurerm_key_vault" "example" {
  name                        = "my-secure-vault"
  location                    = "japaneast"
  resource_group_name         = "rg-production"
  tenant_id                   = "00000000-0000-0000-0000-000000000000"
  sku_name                    = "standard"

  # Azure RBACによる権限管理を有効化

  enable_rbac_authorization   = true

  # 従来のaccess_policyブロックはすべて削除します

}