このエントリは2019/09/11現在の情報に基づくもので、将来の機能変更に伴い記載内容との乖離が発生する可能性があります。

このエントリは、Azure Key Vaultの3エントリの1つ目である。

Azure Key Vault (1) 基礎
https://logico-jp.io/2019/09/19/azure-key-vault-1/
Azure Key Vault (2)キーを使って暗号・復号化する
https://logico-jp.io/2019/09/25/azure-key-vault-2/
Azure Key Vault (3) SDKのメソッド呼び出し回数の制限
https://logico-jp.io/2019/09/25/azure-key-vault-3/

Azure Key Vaultとは

Azure Key Vault は、次の問題の解決に役立ちます。
シークレットの管理 – Azure Key Vault を使用すると、トークン、パスワード、証明書、API キー、その他のシークレットを安全に格納し、それらへのアクセスを厳密に制御できます。
キー管理 – Azure Key Vault は、キー管理ソリューションとしても使用できます。 Azure Key Vault により、データの暗号化に使用される暗号化キーの作成と制御が簡単になります。
証明書の管理 – Azure Key Vault は、Azure および内部の接続されているリソースで使用するためのパブリックおよびプライベートの Secure Sockets Layer/Transport Layer Security (SSL/TLS) 証明書を簡単にプロビジョニング、管理、デプロイすることができるサービスでもあります。
ハードウェア セキュリティ モジュールに基づくシークレットの格納 – シークレットとキーは、ソフトウェアまたは FIPS 140-2 レベル 2 検証済み HSM で保護できます。

Azure Key Vault について / About Azure Key Vault
https://docs.microsoft.com/azure/key-vault/general/overview

上記引用文の通り、機密情報（パスワード、証明書、暗号鍵など）を格納し、アクセス管理できるもの。キーはハードウェア セキュリティ モジュール（Hardware Security Module、以下HSM）を使って保護することもできる。なお、HSMを使った保護をしたい場合には、SKUとしてPremiumを選択する必要がある（Standardではソフトウェアによる保護しか選択できない）点に注意。

サービスレベルと価格に関する情報は以下。

Key Vault の価格 / Key Vault pricing
https://azure.microsoft.com/pricing/details/key-vault/

Keyの作成

Azure Key Vaultで作成できるKeyはEC（楕円暗号）もしくはRSA。AESは対応していないため、AESのKeyは別途作成のうえ、シークレットとしてAzure Key Vaultで管理するしかない。

シークレットや証明書の保管

シークレットや証明書は、キーとは異なりHSMに保存するオプションはない。その代わり、シークレット等のオブジェクトはAzure Key Vaultに格納するタイミングでHSMに紐付く保存用の暗号鍵を使って暗号化される。取り出し時には復号化される。この考え方は以下のData Encryption-at-Restに記載の通りである。

保存時の Azure データの暗号化 / Azure Data Encryption-at-Rest
https://docs.microsoft.com/azure/security/fundamentals/encryption-atrest