Important
機密仮想マシン (VM) の Azure Backup は現在プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
Azure Backup では、機密性の高いワークロードの安全なバックアップと復元を提供する Confidential Virtual Machines (CVM) が サポートされています。 この機能では、Azure Disk Encryption Sets (DES) とプラットフォーム マネージド キー (PMK) またはカスタマー マネージド キー (CMK) を使用して、バックアップ ライフサイクル全体にわたってデータの機密性を維持します。 機密 VM は、アプリケーションと仮想化スタックの間にハードウェアによって強制される境界を作成することで、強力なセキュリティを提供します。
この記事では、プラットフォームまたはカスタマー マネージド キー (PMK または CMK) を使用して Confidential VM (CVM) を構成およびバックアップする方法について説明します。
機密 VM バックアップでサポートされるシナリオ
次の表に、機密 VM バックアップでサポートされるシナリオを示します。
| Scenario | サポータビリティ |
|---|---|
| 仮想マシンのサイズ |
v6 シリーズ がサポートされています。 v5 シリーズ はサポートされていません。 |
| リージョンの可用性 | アラブ首長国連邦北部、韓国中部でサポートされています。 |
| バックアップのキーローテーション | 機密仮想マシンでキーのローテーションが行われると、VM ディスクのキー、関連する復元ポイント、スナップショットが自動的に更新されます。 既知の問題: この プレビュー リリース のキーローテーションでは、パフォーマンスの問題が発生したり、次のシナリオで失敗したりする可能性があります。 - (のみ) 復元ポイントがこれらのディスクに関連付けられている場合、40 を超えるディスクが 1 つの DES に接続されます。 - 同じ DES に接続されているこれらのディスクに対して Azure バックアップの外部にもディスク スナップショットを直接作成する場合は、DES マッピングに対する 40 個のディスクの安全なしきい値が低下します。 推奨事項: 問題が解決されるまで、各 DES に接続されているディスクの数を最小限に抑えます。 |
| バックアップ機能 | - OS ディスク暗号化のみを使用して機密 VM をバックアップできます。 - サブスクリプションで CVM v2 オプトアウト機能フラグが有効になっている場合、バックアップと復元は失敗します。 - マルチディスク クラッシュ整合性バックアップはサポートされていません。 - CVM v6 VM サイズは Azure のペアになっているリージョンでは一般公開されていないため、リージョン間の復元は現在サポートされていません。 |
[前提条件]
CMK を使用して CVM のバックアップを構成する前に、次の前提条件が満たされていることを確認してください。
Azure サブスクリプションのプレビュー機能に登録する - 名前:
RestorePointSupportForConfidentialVMV2プロバイダー:Microsoft.Compute。 ポータルでこれを行うには、ここでの手順に従います。次の PowerShell コマンドレットを実行することもできます。 登録は自動的に承認されます。Register-AzProviderFeature -FeatureName "RestorePointSupportForConfidentialVMV2" -ProviderNamespace "Microsoft.Compute"サポートされているリージョンで機密 VM (CVM) を特定または作成します。 サポートされているリージョンを参照してください。
VM と同じリージョンに Recovery Services コンテナー を特定または作成します。
PMK または CMK を使用して新しい Confidential VM を作成する
Azure Backup を使用して機密 VM をバックアップするには、PMK または CMK 暗号化を使用して構成された Confidential VM が必要です。 Azure Backup では、VM に関連付けられているディスク暗号化セット (DES) を使用して、バックアップと復元のプロセス全体で暗号化を維持します。
必要に応じて 、PMK または CMK を使用して新しい Confidential VM を作成する方法について説明します。
機密 VM バックアップのアクセス許可を割り当てる
Azure Backup では、キーを格納するキー コンテナーまたはマネージド ハードウェア セキュリティ モジュール (HSM) へのアクセスが必要です。 このアクセスにより、サービスがキーをバックアップし、削除された場合に回復できるようになります。 Azure portal でバックアップを構成すると、必要なアクセス許可が Azure Backup によって自動的に取得されます。 PowerShell、CLI、REST API などの他のクライアントを使用する場合は、これらのアクセス許可を手動で割り当てる必要があります。
キー コンテナーを使用してキーを格納する場合は、 バックアップ操作のアクセス許可を Azure Backup サービスに付与します。
MHSM のアクセス許可を割り当てるには、次の手順に従います。
Azure portal で Managed HSM に移動し、[設定] で [ローカル RBAC] を選択します。
[ 追加] を選択して 、新しいロールの割り当てを追加します。
次のいずれかのロールを選択します。
組み込みロール: 組み込みロールを使用する場合は、 Managed HSM Crypto User ロールを選択します。
カスタム ロール: カスタム ロールを使用する場合、そのロールの dataActions には次の値が必要です。
- Microsoft.KeyVault/managedHsm/keys/read/action
- Microsoft.KeyVault/managedHsm/keys/backup/action
Managed HSM データ プレーン ロール管理を使用して、カスタム ロールを作成できます。
[スコープ] で、カスタマー マネージド キーを使用して機密 VM を作成するために使用する特定のキーを選択します。
[すべてのキー] を選択することもできます。
セキュリティ プリンシパルで、[バックアップ管理サービス] を選択します。
Confidential VM のバックアップを構成する
Azure Backup に必要なアクセス許可が付与されたら、バックアップの構成を続行できます。 Azure VM バックアップを構成する方法について説明します。
次のステップ
Azure Backup (プレビュー) を使用して CVM を復元します。