ある企業が Azure Key Vault を使用してシークレット、キー、証明書を管理している。Key Vault を安全に運用するためのベストプラクティスとして正しいものを2つ選択してください。
- A. マネージド IDをアプリに割り当て、Key Vault へのアクセスにシークレットではなくAzure ADトークンを使用する
- B. Key Vault アクセスポリシーで全ユーザーにシークレット管理者権限を付与して運用負荷を下げる
- C. アクセスポリシーまたはAzure RBAC で最小権限の原則を適用し、必要なサービス・ユーザーのみに必要な権限を付与する
- D. Key Vault のシークレットをバックアップとしてGitHubの公開リポジトリにも保存する
- E. Key Vault へのアクセスをすべてのAzureサービスに対して許可し、開発者が任意のサービスからシークレットを取得できるようにする
解答と解説を見る
正解: A, C
Key Vault の安全な運用ベストプラクティスは選択肢CとAの2つ。選択肢C「最小権限の原則を適用し必要なサービス・ユーザーのみに権限を付与する」は、不必要な権限の付与を防ぎ、侵害された場合の爆発半径を最小化する基本原則。選択肢A「マネージド IDを使用してシークレットではなくAzure ADトークンでKey Vaultにアクセスする」は、コードにシークレットをハードコーディングするリスクをなくす重要な設計パターン。選択肢E「すべてのAzureサービスに許可」は最小権限の原則に違反し、侵害リスクが高い。選択肢D「GitHubの公開リポジトリに保存」はシークレットを公開してしまう最も危険な行為であり絶対に禁止。選択肢B「全ユーザーにシークレット管理者権限」は最小権限に反し、内部不正リスクも高める誤った運用方法。
📚 関連サービスの解説: Azure Key Vault ・ Azure RBAC