Azure Key Vault

このトピックでは、iManage Control Centerで暗号化キーページ(設定 > 暗号化キー)が表示されている場合にお使いのiManage Work環境で利用できる機能に言及します。

言及されるこの機能を使用するには、暗号化キーメニューオプションを表示できるグローバルキー管理権限をユーザーが持っている必要があります。

キーをアクティブ化したり管理したりするためには、ユーザーがNRTADMINでなければなりません。

以下のトピックで構成されます:

お客様が用意する暗号化キーを生成

これを使用し、お客様が用意する暗号化キーを作成します。

お客様が用意するRSA-2048ビットの公開/秘密暗号化キーをお好みのツールで作成するか、以下の指示に従ってOpenSSLで作成します。

お客様が用意する暗号化キーの作成後、すぐにキーを保管者に第三者預託し、他のAzure管理者と共有します。キーを紛失したり、誤って削除したりする場合に備え、この冗長性が不可欠になります。 暗号化キーを紛失または破壊した場合、iManage Workシステム上の暗号化されたすべてのデータを永久に失うことになります。

OpenSSLでキーペアを作成する方法:

  1. OpenSSLなどの暗号化キーアプリケーションをクライアントマシンにダウンロードしてインストールします。

  2. 次のコマンドを使ってPEMファイルを作成します:
    openssl genrsa -aes256 -out private.pem 2048

  3. 秘密鍵の秘密のパスフレーズを入力します。

  4. RSA秘密鍵を保管者に第三者預託します。

  5. 第三者預託したコピーに加え、パスワードを含むバックアップを安全な場所に作成します。

  6. 秘密鍵およびパスワードのコピーを2つ作成し、2人のキーホルダーにコピーを1つずつ渡します。

Azure Information Worksheet

このワークシートを使用し、Key Vaultのプロセスで作成された値を記録します。これらの値は、後でiManage Control Centerで行うキーセレモニーで使用します。

ワークシート: Azure情報ワークシート

名前

Azure Key VaultのDNS名

https://ajubalaw.vault.azure.net/

最後のバックスラッシュを含みます。

1

実際

Azureキーバージョンキー識別子

https://ajubalaw.vault.azure.net/keys/ajubalaw-1/da93550d9b344d04a212dd06b7e7f4dc

2

実際

アプリケーションID(クライアントIDとも呼ばれます)

3fb0c700-536b-4700-9841-61e775400809

3

実際

クライアントシークレット(アプリケーションパスワードとも呼ばれます)

xCGRvvvQmKfqwTw[@a@qovRN_Nn72K46

4

実際

お客様が用意する暗号化キーをAzure Key Vaultに追加

Microsoft Azureを使ってKey Vaultを作成します。そのオンラインの作業指示に従ってください。

必ず次の各注記の内容に従って各ステップをこなし、以下の例と同じような結果になるようにしてください。

  1. Key Vaultを作成します。Azure Key VaultのDNS名を控えておきます。例:https://ajubalaw.vault.azure.net/また、最後のバックスラッシュを含みます。
    Azure Information Worksheetの1行目に記載されているDNS名を記録します。

    対象のKey Vault内でキーリソースを作成します。 唯一必須の設定:
    * Wrap KeyおよびUnwrap Keyを含めます。
    * アクティベーション日を設定失効日を設定は使用しないでください。
    「お客様が用意する暗号化キーを生成」のステップで作成したお客様が用意する暗号化キーをインポートします。
    これにより、キー識別子が作成されます。例:https://ajubalaw.vault.azure.net/keys/ajubalaw-1/da93550d9b344d04a212dd06b7e7f4dc
    Azure Information Worksheetの2行目に記載されているキー識別子を記録します。

  2. アプリケーションを登録します
    例: 3fb0c700-536b-4700-9841-61e775400809
    Azure Information Worksheetの3行目に記載されているアプリケーション(クライアント)IDを記録します。

  3. アプリケーションシークレット(アプリケーションパスワードとも呼ばれます)を作成します。

    クライアントシークレットが作成されたらすぐに 値を記録し、また保管者に第三者預託します。セクションを離れると、これを取得できなくなります。

    例:xCGRvvvQmKfqwTw[@a@qovRN_Nn72K46
    Azure Information Worksheetの4行目に記載されているクライアントシークレットを記録します。

  4. Key Vaultに対する次の権限を持つアクセスポリシーをアプリケーションに付与します: Wrap KeyおよびUnwrap Key。