Key Vault RBAC への移行
Microsoft は、API バージョン 2026-02-01から始まる新しいすべての Key Vault に対する既定のアクセス制御モデルとして、Azure Key Vault を Azure RBAC へ移行しています。詳細はこちら こちら.
RBAC は厳密には必須ではなく、 アクセス ポリシーを使用している既存の Key Vault はそのまま運用を継続できますが、 新しい API にアップグレードした後に新しい Key Vault を作成するテナントでは、アクセス ポリシーが明示的に構成されていない限り、既定で RBAC が適用されます。
Microsoft Entra ID に合わせた、より統一的で拡張性の高い権限モデルを提供し、Microsoft が Key Vault のアクセス ポリシーを非推奨にした場合にも設定を将来にわたって保護できるため、RBAC へ移行しておくのがよいでしょう。
移行ガイド
作業を進める前にダウンタイムを見込んでください。権限の移行が正常に完了するまで、SCEPman は証明書を発行または検証できません。
既存のアクセス ポリシーを確認します
に移動する Access policies および、SCEPman のアクセス ポリシーを アプリケーション. SCEPman のアクセス ポリシーは、SCEPman App Service(および地理冗長の SCEPman App Services)の名前と同じにする必要があります。
ユーザー アクセス ポリシーは、SCEPman の機能に影響しないため、移行する必要はありません。継続的なアクセスが必要なユーザーについては、以下の表に基づいてアクセス ポリシーを確認し、Azure ロールへ移行してください: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration?tabs=cli#access-policy-templates-to-azure-roles-mapping
Azure ロールを割り当てる
アクセス制御 (IAM) に移動し、以下のロールを SCEPman App Service(および地理冗長の SCEPman App Services)の マネージド ID に割り当てます:
Key Vault Certificates Officer
Key Vault Crypto Officer
Key Vault Secrets User
ロールは 1 つずつ割り当てる必要がありますが、1 つのロールに複数の ID を割り当てることはできます。
Certificate Master のマネージド ID(名前に -cm を含む) は は Key Vault へのアクセスが必要です。
最終更新
役に立ちましたか?