# Key Vault RBAC 移行

Microsoft は、API バージョン **2026-02-01**から始まる新しいすべての Key Vault に対する既定のアクセス制御モデルとして、Azure Key Vault を Azure RBAC へ移行しています。詳細はこちら [こちら](https://learn.microsoft.com/en-us/azure/key-vault/general/access-control-default?tabs=azure-cli). 

RBAC は厳密には必須ではなく、 **アクセス ポリシーを使用している既存の Key Vault はそのまま運用を継続できますが、** 新しい API にアップグレードした後に新しい Key Vault を作成するテナントでは、アクセス ポリシーが明示的に構成されていない限り、既定で RBAC が適用されます。

Microsoft Entra ID に合わせた、より統一的で拡張性の高い権限モデルを提供し、Microsoft が Key Vault のアクセス ポリシーを非推奨にした場合にも設定を将来にわたって保護できるため、RBAC へ移行しておくのがよいでしょう。

## 移行ガイド

{% hint style="warning" %}
作業を進める前にダウンタイムを見込んでください。権限の移行が正常に完了するまで、SCEPman は証明書を発行または検証できません。
{% endhint %}

{% stepper %}
{% step %}

### SCEPman の Key Vault に移動します

Azure > Key Vaults > に移動します *SCEPman の Key Vault* 

<figure><img src="https://114237723-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2F9bKH9aF9Q6kydSEieT2V%2Fimage.png?alt=media&#x26;token=23dcdccb-c2c5-4514-8372-ab21f4aacaee" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}

### 既存のアクセス ポリシーを確認します

に移動する **Access policies** および、SCEPman のアクセス ポリシーを **アプリケーション***.* SCEPman のアクセス ポリシーは、SCEPman App Service（および地理冗長の SCEPman App Services）の名前と同じにする必要があります。&#x20;

*ユーザー* アクセス ポリシーは、SCEPman の機能に影響しないため、移行する必要はありません。継続的なアクセスが必要なユーザーについては、以下の表に基づいてアクセス ポリシーを確認し、Azure ロールへ移行してください: <https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration?tabs=cli#access-policy-templates-to-azure-roles-mapping>

<figure><img src="https://114237723-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2F2UbFjoOgavF5Igu7miQm%2Fimage.png?alt=media&#x26;token=960b3d8d-bfe6-4b21-a333-bd76f1cec7f1" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}

### 権限モデルを変更する

権限モデルを次から変更します **Vault access policy** から **Azure role-based access control**

<figure><img src="https://114237723-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2FfyT4DqTi3pkfZxT1IgjI%2Fimage.png?alt=media&#x26;token=089ef0fd-77f7-46bc-8658-bff619006329" alt=""><figcaption></figcaption></figure>

を押すと **適用** するまで、SCEPman インスタンスは Key Vault から切断されます。以前のアクセス ポリシーも削除されます。
{% endstep %}

{% step %}

### Azure ロールを割り当てる

アクセス制御 (IAM) に移動し、以下のロールを SCEPman App Service（および地理冗長の SCEPman App Services）の **マネージド ID** に割り当てます:

* Key Vault Certificates Officer
* Key Vault Crypto Officer
* Key Vault Secrets User

<figure><img src="https://114237723-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2FFfkpt5imnAJVZrgVlbCt%2Fimage.png?alt=media&#x26;token=afdda1b3-6353-4f2c-90eb-d99c20c4d9a9" alt=""><figcaption></figcaption></figure>

ロールは 1 つずつ割り当てる必要がありますが、1 つのロールに複数の ID を割り当てることはできます。

<figure><img src="https://114237723-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2FzHWUGaIvBJDlZLB1aNIV%2Fimage.png?alt=media&#x26;token=db111569-53c0-4c79-9b76-3d176b304733" alt=""><figcaption></figcaption></figure>

Certificate Master のマネージド ID（名前に -cm を含む） **は** は Key Vault へのアクセスが必要です。
{% endstep %}

{% step %}

### Key Vault 接続を確認する

SCEPman App Service を再起動し、SCEPman のホームページに移動して、Key Vault が接続されていることを確認します。

<figure><img src="https://114237723-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2F3a2szozK7DVq7CGIvzYL%2Fimage.png?alt=media&#x26;token=144cf4b0-e176-461c-8327-6836010d5d59" alt=""><figcaption></figcaption></figure>
{% endstep %}
{% endstepper %}