AZ700-APP#47
Application Gateway WAF v2 で Key Vault と連携した TLS 証明書管理を構成する手順を正しい順序に並べてください。
- Key Vault に TLS 証明書をインポート (証明書 + 秘密鍵)
- Application Gateway に Managed Identity を割り当て
- Key Vault のアクセス ポリシーで Managed Identity に Get Secret 権限を付与
- Application Gateway Listener で Key Vault 上の証明書を選択して関連付け
解説
【正しい順序】
- ステップ 1: Key Vault 証明書インポート
- ステップ 2: Managed Identity 割り当て
- ステップ 3: Key Vault アクセス権限付与
- ステップ 4: Listener 関連付け
【各ステップの理由】
- ステップ 1 Key Vault 証明書インポート: PFX 形式の証明書を Key Vault にインポートし、Certificate Object として登録します。
- ステップ 2 Managed Identity 割り当て: Application Gateway リソースに User Assigned または System Assigned の Managed Identity を割り当てます。
- ステップ 3 Key Vault アクセス権限付与: Key Vault のアクセス ポリシー (または RBAC) で、Managed Identity に Secret Get 権限を付与します。
- ステップ 4 Listener 関連付け: Application Gateway HTTPS Listener の証明書設定で Key Vault 上の証明書を選択し、自動取得 + 自動更新を有効化します。
【誤った順序の問題点】
- 証明書を直接アップロード: Key Vault 連携のメリット (自動更新 + 集約管理) が失われるため、Key Vault 連携が前提のシナリオでは順序通りに進めます。
- Managed Identity を割り当てない: Application Gateway が Key Vault から証明書を取得できず、関連付けが失敗します。
コメント