Question#19(AZ-204)

正解：D

Azure Storage の暗号化（SSE）で自前のキー（Azure Key Vault に保管されたキー）を使用する場合、Storage アカウント（のマネージド ID）に対して、Key Vault 上のキーを操作する特定の権限を与える必要があります。

1. なぜ "Keys" なのか

暗号化に使用するのは「キー（Key）」です。証明書（Certificates）ではないため、選択肢 B と C は除外されます。

2. なぜ "wrapkey, unwrapkey, get" なのか

Azure Storage がカスタマーマネージドキーを使用してデータを暗号化するプロセス（エンベロープ暗号化）では、以下の操作が行われます。

1. get: Key Vault からキーの情報を取得します。

2. wrapkey: データを暗号化するための「データ暗号化キー（DEK）」を、Key Vault にある「キー暗号化キー（KEK）」でラップ（暗号化）します。

3. unwrapkey: データを復号するために、ラップされたデータ暗号化キーを解除（復号）します。

Azure Storage は、ストレージ内のデータを直接暗号化・復号（encrypt/decrypt）するために Key Vault のキーを使うのではなく、**「鍵を保護する鍵（KEK）」**として Key Vault のキーを利用するため、wrapkey と unwrapkey の権限が必須となります。

3. セキュリティポリシーの観点（最小権限）

create（作成）権限は、ストレージアカウントがキー自体を新しく作る必要はないため、最小権限の原則に基づき不要です。したがって、暗号化運用に必要な最小限の権限セットである wrapkey, unwrapkey, get が正解となります。