アプリケーションが使うデータベースのパスワードや API キーをソースコードや設定ファイルに直接書いてしまうと、漏えいや更新漏れの原因になります。Azure Key Vault は、こうした機密情報(シークレット)や暗号化キーを一元管理するためのマネージド サービスです。アプリケーションは実行時に Key Vault から値を取得するだけになり、資格情報の更新も Key Vault 側で完結します。
このラボでは、Key Vault を推奨方式である Azure RBAC 認可モードで作成します。RBAC モードでは、Key Vault を作成した本人でもロールを割り当てるまで中身にアクセスできません。実際に権限エラーを体験してから自分に Key Vault Administrator ロールを割り当てることで、コントロールプレーン(リソースの管理)とデータプレーン(シークレットやキーへのアクセス)の権限が分離されていることを確認します。その後、シークレット 2 件と RSA キー 1 件を作成し、CLI での取得とローテーション(バージョン追加)まで一通り操作します。
Key Vault のアクセス制御は AZ-500 の中心的なトピックであり、AZ-104 でも RBAC によるアクセス管理として出題される領域です。試験対策としてだけでなく、実務でのシークレット管理の基本形をそのまま身に付けられる内容にしています。
詳細な手順は、ラボ開始後に画面内のガイドとして表示されます。