Dashboardでカスタマーマネージドキーを構成する
Auth0は、エンベロープ暗号化キー階層の最上位にあるAuth0環境ルートキーを使用してテナントのシークレットとデータを保護します。Auth0環境ルートキーと顧客提供ルートキーは、対応するAuth0クラウドサービスプロバイダー、AWS、またはAzureのハードウェアセキュリティモジュール(HSM)に保存されます。
BYOK(Bring Your Own Key)
Bring Your Own Keyを使用すると、キー管理エディターロールのユーザーはAuth0 Dashboardを使ってデフォルトのAuth0環境ルートキーを独自の顧客提供ルートキーに置き換えることができます。
顧客は独自の暗号化マテリアルを含む独自のルートキーを安全にアップロードして以下を行うことができます。
環境ルートキーのカスタムの鍵の生成および出所の要件を満たす。
環境ルートキーの特定の鍵のインストールまたは寿命の要件を満たす。
BYOKを使用して独自の顧客提供ルートキーをインポートすることにより、Auth0による顧客提供ルートキーのライフサイクル管理を削除以外について暗示的に無効化しようとしています。
開始するには、[Dashboard]>[Settings(設定)]>[Encryptions Keys(暗号鍵)]に移動します。
[Upload Key(鍵のアップロード)]を選択して顧客提供ルートキーのインポートプロセスを開始します。これにより、インポートダイアログが開きます。
[Upload Key(鍵のアップロード)]の次に[Download(ダウンロード)]を選択すると、Bring Your Own Keyのプロセスが始まります。
公開ラッピングキーを作成して、システムにダウンロードします。
公開ラッピングキーを取得し、独自のキー管理システムを使ってそれを独自の暗号化マテリアルとラップし、ラップされた暗号鍵(顧客提供ルートキー)を作成します。
ラップされた暗号鍵をアップロードして、[Save(保存)]を選択します。
ラップされた暗号化キーをアップロードすると、ハードウェアセキュリティモジュール(AWSまたはAzure)にあるAuth0の環境ルートキーが顧客提供ルートキーに置き換えられます。
暗号化に必要な情報の要件
貴社のキー管理システムを使って暗号化に必要な独自の情報をパブリックラッピングキーでラッピングし、ラップされた暗号化キーを作成します。Auth0クラウドサービスプロバイダー(AWSまたはAzure)に応じて、CKM_RSA_AES_KEY_WRAPアルゴリズムパラメ―ターに以下の設定を使用します:
AWSクラウド上のAuth0
パブリックラッピングキーの長さ3072ビット
アルゴリズム:CKG_MGF1_SHA256
CKM_AES_KEY_WRAP_PADの一時的なAESキーの長さ:256ビット
カスタマーが提供するルートキーのタイプ:256ビット長のAES対称キー
AzureクラウドのAuth0
パブリックラッピングキーの長さ2048ビット
アルゴリズム:CKG_MGF1_SHA-1
CKM_AES_KEY_WRAP_PADの一時的なAESキーの長さ:256ビット
顧客が提供するルートキーのタイプ:2048ビット長のRSA秘密鍵
秘密鍵のエンコーディング:PKCS #8 - ASN.1 DER