Azure

Always Encryptedで暗号化されたカラムをマネージドIDを利用して復号してみた

以前、Always Encryptedで暗号化されたカラムを復号するサンプルプログラムについて記載したが、今回は、システム割り当てマネージドIDを利用して同等の処理を実行してみたので、そのサンプルプログラムを共有する。

なお、マネージド ID とは、Azureリソース自身で認証を行うことのできる、Azure ADで管理されるIDのことをいう。マネージドIDを利用すると、サービスプリンシパルの利用は不要になり、application.propertiesからサービスプリンシパルのクライアントID・パスワードを削除することができる。

前提条件

下記記事の実装が完了していること。

Always Encryptedで暗号化されたカラムを復号化して表示してみたAlways Encryptedで暗号化したカラムは、Always Encryptedにより暗号化されたカラムを復号化できる設定を追加す...

また、Azure FunctionsのKey Vaultのアクセスポリシーが以下のようになっていること。
前提条件_1

前提条件_2

作成したサンプルプログラム(Azure Functions側)の内容

作成したサンプルプログラム(Azure Functions側)の構成は以下の通り。なお、App Service側のプログラムは修正していない。
サンプルプログラムの構成
なお、上記の赤枠は、前提条件のプログラムから追加・変更したプログラムである。

pom.xmlの内容は以下の通りで、AppServiceMSICredentialsクラスを利用するための以下の設定を追加している。

また、application.propertiesの内容は以下の通りで、サービスプリンシパルを利用してKey Vaultにアクセスするための設定を削除している。

さらに、Azure Functionsのメインクラスは以下の通りで、postConstructメソッドのakvProviderオブジェクトの生成方法を変更している。

その他のソースコード内容は、以下のサイトを参照のこと。
https://github.com/purin-it/azure/tree/master/always-encrypted-decrypt-2/demoAzureFunc

サンプルプログラムの実行結果

サンプルプログラムの実行結果は、以下の通り。

1) App Service側のapplication.propertiesは以下の通り。
サンプルプログラムの実行結果_1

2) Azure Functions側のapplication.propertiesは以下の通り。
サンプルプログラムの実行結果_2

3)「mvn azure-functions:deploy」コマンドによって、Azure Functions上にサンプルプログラムをデプロイする。
サンプルプログラムの実行結果_3

なお、Azure Functionsにデプロイする過程は、以下の記事の「Azure FunctionsへのSpring Bootを利用したJavaアプリケーションのデプロイ」を参照のこと。

Azure Functions上でSpring Bootを利用したJavaアプリケーションを作成してみた前回は、Azure Potal上でAzure Functionsを作成してみたが、今回は、前回作成したAzure FunctionsにS...

4) Azure App ServiceのURL「https://azureappdemoservice.azurewebsites.net/」とアクセスした場合の実行結果は、以下の通り。
サンプルプログラムの実行結果_4_1

なお、上記URLは、下記Azure App ServiceのURLから確認できる。
サンプルプログラムの実行結果_4_2

5)「getUserPassの値を取得」ボタンを押下すると、以下の画面が表示され、Always Encryptedで暗号化したカラムが復号化し表示されることが確認できる。
サンプルプログラムの実行結果_5_1

サンプルプログラムの実行結果_5_2

要点まとめ

  • SQLServerColumnEncryptionAzureKeyVaultProviderクラスのコンストラクタの引数に、SQLServerKeyVaultAuthenticationCallbackクラスのオブジェクトを指定することで、システム割り当てマネージドIDを利用してAlways Encryptedで暗号化されたカラムを復号することができる。