メインコンテンツへスキップ
Auth0は、エンベロープ暗号化キー階層の最上位にあるAuth0環境ルートキーを使用してテナントのシークレットとデータを保護します。Auth0環境ルートキーと顧客提供ルートキーは、対応するAuth0クラウドサービスプロバイダー、AWS、またはAzureのハードウェアセキュリティモジュール(HSM)に保存されます。

BYOK(Bring Your Own Key)

Bring Your Own Keyを使用すると、キー管理エディターロールのユーザーはを使ってデフォルトのAuth0環境ルートキーを独自の顧客提供ルートキーに置き換えることができます。 顧客は独自の暗号化マテリアルを含む独自のルートキーを安全にアップロードして以下を行うことができます。
  • 環境ルートキーのカスタムの鍵の生成および出所の要件を満たす。
  • 環境ルートキーの特定の鍵のインストールまたは寿命の要件を満たす。
BYOKを使用して独自の顧客提供ルートキーをインポートすることにより、Auth0による顧客提供ルートキーのライフサイクル管理を削除以外について暗示的に無効化しようとしています。
開始するには、[Dashboard]>[Settings(設定)]>[Encryptions Keys(暗号鍵)]に移動します。
Dashboard > Settings > Encryption Keys
[Upload Key(鍵のアップロード)] を選択して顧客提供ルートキーのインポートプロセスを開始します。これにより、インポートダイアログが開きます。
Dashboard > Settings > Encryption Keys > Upload
[Upload Key(鍵のアップロード)] の次に [Download(ダウンロード)] を選択すると、Bring Your Own Keyのプロセスが始まります。
  1. 公開ラッピングキーを作成して、システムにダウンロードします。
  2. 公開ラッピングキーを取得し、独自のキー管理システムを使ってそれを独自の暗号化マテリアルとラップし、ラップされた暗号鍵(顧客提供ルートキー)を作成します。
  3. ラップされた暗号鍵をアップロードして、[Save(保存)] を選択します。
ラップされた暗号化キーをアップロードすると、ハードウェアセキュリティモジュール(AWSまたはAzure)にあるAuth0の環境ルートキーが顧客提供ルートキーに置き換えられます。

暗号化に必要な情報の要件

貴社のキー管理システムを使って暗号化に必要な独自の情報をパブリックラッピングキーでラッピングし、ラップされた暗号化キーを作成します。Auth0クラウドサービスプロバイダー(AWSまたはAzure)に応じて、CKM_RSA_AES_KEY_WRAPアルゴリズムパラメ―ターに以下の設定を使用します:

AWSクラウド上のAuth0

  • パブリックラッピングキーの長さ3072ビット
  • アルゴリズム:CKG_MGF1_SHA256
  • CKM_AES_KEY_WRAP_PADの一時的なAESキーの長さ:256ビット
  • カスタマーが提供するルートキーのタイプ:256ビット長のAES対称キー

AzureクラウドのAuth0

  • パブリックラッピングキーの長さ2048ビット
  • アルゴリズム:CKG_MGF1_SHA-1
  • CKM_AES_KEY_WRAP_PADの一時的なAESキーの長さ:256ビット
  • 顧客が提供するルートキーのタイプ:2048ビット長のRSA秘密鍵
  • 秘密鍵のエンコーディング:PKCS #8 - ASN.1 DER