ステップ 3 - Key Vault にシークレットを追加する
ストレージ アカウント接続文字列
Glasswall Halo がレポート用ストレージ アカウント('saname')にアクセスできるようにするには、接続文字列を Key Vault に格納する必要があります。
接続文字列は、Azure Portal または以下の例に示す Azure CLI を使用して取得できます。ストレージ アカウントとリソース グループを入力することを忘れないでください。
az storage account show-connection-string --name "${saname}" -g "${rgp}"
- スクリーンショットで強調表示されている接続文字列を、
${saconnstring}を置き換えて入力し、Key Vault は${kvname}を置き換えて入力します(以下のとおり)。
az keyvault secret set --name "azure-storage-connectionstring" --vault-name "${kvname}" --value "${saconnstring}"
3.2A - データベース オプション 1 - MongoDB 接続文字列
Halo のデータベース接続を有効にするには、MongoDB の接続文字列を Key Vault に作成する必要があります
- CosmosDB(MongoDB 互換)の接続文字列は、Azure Portal または以下の例のように Azure CLI から取得できます。
注: CosmosDB のアカウント名とリソース グループを入力することを忘れないでください。
このコマンドにより、4 つの接続文字列の一覧が表示されます。最初の 2 つの接続文字列のいずれか 1 つを使用できます。読み取り専用の接続文字列は使用できません。
az cosmosdb list-connection-strings --name "${cosmosdb_name}" -g "${rgp}"
- スクリーンショットで強調表示されている接続文字列を、
${mongodb_connstring}を置き換えて入力し、Key Vault は${kvname}を置き換えて入力します(以下のとおり)。
az keyvault secret set --name "mongodb-connectionstring" --vault-name "${kvname}" --value "${mongodb_connstring}"
MongoDB のパスワードをシークレットとして Azure Key Vault に追加する
注: Azure 内で MongoDB を以前に構成およびセットアップし、上記のとおり MongoDB 接続文字列を作成済みであれば、この手順はスキップできます。
そうでない場合、Glasswall Halo の Policy Management API が MongoDB 内で policy を作成および管理し、Asynchronous API がリクエストを作成および管理できるようにするには、手順 8 に記載されている Helm chart を使用して MongoDB をデプロイする必要があります。
MongoDB Helm chart によって 2 人のユーザーが作成され、対応するユーザーのパスワードを Vault シークレットに設定する必要があります。
az keyvault secret set --name "mongodb-cdrp-password" --vault-name "${kvname}" --value "<cdrp-user-password>"
az keyvault secret set --name "mongodb-admin-password" --vault-name "${kvname}" --value "<admin-user-password>"
3.2B - データベース オプション 2 - CosmosDB 接続文字列
MongoDB の代わりに CosmosDB を設定している場合は、Cosmos の接続文字列を Key Vault に追加する必要があります。
CosmosDB の接続文字列は、Azure Portal または以下の例のように Azure CLI を使用して取得できます。Cosmos DB のアカウント名とリソース グループを入力することを忘れないでください。このコマンドは 4 つの接続文字列の一覧を返します。最初の 2 つの接続文字列のうち、いずれか 1 つを使用できます。読み取り専用の接続文字列は使用できません。
az cosmosdb list-connection-strings --name "${cosmosdb_name}" -g "${rgp}"
スクリーンショットで強調表示されている接続文字列を、${mongodb_connstring} を置き換えて入力し、Key Vault は ${kvname} を置き換えて入力します(以下のとおり)。
az keyvault secret set --name "mongodb-connectionstring" --vault-name "${kvname}" --value "${mongodb_connstring}"
3.3 - 任意: ReversingLabs 認証情報を追加
Halo を ReversingLabs と統合するには、ReversingLabs の認証情報を Key Vault に追加します。${reversinglabs_username} と ${reversinglabs_password} は実際のユーザー名とパスワードに置き換えてください。
az keyvault secret set --name "halo-reversinglabs-username" --vault-name "${kvname}" --value "${reversinglabs_username}"
az keyvault secret set --name "halo-reversinglabs-password" --vault-name "${kvname}" --value "${reversinglabs_password}"
3.4 - 任意: ICAP MTLS 証明書を追加
ICAP サーバーは、MTLS 証明書を使用した相互クライアント認証用に設定できます。
証明書は Kubernetes secrets を使用して ICAP サーバー pod にマウントされます。Kubernetes secrets に同期できるように、サーバー証明書と認証局証明書を Key Vault に追加してください。
az keyvault secret set --vault-name "${kvname}" --name tls-server-cert -f <path/to/mtls-server-cert.pem>
az keyvault secret set --vault-name "${kvname}" --name tls-server-key -f <path/to/mtls-server-key.pem>
az keyvault secret set --vault-name "${kvname}" --name tls-cafile -f <path/to/mtls-ca-cert.pem>
3.5 - 任意: M365 のストレージ監視を設定
M365 ストレージ監視の統合を有効にするには、Microsoft Entra のアプリ登録資格情報を Key Vault に追加する必要があります。
この統合には次の値が必要です:
- クライアント ID
- テナント ID
- クライアント シークレット
以下のコマンドを使用して、これらのシークレットを Key Vault に追加します:
az keyvault secret set --name "graphapi-clientid" --vault-name "${kvname}" --value "<client_id>"
az keyvault secret set --name "graphapi-tenantid" --vault-name "${kvname}" --value "<tenant_id>"
az keyvault secret set --name "graphapi-clientsecret" --vault-name "${kvname}" --value "<client_secret>"
これらの値がまだない場合は、取得方法について Storage Monitoring M365 Setup Guide を参照してください。