メインコンテンツへスキップ
Auth0 は、エンベロープ暗号化のキー階層の最上位にある Auth0 Environment Root Key を使用して、テナントのシークレットとデータを保護します。Auth0 Environment Root Key と Customer Provided Root Key は、対応する Auth0 Cloud Service Provider である AWS または Azure のハードウェアセキュリティモジュール (HSM) に保存されます。

独自キーの持ち込み

Bring Your Own Key を使用すると、Key Management Editor role を持つユーザーは、 で、既定の Auth0 Environment Root Key をお客様独自の Customer Provided Root Key に置き換えることができます。 お客様は、独自の暗号化マテリアルを含む自身の Root Key を安全にアップロードすることで、次の要件を満たせます。
  • Environment Root Key に対する独自のキー生成および来歴の要件
  • Environment Root Key に対する特定のキー導入または有効期間の要件
Bring Your Own Key で独自の Customer Provided Root Key をインポートすると、その削除を除き、Customer Provided Root Key のライフサイクル管理を Auth0 に委ねないことに暗黙的に同意したものとみなされます。
開始するには、Dashboard > Settings > Encryptions keys に移動します
Dashboard > Settings > Encryption Keys
Upload Key を選択して、Customer Provided Root Key のインポートプロセスを開始します。すると、インポートダイアログが開きます。
Dashboard > Settings > Encryption Keys > Upload
Upload Key を選択し、続けて Download を選択すると、Bring Your Own Keys プロセスが開始されます。
  1. 公開ラッピングキーを作成し、それをシステムにダウンロードします。
  2. 公開ラッピングキーを使って、独自のキー管理システムで自身の暗号化マテリアルをラップし、Wrapped Encryption Key (Customer Provided Root Key) を作成します。
  3. Wrapped Encryption Key をアップロードし、Save を選択します。
アップロードされた Wrapped Encryption Key は、ハードウェアセキュリティモジュール (AWS または Azure) 内で、Auth0 Environment Root Key を Customer Provided Root Key として置き換えます。

暗号化マテリアルの要件

キー管理システムを使用して、公開ラッピングキーで独自の暗号化マテリアルをラップし、Wrapped Encryption Key を作成します。Auth0 Cloud Service Provider (AWS または Azure) に応じて、CKM_RSA_AES_KEY_WRAP アルゴリズムのパラメーターに次の設定を使用します。

AWS クラウド上の Auth0

  • 公開ラッピングキーの長さ: 3072 ビット
  • アルゴリズム: CKG_MGF1_SHA256
  • CKM_AES_KEY_WRAP_PAD 用の一時 AES キーの長さ: 256 ビット
  • Customer Provided Root Key のタイプ: 256 ビット長の AES 対称鍵

Azure クラウド上の Auth0

  • 公開ラッピングキーの長さ: 2048 ビット
  • アルゴリズム: CKG_MGF1_SHA-1
  • CKM_AES_KEY_WRAP_PAD 用の一時 AES キーの長さ: 256 ビット
  • Customer Provided Root Key の種別: 2048 ビット長の RSA 秘密鍵
  • 秘密鍵のエンコード: PKCS #8 - ASN.1 DER