View a markdown version of this page

サービス認証情報の設定 - Amazon Quick

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サービス認証情報の設定

Amazon Quick でナレッジベースを作成する前に、AWSおよび Microsoft Entra ID で以下の設定ステップを完了します。KMS 署名キーを作成し、証明書を生成して Entra にアプリケーションを登録し、そのキーを使用するためのアクセス許可を Amazon Quick に付与します。

この設定には複数のシステムが含まれており、組織内の異なる管理者間の調整が必要になる場合があります。次の表は、各ステップとその完了に必要なロールをまとめたものです。

セットアップステップとロール
Step 行うこと 必要なロール
1. KMS キー KMS AWSで非対称署名キーを作成します。 AWS管理者 (KMS および IAM コンソールアクセス)
2. 証明書 KMS パブリックキーを使用して自己署名証明書を生成します。 ステップ 1 と同じ (AWS CLI および OpenSSL が必要)
3. Entra アプリ Microsoft Entra にアプリケーションを登録し、API アクセス許可を割り当て、証明書をアップロードします。 Microsoft 365 グローバル管理者または特権ロール管理者
4. KMS キーアクセス 署名に KMS キーを使用するためのアクセス許可を Amazon Quick に付与します。 Amazon Quick Administrator (Admin Pro)
5. KB の作成 前のステップの認証情報を使用して、Amazon Quick でナレッジベースを作成します。 Amazon Quick ユーザー (Author Pro または Admin Pro)
ヒント

多くの組織では、AWSと Microsoft 365 管理者アクセスの両方を持つ 1 人のユーザーがすべてのステップを完了できます。責任がチーム間で分担されている場合は、このテーブルを共有してセットアップを調整します。

前提条件

作業を開始する前に、以下の準備が整っていることを確認します。

  • アクティブな Amazon Quick インスタンスを持つAWSアカウント。

  • KMS AWSコンソールへのアクセス (署名キーの作成用)。

  • KMS キーアクセス許可を付与するための Amazon Quick Administrator アクセス (Admin Pro ロール)。

  • OneDrive を使用する Microsoft 365 テナント。

  • Microsoft Entra ID のグローバル管理者または特権ロール管理者アクセス。

  • OpenSSL 3.0 以降と CLI AWSがローカルにインストールされている。

  • AWSアカウントと Amazon Quick インスタンスは同じリージョンに存在する必要があります。

アクセス許可

管理者管理のセットアップは、組織内のすべてのユーザーの OneDrive コンテンツをクロールし、常にドキュメントレベルのアクセスコントロールを適用します。Entra アプリの登録には、次の Microsoft Graph アプリケーションのアクセス許可が必要です。

管理者管理のセットアップ許可
アクセス許可 タイプ 目的
Files.Read.All アプリケーション すべてのユーザーの OneDrive コンテンツのファイルを読み取ります。
Sites.Read.All アプリケーション テナント全体の OneDrive ドライブを列挙して読み取ります。OneDrive for Business は SharePoint でホストされているため、このアクセス許可は各ユーザーのドライブにアクセスするために必要です。
User.Read.All アプリケーション ユーザープロファイルを読み取り、ドキュメントレベルのアクセスコントロールを解決します。
Group.Read.All アプリケーション グループオブジェクトを読み取り、グループベースのアクセスコントロールを解決します。
GroupMember.Read.All アプリケーション グループメンバーシップを読み取り、ドキュメントレベルのアクセスコントロールを解決します。
重要

Entra でこれらのアクセス許可を割り当てるときは、委任されたアクセス許可ではなく、アプリケーションのアクセス許可タブを選択します。 管理者管理のセットアップでは、アプリケーションのアクセス許可を必要とするクライアント認証情報フローを使用します。

注記

OneNote クローリング (Notes.Read.All) は、管理者管理のセットアップではサポートされていません。Microsoft は、2025 年 3 月 31 日に OneNote APIs のアプリケーション専用トークンを廃止しました。OneNote コンテンツユーザー管理のセットアップに を使用します。

セットアップ中に収集された値

次の表は、セットアップ中に作成または収集する値とその使用場所をまとめたものです。

値リファレンス
ステップで作成 ステップで使用する
KMS キー ARN 1 (KMS) 2 (証明書)、4 (IAM)、クイックセットアップ
証明書ファイル (certificate.cer) 2 (証明書) 3 (Entra アップロード)
証明書サムプリント (base64url) 2 (証明書) Quick Setup
アプリケーション (クライアント) ID 3 (Entra) Quick Setup
ディレクトリ (テナント) ID 3 (Entra) Quick Setup

ステップ 1: KMS AWS非対称署名キーを作成する

Amazon Quick AWSは、Microsoft Entra ID で認証するときに KMS 非対称キーを使用して OAuth アサーションに署名します。プライベートキーが KMS から出ることはありません。パブリックキーのみがエクスポートされ、Entra アプリ登録にアップロードされる証明書に埋め込まれます。

KMS キーを作成する

  1. AWS KMS コンソールを開きます。

  2. 左のナビゲーションで、[カスタマーマネージドキー] を選択します。

  3. [Create key] (キーの作成) を選択します。

キーを設定する

キーの設定ページで、次の値を設定します。

KMS キー設定
設定
キーのタイプ 非対称
キーの用途 署名と検証
キー仕様 RSA_2048
キーマテリアルのオリジン KMS (推奨)
リージョナリティー シングルリージョンキー (デフォルト)。マルチリージョンキーはサポートされていません。

ラベルを追加する

ラベルの追加ページで、キーのエイリアスを入力します。例: quick-onedrive-service-auth

注記

以下のページのキー管理者およびキー使用権限はオプションです。この設定にはデフォルトで十分です。ステップ 4 では、キーへの Amazon Quick アクセスを個別に付与します。

「スキップして確認」を選択し、「完了」を選択してキーを作成します。

キー ARN を記録する

キーを作成したら、キーの詳細ページを開き、キー ARN を記録します。ARN の形式は以下のようになっています。

arn:aws:kms:us-west-2:123456789012:key/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

この値は、ステップ 2、4、および Quick でナレッジベースを作成するときに必要になります。

ステップ 2: 自己署名証明書を生成する

Microsoft Entra ID では、署名付きアサーションを検証するために X.509 証明書が必要です。KMS プライベートキーは KMS AWSを離れることがないため、OpenSSL で直接使用することはできません。代わりに、一時的なローカルキーペアを生成し、証明書署名リクエストを作成します。次に、OpenSSL -force_pubkeyオプションを使用して、KMS パブリックキーを最終的な証明書に挿入します。その結果、パブリックキーが KMS キーペアと一致する自己署名証明書が作成されます。

前提条件

  • AWS CLI がインストールされ、設定されています。

  • OpenSSL 3.0 以降。

  • ステップ 1 の KMS キー ARN。

証明書を生成する

ターミナルで次のコマンドを実行します。プレースホルダーの値を独自の値に置き換えます。

OpenSSL バージョンの確認

openssl version

出力にバージョン 3.0 以降が表示されていることを確認します。

KMS パブリックキーをエクスポートする

aws kms get-public-key \ --key-id KMS_KEY_ARN \ --region REGION \ --output text \ --query PublicKey | base64 --decode > public_key.der
注記

macOS では、シェル環境base64 -Dに応じて base64 --decodeまたは を使用します。

パブリックキーを PEM 形式に変換する

openssl rsa -pubin -inform DER -in public_key.der -outform PEM -out kms_public_key.pem

一時的なローカルキーペアを生成する

openssl genrsa -out temp_private_key.pem 2048

証明書署名リクエストを作成する

openssl req -new \ -key temp_private_key.pem \ -out cert.csr \ -subj "/CN=QuickOneDriveServiceAuth/O=YourOrganization/C=US"

KMS パブリックキーを使用して証明書を生成する

openssl x509 -req \ -in cert.csr \ -signkey temp_private_key.pem \ -out certificate.pem \ -days 730 \ -force_pubkey kms_public_key.pem
注記

OpenSSL は警告 を表示しますSignature key and public key of cert do not match。これは、証明書が一時的なローカルキーで署名されているが、KMS パブリックキーが含まれているためです。証明書は有効であり、Microsoft Entra で正しく動作します。

Entra アップロードの DER 形式に変換する

openssl x509 -in certificate.pem -outform DER -out certificate.cer

一時ファイルをクリーンアップする

rm -f temp_private_key.pem cert.csr public_key.der kms_public_key.pem certificate.pem
重要

certificate.cer ファイルを保持します。ステップ 3 で Microsoft Entra ID にアップロードします。

証明書のサムプリントを計算する

次のコマンドを実行して、証明書の base64url エンコードされた SHA-1 サムプリントを計算します。

openssl dgst -sha1 -binary certificate.cer | base64 | tr '+/' '-_' | tr -d '='

この値を記録します。Quick でナレッジベースを作成するときに入力します。

注記

base64url でエンコードされたサムプリントは、Microsoft Entra ポータルに表示される 16 進数のサムプリントとは異なります。Quick には base64url 形式が必要です。

ステップ 3: Microsoft Entra ID にアプリケーションを登録する

アプリケーションを登録する

  1. Microsoft ウェブサイトの Microsoft Entra 管理センターにサインインします。

  2. 左側のナビゲーションで、Entra ID を展開し、アプリ登録を選択します。

  3. [New registration] (新規登録) を選択します。

  4. [名前] にQuickOneDriveServiceAuthと入力してください。

  5. サポートされるアカウントタイプでは、この組織ディレクトリのアカウントのみ (単一テナント) を選択します。

  6. リダイレクト URI は空白のままにします。アプリケーションはインタラクティブサインインフローではなくクライアント認証情報フローを使用するため、リダイレクト URI は必要ありません。

  7. [登録] を選択します。

アプリケーションの詳細を記録する

アプリケーションの概要ページで、次の値を記録します。

アプリケーションの詳細
ロケーション
アプリケーション (クライアント) ID 「Essentials」の「概要」ページに表示されます。
ディレクトリ (テナント) ID 「Essentials」の「概要」ページに表示されます。

API アクセス許可を設定する

アクセス許可 セクションにリストされている Microsoft Graph アプリケーションのアクセス許可を追加します。

  1. アプリ登録の左側のナビゲーションで、API アクセス許可を選択します。

  2. [アクセス許可の追加] を選択します。

  3. Microsoft Graph を選択します。

  4. アプリケーションのアクセス許可を選択します。

  5. Files.Read.AllSites.Read.AllUser.Read.AllGroup.Read.Allおよび を検索して選択しGroupMember.Read.All、アクセス許可の追加を選択します。

重要

委任されたアクセス許可ではなく、アプリケーションのアクセス許可タブを選択します。 管理者管理のセットアップでは、アプリケーションのアクセス許可を必要とするクライアント認証情報フローを使用します。

  1. API アクセス許可ページで、[組織] の管理者同意を付与を選択します。

  2. プロンプトが表示されたら、同意を確認します。

重要

アプリケーションのアクセス許可には管理者の同意が必要です。これがないと、アプリケーションは OneDrive データにアクセスできません。

証明書をアップロードする

  1. アプリ登録の左側のナビゲーションで、証明書とシークレットを選択します。

  2. [証明書] タブを選択します。

  3. 証明書のアップロード を選択します。

  4. ステップ 2 で生成したcertificate.cerファイルを選択します。

  5. [Add] (追加) を選択します。

注記

Entra ポータルには、証明書のサムプリントが 16 進形式で表示されます。これは、ステップ 2 で計算した base64url でエンコードされたサムプリントとは異なります。Quick でナレッジベースを設定するときは、base64url 値を使用します。

ステップ 4: KMS キーに Amazon Quick アクセス許可を付与する

Amazon Quick には、OAuth アサーションの署名に KMS キーを使用するためのアクセス許可が必要です。このアクセス許可は、Amazon Quick 管理コンソールから付与します。

注記

このステップでは、Amazon Quick 管理者アクセス (Admin Pro ロール) が必要です。管理者でない場合は、ステップ 1 の KMS キー ARN を使用してこのステップを完了するように Amazon Quick 管理者に依頼してください。

重要

組織が独自の Amazon Quick IAM サービスロールを管理している場合、以下のコンソールステップが適用されない場合があります。代わりに、ロールにステップ 1 の KMS キー ARN に対するkms:Signアクセス許可があることを確認します。

  1. Amazon Quick で、左側のナビゲーションペインからアカウントの管理を選択します。

  2. アクセス許可でAWSリソースを選択します。

  3. AWSリソースページで、AWS Key Management Service までスクロールし、チェックボックスをオンにします。

  4. Select keys を選択します。

  5. KMS キーの選択ダイアログで、ステップ 1 で記録した KMS キー ARN を入力し、追加を選択します。

  6. キー ARN がリストに表示されます。[Finish] を選択してください。

  7. リソースページの下部にある保存 を選択しますAWS。

次の手順

セットアップが完了したら、Amazon Quick で OneDrive ナレッジベース接続を作成します。手順については、「Amazon Quick でナレッジベースを作成する」を参照してください。