Share via

고객 관리형 키 문제 해결

  • 아티클

이 문서는 4부로 구성된 자습서 시리즈의 4부입니다. 1부에서는 레지스트리에서 키를 사용하도록 설정하기 전에 고객 관리형 키, 기능 및 고려 사항에 대한 개요를 제공합니다. 2부에서는 Azure CLI, Azure Portal 또는 Azure Resource Manager 템플릿을 사용하여 고객 관리형 키를 사용하도록 설정하는 방법을 알아봅니다. 3부에서는 고객 관리형 키를 회전, 업데이트 및 해지하는 방법에 대해 알아봅니다. 이 문서는 고객 관리형 키와 관련된 일반적인 문제를 해결하는 데 도움이 됩니다.

관리 ID를 제거할 때 오류가 발생했습니다.

레지스트리에 대한 암호화를 구성하는 데 사용한 사용자 할당 또는 시스템 할당 관리 ID를 제거하려고 하면 오류가 표시될 수 있습니다.

Azure resource '/subscriptions/xxxx/resourcegroups/myGroup/providers/Microsoft.ContainerRegistry/registries/myRegistry' does not have access to identity 'xxxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx' Try forcibly adding the identity to the registry <registry name>. For more information on bring your own key, please visit 'https://aka.ms/acr/cmk'.

암호화 키를 변경(순환)할 수 없습니다. 해결을 위한 단계는 암호화에 사용한 ID 형식에 따라 다릅니다.

사용자가 할당한 ID 제거

사용자 할당 ID를 제거하려고 할 때 오류가 발생하면 다음 단계를 따릅니다.

  1. az acr identity assign 명령을 사용하여 사용자가 할당한 ID를 다시 할당합니다.

  2. 사용자가 할당한 ID의 리소스 ID를 전달하거나 레지스트리와 동일한 리소스 그룹에 있는 경우 ID의 이름을 사용합니다.

    예시:

    az acr identity assign -n myRegistry \
    --identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"

  3. 키를 변경하고 다른 ID를 할당합니다.

  4. 이제 원래 사용자가 할당한 ID를 제거할 수 있습니다.

시스템이 할당한 ID 제거

시스템 할당 ID를 제거하려고 할 때 오류가 발생하면 Azure 지원 티켓을 만들기하여 ID 복원에 도움을 받으세요.

키 자격 증명 모음 방화벽을 사용하도록 설정한 후 오류 발생

암호화된 레지스트리를 만든 후 키 자격 증명 모음 방화벽 또는 가상 네트워크를 사용하도록 설정하면 HTTP 403 또는 이미지 가져오기 또는 자동화된 키 순환과 관련된 기타 오류가 표시될 수 있습니다. 이 문제를 해결하려면 처음에 암호화에 사용한 관리 ID 및 키를 다시 구성합니다. 고객 관리형 키 회전의 단계를 참조하세요.

문제가 지속되면 Azure 지원에 문의하세요.

ID 만료 오류

레지스트리에 연결된 ID는 만료를 방지하기 위해 자동 갱신되도록 설정됩니다. 레지스트리에서 ID를 연결 해제하면 CMK에 사용 중인 ID를 제거할 수 없다는 오류 메시지가 표시됩니다. ID를 제거하려고 하면 ID의 자동 갱신이 위태로워질 수 있습니다. 아티팩트 끌어오기/푸시 작업은 ID가 만료될 때까지 작동합니다(일반적으로 3개월). ID가 만료되면 오류 메시지 "레지스트리와 연결된 ID가 비활성 상태입니다. ID 제거 시도 때문일 수 있습니다. ID를 수동으로 다시 할당하세요."와 함께 HTTP 403이 표시됩니다.

ID를 레지스트리에 명시적으로 다시 할당해야 합니다.

  1. az acr identity assign 명령을 실행하여 ID를 수동으로 다시 할당합니다.

    • 예를 들면 다음과 같습니다.
    az acr identity assign -n myRegistry \
--identities "/subscriptions/mysubscription/resourcegroups/myresourcegroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/myidentity"

키 자격 증명 모음 또는 키를 실수로 삭제한 경우

고객 관리형 키로 레지스트리를 암호화하는 데 사용되는 키 자격 증명 모음 또는 키를 삭제하면 레지스트리의 콘텐츠에 액세스할 수 없게 됩니다. 키 자격 증명 모음에서 일시 삭제가 사용하도록 설정된 경우(기본 옵션) 삭제된 자격 증명 모음 또는 키 자격 증명 모음 개체를 복구하고 레지스트리 작업을 다시 시작할 수 있습니다.

다음 단계

키 자격 증명 모음 삭제 및 복구 시나리오는 일시 삭제 및 영구 삭제 보호가 포함된 Azure Key Vault 복구 관리를 참조하세요.