Azure Key Vault를 사용하여 Azure Load Testing에 대한 고객 관리형 키 구성

Azure Load Testing은 Microsoft에서 제공하는 키(서비스 관리형 키)를 사용하여 부하 테스트 리소스에 모든 저장된 데이터를 자동으로 암호화합니다. 필요에 따라 고유한(고객 관리형) 키를 제공하여 두 번째 보안 계층을 추가할 수 있습니다. 고객 관리형 키는 액세스를 제어하고 키 회전 정책을 사용하기 위한 더 큰 유연성을 제공합니다.

제공하는 키는 Azure Key Vault를 사용하여 안전하게 저장됩니다. 고객 관리형 키로 사용하도록 설정하는 각 Azure Load Testing 리소스에 대해 별도의 키를 만들 수 있습니다.

고객 관리형 암호화 키를 사용하는 경우 사용자가 할당한 관리 ID를 지정하여 Azure Key Vault에서 키를 검색해야 합니다.

Azure Load Testing은 고객 관리형 키를 사용하여 부하 테스트 리소스에서 다음 데이터를 암호화합니다.

• 스크립트 및 구성 파일 테스트
• 비밀
• 환경 변수

참고 항목

Azure Load Testing은 JMeter 스크립트에서 지정한 JMeter 메트릭 샘플러 이름을 포함한 고객 관리형 키를 사용하여 테스트 실행을 위한 메트릭 데이터를 암호화하지 않습니다. Microsoft는 이 메트릭 데이터에 액세스할 수 있습니다.

필수 조건

• 활성 구독이 있는 Azure 계정. Azure 구독이 아직 없는 경우 시작하기 전에 체험 계정을 만듭니다.

• 기존 사용자 할당 관리 ID. 사용자가 할당한 관리 ID를 만드는 방법에 대한 자세한 내용은 사용자가 할당한 관리 ID 관리를 참조하세요.

제한 사항

• 고객 관리형 키는 새 Azure Load Testing 리소스에만 사용할 수 있습니다. 리소스를 만드는 동안 키를 구성해야 합니다.

• 리소스에서 고객 관리형 키 암호화를 사용하도록 설정하면 사용하지 않도록 설정할 수 없습니다.

• Azure Load Testing은 고객 관리형 키를 자동으로 회전하여 최신 버전의 암호화 키를 사용할 수 없습니다. Azure Key Vault 키를 회전한 후 리소스의 키 URI를 업데이트해야 합니다.

Azure Key Vault 구성

Azure Load Testing에서 고객 관리형 암호화 키를 사용하려면 Azure Key Vault에 키를 저장해야 합니다. 기존 키 자격 증명 모음을 사용하거나 새로 만들 수 있습니다. 부하 테스트 리소스 및 키 자격 증명 모음은 동일한 테넌트의 다른 지역 또는 구독에 있을 수 있습니다.

고객 관리형 암호화 키를 사용하는 경우 다음 키 자격 증명 모음 설정을 구성해야 합니다.

키 자격 증명 모음 네트워킹 설정 구성

방화벽 또는 가상 네트워킹을 통해 Azure Key Vault에 대한 액세스를 제한한 경우 고객 관리형 키를 검색하기 위해 Azure Load Testing에 대한 액세스 권한을 부여해야 합니다. 다음 단계에 따라 신뢰할 수 있는 Azure 서비스에 대한 액세스 권한을 부여합니다.

일시 삭제 및 제거 보호 구성

Azure Load Testing에서 고객 관리형 키를 사용하려면 키 자격 증명 모음에서 일시 삭제 및 제거 보호 속성을 설정해야 합니다. 일시 삭제는 새 키 자격 증명 모음을 만들 때 기본적으로 사용하도록 설정되며 해제할 수 없습니다. 언제든지 제거 보호를 사용하도록 설정할 수 있습니다. Azure Key Vault의 일시 삭제 및 제거 보호에 대해 자세히 알아봅니다.

Azure Portal

다음 단계에 따라 일시 삭제가 사용하도록 설정되어 있는지 확인하고 키 자격 증명 모음에서 사용하도록 설정합니다. 일시 삭제는 새 키 자격 증명 모음을 만들 때 기본적으로 사용할 수 있습니다.

제거 보호 사용 설정을 선택하여 새 키 자격 증명 모음을 만들 때 제거 보호를 사용하도록 설정할 수 있습니다.

기존 키 자격 증명 모음에 보호 제거를 사용하도록 설정하려면 다음 단계를 수행합니다.

1. Azure Portal에서 키 자격 증명 모음으로 이동합니다.
2. 설정 아래에서 속성을 선택합니다.
3. 보호 제거 섹션에서 보호 제거 사용을 선택합니다.

PowerShell

PowerShell을 사용하여 새 키 자격 증명 모음을 만들려면 버전 2.0.0 이상의 Az.KeyVault PowerShell 모듈을 설치합니다. 그런 다음 New-AzKeyVault를 호출하여 새 키 자격 증명 모음을 만듭니다. Az.KeyVault 모듈의 2.0.0 이상 버전을 사용하는 경우 새 키 자격 증명 모음을 만들 때 일시 삭제가 기본적으로 사용하도록 설정됩니다.

다음 예제에서는 일시 삭제 및 제거 보호를 모두 사용하도록 설정하여 새 키 자격 증명 모음을 만듭니다. 대괄호의 자리 표시자 값을 사용자 고유의 값으로 바꿔야 합니다.

$keyVault = New-AzKeyVault -Name <key-vault-name> `
    -ResourceGroupName <resource-group> `
    -Location <location> `
    -EnablePurgeProtection

PowerShell을 사용하여 기존 키 자격 증명 모음에 보호 제거를 사용하도록 설정하려면 다음을 수행합니다.

Update-AzKeyVault -VaultName <key-vault-name> -ResourceGroupName <resource-group> -EnablePurgeProtection

Azure CLI

Azure CLI를 사용하여 새 키 자격 증명 모음을 만들려면 az keyvault create를 호출합니다. 일시 삭제는 새 키 자격 증명 모음을 만들 때 기본적으로 사용하도록 설정할 수 있습니다.

다음 예제에서는 일시 삭제 및 제거 보호를 모두 사용하도록 설정하여 새 키 자격 증명 모음을 만듭니다. 대괄호의 자리 표시자 값을 사용자 고유의 값으로 바꿔야 합니다.

az keyvault create \
    --name <key-vault-name> \
    --resource-group <resource-group> \
    --location <region> \
    --enable-purge-protection

Azure CLI를 사용하여 기존 키 자격 증명 모음에 보호 제거를 사용하도록 설정하려면 다음을 수행합니다.

az keyvault update --subscription <subscription-id> -g <resource-group> -n <key-vault-name> --enable-purge-protection true

Azure Key Vault에 고객 관리형 키 추가

다음으로 키 자격 증명 모음에 키를 추가합니다. Azure Load Testing 암호화는 RSA 키를 지원합니다. Azure Key Vault의 지원되는 키 유형에 대한 자세한 내용은 키 정보를 참조하세요.

Azure Portal

Azure Portal을 사용하여 키를 추가하는 방법은 Azure Portal을 사용하여 Azure Key Vault에서 키 설정 및 검색을 참조하세요.

PowerShell

PowerShell을 사용하여 키를 추가하려면 Add-AzKeyVaultKey를 호출합니다. 대괄호 안의 자리 표시자 값을 사용자 고유의 값으로 바꾸고 위의 예제에 정의된 변수를 사용해야 합니다.

$key = Add-AzKeyVaultKey -VaultName <key-vault-name> `
    -Name <key-name> `
    -Destination 'Software'

Azure CLI

Azure CLI를 사용하여 키를 추가하려면 az keyvault key create를 호출합니다. 대괄호의 자리 표시자 값을 사용자 고유의 값으로 바꿔야 합니다.

az keyvault key create \
    --name <key-name> \
    --vault-name <key-vault-name>

키 자격 증명 모음에 액세스 정책 추가

고객 관리형 암호화 키를 사용하는 경우 사용자 할당 관리 ID를 지정해야 합니다. Azure Key Vault에서 고객 관리형 키에 액세스하기 위한 사용자 할당 관리 ID에는 키 자격 증명 모음에 액세스할 수 있는 적절한 권한이 있어야 합니다.

1. Azure Portal에서 암호화 키를 호스트하는 데 사용할 Azure Key Vault 인스턴스로 이동합니다.

2. 왼쪽 메뉴에서 액세스 정책을 선택합니다.

   

3. + 액세스 정책 추가를 선택합니다.

4. 키 권한 드롭다운 메뉴에서 가져오기, 키 래핑 해제, 키 래핑 권한을 선택합니다.

   

5. 주체 선택에서 선택된 항목 없음을 선택합니다.

6. 이전에 만든 사용자가 할당한 관리 ID를 검색한 다음, 목록에서 선택합니다.

7. 아래쪽에서 선택을 선택합니다.

8. 추가를 선택하여 새로운 액세스 정책을 추가합니다.

9. 키 자격 증명 모음 인스턴스에서 저장을 선택하여 모든 변경 내용을 저장합니다.

Azure Load Testing에서 고객 관리형 키 사용

새 Azure Load Testing 리소스를 만들 때만 고객 관리형 암호화 키를 구성할 수 있습니다. 암호화 키 세부 정보를 지정할 때 사용자 할당 관리 ID를 선택하여 Azure Key Vault에서 키를 검색해야 합니다.

새로운 부하 테스트 리소스에 대해 고객 관리형 키를 구성하려면 다음 단계를 따릅니다.

Azure Portal

1. 다음 단계에 따라 Azure Portal에서 Azure Load Testing 리소스를 만들고기본 사항 탭에서 필드를 채웁니다.

2. 암호화 탭으로 이동한 다음, 암호화 유형 필드에 대해 CMK(고객 관리형 키)를 선택합니다.

3. 키 URI 필드에서, 키 버전을 포함한 Azure Key Vault 키의 URI/키 식별자를 복사합니다.

4. 사용자 할당 ID 필드의 경우 기존의 사용자가 할당한 관리 ID를 선택합니다.

5. 검토 + 만들기를 선택하여 새 리소스의 유효성을 검사하고 만듭니다.

PowerShell

PowerShell을 사용하여 ARM 템플릿을 배포하여 Azure 리소스 만들기를 자동화할 수 있습니다. 다음 속성을 추가하여 암호화를 사용하도록 설정된 고객 관리형 키를 사용하여 Microsoft.LoadTestService/loadtests 형식의 리소스를 만들 수 있습니다.

"encryption": {
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678",
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            }

다음 코드 샘플에서는 고객 관리형 키를 사용하도록 설정한 부하 테스트 리소스를 만들기 위한 ARM 템플릿을 보여 줍니다.

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2022-04-15-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "userassigned",
        "userAssignedIdentities": {
            "User assigned managed identity resource id": {}
        }
    },
    "properties": {
        "encryption": {
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            },
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678"
        }
    }
}

New-AzResourceGroupDeployment를 사용하여 위의 템플릿을 리소스 그룹에 배포합니다.

New-AzResourceGroupDeployment -ResourceGroupName <resource-group-name> -TemplateFile <path-to-template>

Azure CLI

Azure CLI를 사용하여 ARM 템플릿을 배포하여 Azure 리소스 만들기를 자동화할 수 있습니다. 다음 속성을 추가하여 암호화를 사용하도록 설정된 고객 관리형 키를 사용하여 Microsoft.LoadTestService/loadtests 형식의 리소스를 만들 수 있습니다.

"encryption": {
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678",
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            }

다음 코드 샘플에서는 고객 관리형 키를 사용하도록 설정한 부하 테스트 리소스를 만들기 위한 ARM 템플릿을 보여 줍니다.

{
    "type": "Microsoft.LoadTestService/loadtests",
    "apiVersion": "2022-04-15-preview",
    "name": "[parameters('name')]",
    "location": "[parameters('location')]",
    "tags": "[parameters('tags')]",
    "identity": {
        "type": "userassigned",
        "userAssignedIdentities": {
            "User assigned managed identity resource id": {}
        }
    },
    "properties": {
        "encryption": {
            "identity": {
                "type": "UserAssigned",
                "resourceId": "User assigned managed identity resource id"
            },
            "keyUrl": "https://contosovault.vault.azure.net/keys/contosokek/abcdef01234567890abcdef012345678"
        }
    }
}

az deployment group create를 사용하여 위의 템플릿을 리소스 그룹에 배포합니다.

az deployment group create --resource-group <resource-group-name> --template-file <path-to-template>

암호화 키를 검색하기 위한 관리 ID 변경

언제든지 기존 부하 테스트 리소스에 대한 고객 관리형 키에 대한 관리 ID를 변경할 수 있습니다.

1. Azure Portal에서 Azure Load Testing 리소스로 이동합니다.

2. 설정 페이지에서 암호화를 선택합니다.

   암호화 유형은 부하 테스트 리소스를 만드는 데 사용된 암호화 유형을 보여 줍니다.

3. 암호화 유형이 고객 관리형 키인 경우 키 자격 증명 모음에 인증하는 데 사용할 ID 유형을 선택합니다. 옵션에는 시스템 할당(기본값) 또는 사용자 할당이 포함됩니다.

   관리 ID의 각 유형에 대해 자세히 알아보려면 관리 ID 유형을 참조하세요.

   • 시스템 할당을 선택하는 경우 고객 관리형 키의 ID를 변경하기 전에 리소스에서 시스템 할당 관리 ID를 사용하도록 설정하고 AKV에 대한 액세스 권한을 부여해야 합니다.
   • 사용자 할당을 선택한 경우, 키 자격 증명 모음에 액세스할 수 있는 권한이 있는 기존의 사용자 할당 ID를 선택해야 합니다. 사용자 할당 ID를 만드는 방법을 알아보려면 Azure Load Testing 미리 보기에 관리 ID 사용을 참조하세요.

4. 변경 내용을 저장합니다.

Important

선택한 관리 ID가 Azure Key Vault에 액세스할 수 있는지 확인합니다.

고객 관리형 암호화 키 업데이트

Azure Load Testing 암호화에 사용하는 키는 언제든지 변경할 수 있습니다. Azure Portal을 사용하여 키를 변경하려면 다음 단계를 수행합니다.

1. Azure Portal에서 Azure Load Testing 리소스로 이동합니다.

2. 설정 페이지에서 암호화를 선택합니다. 암호화 유형은 만드는 동안 리소스에 대해 선택된 암호화를 표시합니다.

3. 선택한 암호화 유형이 고객 관리형 키인 경우 새 키 URI를 사용하여 키 URI 필드를 편집할 수 있습니다.

4. 변경 내용을 저장합니다.

암호화 키 회전

규정 준수 정책에 따라 Azure Key Vault에서 고객 관리형 키를 순환할 수 있습니다. 키를 순환하려면 다음을 수행합니다.

1. Azure Key Vault에서 키 버전을 업데이트하거나 새 키를 만듭니다.
2. 부하 테스트 리소스에 대한 고객 관리형 암호화 키를 업데이트합니다.

자주 묻는 질문

고객 관리형 키를 사용하도록 설정하는 데 추가 요금이 있나요?

아니요,이 기능을 사용하도록 설정하는 데 청구되는 요금은 없습니다.

고객 관리형 키는 기존 Azure Load Testing 리소스를 지원하나요?

이 기능은 현재 새 Azure Load Testing 리소스에만 사용할 수 있습니다.

Azure Load Testing 계정에서 고객 관리형 키가 사용하도록 설정되어 있는지를 어떻게 알 수 있나요?

1. Azure Portal에서 Azure Load Testing 리소스로 이동합니다.
2. 왼쪽 탐색 모음의 암호화 항목으로 이동합니다.
3. 리소스에서 암호화 유형을 확인할 수 있습니다.

암호화 키를 어떻게 해지하나요?

Azure Key Vault에서 최신 버전의 키를 사용하지 않도록 설정하여 키를 취소할 수 있습니다. 또는 키 자격 증명 모음 인스턴스에서 모든 키를 해지하려면 부하 테스트의 관리 ID에 부여된 액세스 정책을 삭제하면 됩니다.

암호화 키를 해지하면 약 10분 동안 테스트를 실행할 수 있으며, 그 후에는 리소스 삭제만 사용할 수 있습니다. 리소스 보안을 관리하고 데이터를 보존하기 위해 키를 취소하는 대신 회전하는 것이 좋습니다.

관련 콘텐츠

• 서버측 애플리케이션 메트릭 모니터링 방법에 대해 알아봅니다.
• 비밀 및 환경 변수를 사용하여 부하 테스트를 매개 변수화하는 방법에 대해 알아봅니다.