Azure Portal을 사용하여 관리 디스크용 고객 관리형 키로 서버 쪽 암호화를 사용하도록 설정합니다

현재, 고객 관리형 키에는 다음과 같은 제한 사항이 있습니다.

• 증분 스냅샷이 있는 디스크에 대해 이 기능이 사용하도록 설정된 경우 해당 디스크 또는 해당 스냅샷에서 사용하지 않도록 설정할 수 없습니다. 이 문제를 해결하려면 고객 관리형 키를 사용하지 않는 완전히 다른 관리 디스크로 모든 데이터를 복사합니다. Azure CLI 또는 Azure PowerShell 모듈을 사용하여 이 작업을 수행할 수 있습니다.
• 2,048비트, 3,072비트 및 4,096비트 크기의 소프트웨어 및 HSM RSA 키만 지원되며 다른 키 또는 크기는 지원되지 않습니다.
  • HSM 키에는 Azure 키 자격 증명 모음의 프리미엄 계층이 필요합니다.
• Ultra Disks 및 Premium SSD v2 디스크의 경우에만 다음을 수행합니다.
  • 서버 쪽 암호화 및 고객 관리형 키로 암호화된 디스크에서 만든 스냅샷은 동일한 고객 관리형 키를 사용하여 암호화해야 합니다.
  • 사용자 할당 관리 ID는 고객 관리형 키로 암호화된 Ultra Disks 및 Premium SSD v2 디스크에 대해 지원되지 않습니다.
• 고객 관리형 키와 관련된 대부분의 리소스(디스크 암호화 집합, VM, 디스크 및 스냅샷)는 동일한 구독 및 지역에 있어야 합니다.
  • Azure Key Vault는 다른 구독에서 사용할 수 있지만 디스크 암호화 집합과 동일한 지역에 있어야 합니다. 미리 보기로 다른 Microsoft Entra 테넌트의 Azure Key Vault를 사용할 수 있습니다.
• 고객 관리형 키로 암호화된 디스크는 연결된 VM의 할당이 취소된 경우에만 다른 리소스 그룹으로 이동할 수 있습니다.
• 고객 관리형 키를 사용하여 암호화된 디스크, 스냅샷 및 이미지는 다른 구독으로 이동할 수 없습니다.
• 현재 또는 이전에 Azure Disk Encryption을 통해 암호화된 관리 디스크는 고객 관리형 키를 사용하여 암호화할 수 없습니다.
• 구독당 지역당 최대 5,000개의 디스크 암호화 집합을 만들 수 있습니다.
• 공유 이미지 갤러리에서 고객 관리형 키를 사용하는 방법에 대한 자세한 내용은 미리 보기: 이미지 암호화를 위해 고객 관리형 키 사용을 참조하세요.

다음 섹션에서는 관리 디스크용 고객 관리형 키를 사용하도록 설정하고 사용하는 방법을 설명합니다.

디스크에 대한 고객 관리형 키를 설정하려면 처음으로 수행하는 경우 특정 순서로 리소스를 만들어야 합니다. 먼저 Azure Key Vault를 만들고 설정해야 합니다.

Azure Key Vault 설정

1. Azure Portal에 로그인합니다.

2. 키 자격 증명 모음을 검색하고 선택합니다.

   

   Important

   배포가 성공하려면 디스크 암호화 집합, VM, 디스크 및 스냅샷이 모두 동일한 지역과 구독에 있어야 합니다. Azure Key Vault는 다른 구독에서 사용할 수 있지만 디스크 암호화 집합과 동일한 지역 및 테넌트에 있어야 합니다.

3. +만들기를 선택하여 새 Key Vault를 만듭니다.

4. 새 리소스 그룹 만들기

5. 키 자격 증명 모음 이름을 입력하고, 지역을 선택하고, 가격 책정 계층을 선택합니다.

   참고 항목

   Key Vault 인스턴스를 만드는 경우 일시 삭제 및 제거 보호를 사용하도록 설정해야 합니다. 일시 삭제를 사용하면 지정된 보존 기간(기본적으로 90일) 동안 Key Vault에 삭제된 키를 보관하게 됩니다. 제거 보호를 사용하면 보존 기간이 지날 때까지 삭제된 키를 영구 삭제할 수 없습니다. 이러한 설정은 실수로 삭제하여 데이터가 손실되지 않도록 보호합니다. 이러한 설정은 관리 디스크를 암호화하기 위해 Key Vault를 사용하는 경우 필수입니다.

6. 검토 + 만들기를 선택하고, 선택 사항을 확인한 다음, 만들기를 선택합니다.

   

7. 키 자격 증명 모음이 배포를 마치면 선택합니다.

8. 개체 아래에서 키를 선택합니다.

9. 생성/가져오기를 선택합니다.

   

10. 키 유형을 RSA로 설정된 상태로 두고 RSA 키 크기를 2048로 설정된 상태로 둡니다.

11. 원하는 대로 나머지 선택 항목을 입력하고 만들기를 선택합니다.

    

Azure RBAC 역할 추가

이제 Azure Key Vault와 키를 만들었으므로 디스크 암호화 집합에 Azure Key Vault를 사용할 수 있도록 Azure RBAC 역할을 추가해야 합니다.

1. 액세스 제어(IAM)를 선택하고 역할을 추가합니다.
2. Key Vault 관리자, 소유자 또는 기여자 역할을 추가합니다.

디스크 암호화 집합 설정

1. 디스크 암호화 집합을 검색하고 선택합니다.

2. 디스크 암호화 집합 창에서 +만들기를 선택합니다.

3. 리소스 그룹을 선택하고, 암호화 집합의 이름을 지정하고, 키 자격 증명 모음으로 동일한 지역을 선택합니다.

4. 암호화 유형에서 고객 관리형 키로 미사용 데이터 암호화를 선택합니다.

   참고 항목

   특정 암호화 유형을 사용하여 디스크 암호화 집합을 만든 후에는 변경할 수 없습니다. 다른 암호화 유형을 사용하려면 새 디스크 암호화 집합을 만들어야 합니다.

5. Azure Key Vault 및 키 선택이 선택되어 있는지 확인합니다.

6. 이전에 만든 키 자격 증명 모음 및 키와 버전을 선택합니다.

7. 고객 관리형 키의 자동 회전을 사용하려면 자동 키 회전을 선택합니다.

8. 검토 + 만들기, 만들기를 차례로 선택합니다.

   

9. 배포되면 디스크 암호화 집합으로 이동하고 표시된 경고를 선택합니다.

   

10. 그러면 키 자격 증명 모음 권한이 디스크 암호화 집합에 부여됩니다.

    

VM 배포

이제 키 자격 증명 모음 및 디스크 암호화 집합을 만들고 설정했으므로, 암호화를 사용하여 VM을 배포할 수 있습니다. VM 배포 프로세스는 표준 배포 프로세스와 유사합니다. 유일한 차이점은 다른 리소스와 동일한 지역에 VM을 배포하고 고객 관리형 키를 사용하도록 선택해야 한다는 점 뿐입니다.

1. 가상 머신을 검색하고 + 만들기를 선택하여 VM을 만듭니다.

2. 기본 창에서 디스크 암호화 집합과 동일한 지역 및 Azure Key Vault를 선택합니다.

3. 원하는 값을 기본 창에 입력합니다.

   

4. 디스크 창의 키 관리의 드롭다운에서 디스크 암호화 집합, 키 자격 증명 모음 및 키를 선택합니다.

5. 원하는 대로 나머지 항목을 선택합니다.

   

1. 디스크 암호화 집합 중 하나와 동일한 지역에 있는 VM으로 이동합니다.

2. VM을 열고 중지를 선택합니다.

3. VM이 중지되면 디스크를 선택한 후 암호화하려는 디스크를 선택합니다.

4. 암호화를 선택하고 키 관리 아래에서 고객 관리형 키 아래의 드롭다운 목록에서 키 자격 증명 모음 및 키를 선택합니다.

5. 저장을 선택합니다.

6. 암호화하려는 VM에 연결된 다른 모든 디스크에서 이 프로세스를 반복합니다.

7. 디스크가 고객 관리형 키로 전환되면 암호화하려는 다른 연결된 디스크가 없는 경우 VM을 시작합니다.

기존 디스크 암호화 집합에서 자동 키 순환 사용

1. 자동 키 순환을 사용하도록 설정할 디스크 암호화 집합으로 이동합니다.

2. 설정 아래에서 키를 선택합니다.

3. 자동 키 순환을 선택하고 저장을 선택합니다.