다음을 통해 공유

Azure DevTest Labs에서 고객 관리 키를 사용하여 디스크 암호화

  • 아티클

SSE(서버 쪽 암호화)는 데이터를 보호하고 조직의 보안 및 규정 준수 노력에 부합하는 데 도움이 됩니다. SSE는 클라우드에 데이터를 유지할 때 기본적으로 Azure의 관리 디스크(OS 및 데이터 디스크)에 저장된 데이터를 자동으로 암호화합니다. Azure의 디스크 암호화에 대해 자세히 알아보세요.

DevTest Labs 내에서 랩의 일부로 생성된 모든 OS 디스크 및 데이터 디스크는 플랫폼 관리 키를 사용하여 암호화됩니다. 그러나 랩 소유자는 자체 키를 사용하여 랩 가상 머신 디스크를 암호화하도록 선택할 수 있습니다. 사용자 고유의 키를 사용하여 암호화를 관리하는 경우 랩 디스크의 데이터를 암호화하는 데 사용할 고객 관리형 키를 지정할 수 있습니다. 고객 관리형 키를 사용한 SSE(서버 측 암호화) 및 기타 관리 디스크 암호화 유형을 자세히 알아보려면 고객 관리형 키를 참조하세요. 또한 고객 관리형 키 사용에 대한 제한 사항을 참조하세요.

참고 항목

  • 이 설정은 랩에서 새로 만든 디스크에 적용됩니다. 특정 시점에 디스크 암호화 집합을 변경하도록 선택하는 경우 랩의 이전 디스크는 이전 디스크 암호화 집합을 사용하여 계속 암호화된 상태로 유지됩니다.

다음 섹션에서는 랩 소유자가 고객 관리형 키를 사용하여 암호화를 설정할 수 있는 방법을 보여줍니다.

필수 구성 요소

  1. 디스크 암호화가 설정되지 않은 경우 이 문서에 따라 Key Vault 및 디스크 암호화 집합을 설정합니다. 디스크 암호화 설정에 대한 다음 요구 사항을 확인하세요.

    • 디스크 암호화 집합은 랩과 동일한 지역 및 구독에 있어야 합니다.
    • 랩 소유자는 랩 디스크를 암호화하는 데 사용될 디스크 암호화 집합에 대해 최소한 읽기 권한자 수준 액세스가 있는지 확인합니다.

  2. 2020년 8월 1일 이전에 생성된 랩의 경우 랩 소유자는 랩 시스템 할당 ID가 사용하도록 설정되었는지 확인해야 합니다. 이렇게 하려면 랩 소유자는 랩으로 이동하고, 구성 및 정책을 클릭하고, ID(미리 보기) 블레이드를 클릭하고, 시스템 할당 ID 상태켜짐으로 변경하고, 저장을 클릭합니다. 2020년 8월 1일 이후 생성된 새 랩의 경우 랩의 시스템 할당 ID는 기본적으로 사용하도록 설정됩니다.

    Managed keys

  3. 랩이 모든 랩 디스크에 대한 암호화를 처리하려면 랩 소유자가 디스크 암호화 집합에 대한 랩의 시스템 할당 ID 읽기 권한자 역할과 기본 Azure 구독에 대한 가상 머신 기여자 역할을 명시적으로 부여해야 합니다. 랩 소유자는 다음 단계를 완료하여 이 작업을 수행할 수 있습니다.

    1. Azure 리소스에 대한 사용자 액세스를 관리할 수 있도록 Azure 구독 수준에서 사용자 액세스 관리자 역할의 멤버여야 합니다.

    2. 디스크 암호화 집합 페이지에서 디스크 암호화 집합이 사용될 랩 이름에 최소한 읽기 권한자 역할을 할당합니다.

      세부 단계에 대해서는 Azure Portal을 사용하여 Azure 역할 할당을 참조하세요.

    3. Azure Portal의 구독 페이지로 이동합니다.

    4. Virtual Machine 기여자 역할을 랩 이름(랩에 대해 시스템에서 할당한 ID)에 할당합니다.

고객 관리형 키를 사용하여 랩 OS 디스크 암호화

  1. Azure Portal의 랩 홈페이지에서 왼쪽 메뉴의 구성 및 정책을 선택합니다.

  2. 구성 및 정책 페이지의 암호화 섹션에서 디스크(미리 보기)를 선택합니다. 기본적으로 암호화 유형플랫폼 관리 키를 사용하여 미사용 암호화로 설정됩니다.

    Disks tab of Configuration and policies page

  3. 암호화 유형의 경우 드롭다운 목록에서 고객 관리형 키를 사용하여 미사용 암호화를 선택합니다.

  4. 디스크 암호화 설정에 대해 이전에 만든 디스크 암호화 집합을 선택합니다. 랩의 시스템 할당 ID가 액세스할 수 있는 것과 동일한 디스크 암호화 집합입니다.

  5. 도구 모음에서 저장을 선택합니다.

    Enable encryption with customer-managed key

  6. 다음 텍스트가 포함된 메시지 상자: 이 설정은 랩에서 새로 만들어진 컴퓨터에 적용됩니다. 이전 OS 디스크는 이전 디스크 암호화 집합으로 암호화된 상태로 유지되며, 확인을 선택합니다.

    구성이 완료되면 랩 디스크는 디스크 암호화 집합을 사용하여 제공된 고객 관리형 키로 암호화됩니다.

디스크가 암호화되는지 유효성을 검사하는 방법

  1. 랩에서 고객 관리형 키를 사용하여 디스크 암호화를 사용하도록 설정한 후 생성한 랩 가상 머신으로 이동합니다.

    VM with enabled disk encryption

  2. VM의 리소스 그룹을 클릭하고 OS 디스크를 클릭합니다.

    VM resource group

  3. 암호화로 이동하여 선택한 디스크 암호화로 암호화가 고객 관리형 키로 설정되어 있는지 확인합니다.

    Validate encryption

다음 단계

다음 문서를 참조하세요.