빠른 시작: Azure PowerShell을 사용하여 Azure Key Vault에서 키 설정 및 검색

이 빠른 시작에서는 Azure PowerShell을 사용하여 Azure Key Vault에서 Key Vault를 만듭니다. Azure Key Vault는 보안 비밀 저장소로 작동하는 클라우드 서비스입니다. 키, 암호, 인증서 및 기타 비밀을 안전하게 저장할 수 있습니다. Key Vault에 대한 자세한 내용을 보려면 개요를 검토합니다. Azure PowerShell은 명령 또는 스크립트를 사용하여 Azure 리소스를 만들고 관리하는 데 사용됩니다. 이 작업을 완료하면 키를 저장할 수 있습니다.

필수 조건

Azure 구독이 없는 경우 시작하기 전에 체험 계정을 만듭니다.

• Azure PowerShell을 로컬로 사용하도록 선택하는 경우:
  • 최신 버전의 Az PowerShell 모듈을 설치합니다.
  • Connect-AzAccount cmdlet을 사용하여 Azure 계정에 로그인합니다.
• Azure Cloud Shell을 사용하도록 선택하는 경우:
  • 자세한 내용은 Azure Cloud Shell 개요를 참조하세요.

리소스 그룹 만들기

리소스 그룹은 Azure 리소스가 배포 및 관리되는 논리적 컨테이너입니다. Azure PowerShell New-AzResourceGroup cmdlet을 사용하여 eastus 위치에 myResourceGroup이라는 리소스 그룹을 만듭니다.

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

키 자격 증명 모음 만들기

Azure PowerShell New-AzKeyVault cmdlet을 사용하여 이전 단계에서 리소스 그룹에 Key Vault를 만듭니다. 다음과 같은 몇 가지 정보를 제공해야 합니다.

• Key Vault 이름: 숫자(0~9), 문자(a~z, A~Z) 및 하이픈(-)만 포함할 수 있는 3~24자 문자열입니다.

  Important

  각 Key Vault마다 고유한 이름이 있어야 합니다. 다음 예제에서는 <your-unique-keyvault-name>을 키 자격 증명 모음의 이름으로 바꿉니다.

• 리소스 그룹 이름: myResourceGroup

• 위치: EastUS

New-AzKeyVault -Name "<your-unique-keyvault-name>" -ResourceGroupName "myResourceGroup" -Location "EastUS"

이 cmdlet의 출력에는 새로 만든 Key Vault의 속성이 표시됩니다. 다음 두 가지 속성에 유의합니다.

• 자격 증명 모음 이름: -Name 매개 변수에 제공한 이름입니다.
• 자격 증명 모음 URI: 이 예에서 이 URI는 https://<your-unique-keyvault-name>.vault.azure.net/입니다. REST API를 통해 사용자 자격 증명 모음을 사용하는 애플리케이션은 URI를 사용해야 합니다.

이때 사용자의 Azure 계정은 이 새 Vault에서 모든 작업을 수행할 권한이 있는 유일한 계정입니다.

Key Vault에서 키를 관리할 수 있는 사용자 계정 권한 부여

RBAC(역할 기반 액세스 제어)를 통해 키 자격 증명 모음에 권한을 부여하려면 Azure PowerShell cmdlet New-AzRoleAssignment를 사용하여 “UPN”(사용자 계정 이름)에 역할을 할당합니다.

New-AzRoleAssignment -SignInName "<upn>" -RoleDefinitionName "Key Vault Crypto Officer" -Scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.KeyVault/vaults/<your-unique-keyvault-name>"

<upn>, <subscription-id>, <resource-group-name> 및 <your-unique-keyvault-name>을 실제 값으로 바꿉니다. UPN은 일반적으로 이메일 주소 형식(예: username@domain.com)입니다.

Key Vault에 키 추가

자격 증명 모음에 키를 추가하려면 몇 가지 추가 단계만 수행하면 됩니다. 이 키는 애플리케이션에서 사용할 수 있습니다.

이 명령을 입력하여 호출된 ExampleKey를 만듭니다.

Add-AzKeyVaultKey -VaultName "<your-unique-keyvault-name>" -Name "ExampleKey" -Destination "Software"

이제 해당 URI를 사용하여 Azure Key Vault에 추가한 이 키를 참조할 수 있습니다. 현재 버전을 가져오려면 https://<your-unique-keyvault-name>.vault.azure.net/keys/ExampleKey 를 사용합니다.

이전에 저장한 키를 보려면 다음을 수행합니다.

Get-AzKeyVaultKey -VaultName "<your-unique-keyvault-name>" -KeyName "ExampleKey"

지금까지 Key Vault를 만들고 키를 저장하고, 검색했습니다.

리소스 정리

이 컬렉션의 다른 빠른 시작과 자습서는 이 빠른 시작을 기반으로 하여 작성됩니다. 다른 빠른 시작 및 자습서를 계속 진행하려는 경우 이러한 리소스를 유지하는 것이 좋습니다.

더 이상 필요하지 않은 경우 Azure PowerShell Remove-AzResourceGroup cmdlet을 사용하여 리소스 그룹 및 모든 관련 리소스를 제거할 수 있습니다.

Remove-AzResourceGroup -Name "myResourceGroup"

다음 단계

이 빠른 시작에서는 Key Vault를 만들어 인증서를 저장했습니다. Key Vault 및 이를 애플리케이션과 통합하는 방법에 대해 자세히 알아보려면 아래 문서로 계속 진행하세요.

• Azure Key Vault 개요 참조
• Azure PowerShell Key Vault cmdlets에 대한 참조를 참조하세요.
• Azure Key Vault 보안 개요를 검토하세요.