다음을 통해 공유


새 스토리지 계정에 대한 테넌트 간 고객 관리형 키 구성

Azure Storage는 미사용 스토리지 계정의 모든 데이터를 암호화합니다. 기본적으로 데이터는 Microsoft 관리형 키로 암호화됩니다. 암호화 키에 대한 추가 제어를 위해 사용자 고유의 키를 관리할 수 있습니다. 고객 관리형 키는 Azure Key Vault 또는 Azure Key Vault 관리형 HSM(하드웨어 보안 모델)에 저장해야 합니다.

이 문서에서는 새 스토리지 계정을 만들 때 고객 관리형 키를 사용하는 암호화를 구성하는 방법을 보여 줍니다. 테넌트 간 시나리오에서 스토리지 계정은 ISV에서 관리하는 테넌트에 상주하는 반면, 해당 스토리지 계정의 암호화에 사용되는 키는 고객이 관리하는 테넌트의 키 자격 증명 모음에 상주합니다.

기존 스토리지 계정의 고객 관리형 키를 구성하는 방법을 알아보려면 기존 스토리지 계정에 대한 테넌트 간 고객 관리형 키 구성을 참조하세요.

참고 항목

Azure Key Vault 및 Azure Key Vault 관리되는 HSM은 고객 관리형 키 구성 시 동일한 API 및 관리 인터페이스를 지원합니다. Azure Key Vault에 지원되는 모든 작업은 Azure Key Vault 관리되는 HSM에도 지원됩니다.

테넌트 간 고객 관리형 키 정보

Azure에서 SaaS(Software as a Service) 제품을 빌드하는 많은 서비스 공급자는 고객에게 자체 암호화 키를 관리하는 옵션을 제공하고자 합니다. 고객 관리형 키를 사용하면 서비스 공급자는 서비스 공급자의 고객이 관리하고 서비스 공급자가 액세스할 수 없는 암호화 키를 사용하여 고객의 데이터를 암호화할 수 있습니다. Azure에서 서비스 공급자의 고객은 Azure Key Vault를 사용하여 자체 Microsoft Entra 테넌트 및 구독에서 암호화 키를 관리할 수 있습니다.

서비스 공급자의 소유이며 서비스 공급자의 테넌트에 상주하는 Azure 플랫폼 서비스 및 리소스는 암호화/암호 해독 작업을 수행하려면 고객의 테넌트에서 키에 액세스해야 합니다.

아래 이미지에서는 서비스 공급자와 해당 고객을 포괄하는 테넌트 간 CMK 워크플로에서 페더레이션 ID를 사용하는 미사용 데이터 암호화를 보여 줍니다.

페더레이션 ID를 사용하는 테넌트 간 CMK를 보여 주는 스크린샷

위의 예에는 두 개의 Microsoft Entra 테넌트, 즉 독립 서비스 공급자의 테넌트(테넌트 1)와 고객의 테넌트(테넌트 2)가 있습니다. Tenant 1은 Azure 플랫폼 서비스를 호스트하고 Tenant 2는 고객의 키 자격 증명 모음을 호스트합니다.

다중 테넌트 애플리케이션 등록은 테넌트 1의 서비스 공급자에 의해 만들어집니다. 페더레이션 ID 자격 증명은 이 애플리케이션에서 사용자가 할당한 관리 ID를 사용하여 만들어집니다. 그런 다음, 앱의 이름과 애플리케이션 ID가 고객과 공유됩니다.

적절한 권한이 있는 사용자가 서비스 공급자의 애플리케이션을 고객 테넌트, Tenant 2에 설치합니다. 그러면 사용자는 설치된 애플리케이션과 연결된 서비스 주체에게 고객의 키 자격 증명 모음에 대한 액세스 권한을 부여합니다. 또한 고객이 암호화 키 또는 고객 관리형 키를 키 자격 증명 모음에 저장합니다. 고객이 키 위치(키의 URL)를 서비스 공급자와 공유합니다.

이제 서비스 공급자는 다음 정보를 갖고 있습니다.

  • 고객 관리형 키에 대한 액세스 권한이 부여된 고객의 테넌트에 설치된 다중 테넌트 애플리케이션의 애플리케이션 ID입니다.
  • 다중 테넌트 애플리케이션에서 자격 증명으로 구성된 관리 ID입니다.
  • 고객의 키 자격 증명 모음에 있는 키의 위치

이러한 세 가지 매개 변수를 사용하여 서비스 공급자는 Tenant 2에서 고객 관리형 키로 암호화할 수 있는 Azure 리소스를 Tenant 1에 프로비전합니다.

위의 엔드투엔드 솔루션을 세 단계로 나눌 수 있습니다.

  1. 서비스 공급자가 ID를 구성합니다.
  2. 고객은 서비스 공급자의 다중 테넌트 앱에 Azure Key Vault의 암호화 키에 대한 액세스 권한을 부여합니다.
  3. 서비스 공급자는 CMK를 사용하여 Azure 리소스의 데이터를 암호화합니다.

1단계의 작업은 대부분의 서비스 공급자 애플리케이션에서 한 번만 수행하는 일회성 설정입니다. 2단계와 3단계의 작업은 고객마다 반복됩니다.

1단계 - 서비스 공급자가 Microsoft Entra 애플리케이션을 구성합니다.

단계 설명 Azure RBAC의 최소 역할 Microsoft Entra RBAC의 최소 역할
1. 새로운 다중 테넌트 Microsoft Entra 애플리케이션 등록을 만들거나 기존 애플리케이션 등록으로 시작합니다. Azure Portal, Microsoft Graph API, Azure PowerShell 또는 Azure CLI를 사용하여 애플리케이션 등록의 애플리케이션 ID(클라이언트 ID)를 확인합니다. 없음 애플리케이션 개발자
2. 사용자가 할당한 관리 ID(페더레이션 ID 자격 증명으로 사용됨)를 만듭니다.
Azure Portal / Azure CLI / Azure PowerShell/ Azure Resource Manager 템플릿
관리 ID 기여자 없음
3. 애플리케이션의 ID를 가장할 수 있도록 애플리케이션에서 사용자가 할당한 관리 ID를 페더레이션 ID 자격 증명으로 구성합니다.
Graph API 참조/ Azure Portal/ Azure CLI/ Azure PowerShell
없음 애플리케이션 소유자
4. 고객이 애플리케이션을 설치하고 권한을 부여할 수 있도록 애플리케이션 이름과 애플리케이션 ID를 고객과 공유합니다. 없음 없음

서비스 공급자에 대한 고려 사항

  • Microsoft Entra 애플리케이션을 만드는 데는 ARM(Azure Resource Manager) 템플릿이 권장되지 않습니다.
  • 동일한 다중 테넌트 애플리케이션을 사용하여 테넌트 2, 테넌트 3, 테넌트 4 등과 같은 여러 테넌트의 키에 액세스할 수 있습니다. 각 테넌트에서 애플리케이션 ID는 동일하지만 개체 ID가 다른 애플리케이션의 독립 인스턴스가 만들어집니다. 따라서 이 애플리케이션의 각 인스턴스에는 독립적으로 권한이 부여됩니다. 이 기능에 사용되는 애플리케이션 개체를 사용하여 모든 고객의 애플리케이션을 분할하는 방법을 고려해 보세요.
    • 애플리케이션에는 최대 20개의 페더레이션 ID 자격 증명이 있을 수 있으며, 이를 위해서는 서비스 공급자가 고객 간에 페더레이션 ID를 공유해야 합니다. 페더레이션 ID 디자인 고려 사항 및 제한 사항에 대한 자세한 내용은 외부 ID 공급자를 신뢰하도록 앱 구성을 참조하세요.
  • 드문 경우지만 서비스 공급자는 고객별로 단일 애플리케이션 개체를 사용할 수 있지만 모든 고객에 걸쳐 대규모 애플리케이션을 관리하려면 상당한 유지 관리 비용이 필요합니다.
  • 서비스 공급자 테넌트에서는 게시자 확인을 자동화할 수 없습니다.

2단계 - 고객이 키 자격 증명 모음에 대한 액세스 권한 부여

단계 설명 최소 권한 Azure RBAC 역할 최소 권한의 Microsoft Entra 역할
1.
  • 권장: 앱에 로그인하도록 사용자를 보냅니다. 사용자가 로그인할 수 있는 경우 앱의 서비스 주체가 해당 테넌트에 존재하는 것입니다.
  • Microsoft Graph, Microsoft Graph PowerShell, Azure PowerShell 또는 Azure CLI를 사용하여 서비스 주체를 만듭니다.
  • 애플리케이션 ID를 사용하여 서비스 주체를 만들 수 있도록 관리자 동의 URL을 만들고 테넌트 수준 동의를 부여합니다.
  • 없음 애플리케이션 설치 권한이 있는 사용자
    2. Azure Key Vault 및 고객 관리형 키로 사용할 키를 만듭니다. 키 자격 증명 모음을 만들려면 사용자에게 Key Vault 기여자 역할이 할당되어야 합니다.

    사용자는 키 자격 증명 모음에 키를 추가하려면 Key Vault 암호화 책임자 역할이 할당되어야 합니다.
    없음
    3. Key Vault 암호화 서비스 암호화 책임자 역할을 할당하여 동의된 애플리케이션 ID에 Azure Key Vault에 대한 액세스 권한을 부여합니다. 애플리케이션에 Key Vault 암호화 서비스 암호화 사용자 역할을 할당하려면 사용자 액세스 관리자 역할이 할당되어 있어야 합니다. 없음
    4. 키 자격 증명 모음 URL 및 키 이름을 SaaS 제품의 고객 관리형 키 구성에 복사합니다. 없음 없음

    참고 항목

    CMK를 사용하여 암호화를 위해 관리형 HSM에 대한 액세스 권한을 부여하려면 여기에 있는 스토리지 계정 예제를 참조하세요. 관리형 HSM을 사용하여 키를 관리하는 방법에 대한 자세한 내용은 Azure CLI를 사용하여 관리형 HSM 관리를 참조하세요.

    서비스 공급자의 고객에 대한 고려 사항

    • 고객 테넌트, Tenant 2에서 관리자는 관리자가 아닌 사용자가 애플리케이션을 설치하지 못하도록 차단하는 정책을 설정할 수 있습니다. 이러한 정책은 관리자가 아닌 사용자가 서비스 주체를 만들지 못하도록 방지할 수 있습니다. 이러한 정책이 구성된 경우 서비스 주체를 만들 수 있는 권한이 있는 사용자가 개입해야 합니다.
    • Azure RBAC 또는 액세스 정책을 사용하여 Azure Key Vault에 대한 액세스 권한을 부여할 수 있습니다. 키 자격 증명 모음에 대한 액세스 권한을 부여할 때, 키 자격 증명 모음에 활성 메커니즘을 사용해야 합니다.
    • Microsoft Entra 애플리케이션 등록에는 애플리케이션 ID(클라이언트 ID)가 있습니다. 애플리케이션이 테넌트에 설치되면 서비스 주체가 만들어집니다. 서비스 주체는 앱 등록과 동일한 애플리케이션 ID를 공유하지만, 자체 개체 ID를 생성합니다. 애플리케이션에 리소스에 대한 액세스 권한을 부여할 때, 서비스 주체 Name 또는 ObjectID 속성을 사용해야 할 수 있습니다.

    3단계 - 서비스 공급자가 고객 관리형 키를 사용하여 Azure 리소스의 데이터를 암호화합니다.

    1단계와 2단계가 완료되면 서비스 공급자가 고객 테넌트의 키 및 키 자격 증명 모음과 ISV 테넌트의 Azure 리소스를 사용하여 Azure 리소스에 대한 암호화를 구성할 수 있습니다. 서비스 공급자는 해당 Azure 리소스에서 지원하는 클라이언트 도구, ARM 템플릿 또는 REST API를 사용하여 테넌트 간 고객 관리형 키를 구성할 수 있습니다.

    테넌트 간 고객 관리형 키 구성

    이 섹션에서는 테넌트 간 CMK(고객 관리형 키)를 구성하고 고객 데이터를 암호화하는 방법을 설명합니다. Tenant2의 키 자격 증명 모음에 저장된 CMK를 사용하여 Tenant1의 리소스에서 고객 데이터를 암호화하는 방법을 알아봅니다. Azure Portal, PowerShell 또는 Azure CLI를 사용할 수 있습니다.

    Azure Portal에 로그인하고 다음 단계를 따릅니다.

    서비스 공급자가 ID 구성

    다음 단계는 서비스 공급자의 테넌트 Tenant1에서 서비스 공급자가 수행합니다.

    서비스 공급자가 다중 테넌트 애플리케이션 등록을 새로 생성

    새로운 다중 테넌트 Microsoft Entra 애플리케이션 등록을 만들거나 기존 다중 테넌트 애플리케이션 등록으로 시작할 수 있습니다. 기존 애플리케이션 등록을 시작하는 경우 애플리케이션의 애플리케이션 ID(클라이언트 ID)를 적어 둡니다.

    새 등록을 만들려면 다음을 수행합니다.

    1. 검색 상자에 Microsoft Entra ID를 검색합니다. Microsoft Entra ID 확장을 찾아 선택합니다.

    2. 왼쪽 창에서 관리 > 앱 등록을 선택합니다.

    3. + 새 등록을 선택합니다.

    4. 애플리케이션 등록 이름을 제공하고 모든 조직 디렉터리의 계정(모든 Microsoft Entra 디렉터리 – 다중 테넌트)을 선택합니다.

    5. 등록을 선택합니다.

    6. 애플리케이션의 ApplicationId/ClientId를 확인합니다.

      새 다중 테넌트 애플리케이션 등록을 만드는 방법을 보여주는 스크린샷

    서비스 공급자는 사용자가 할당한 관리 ID 생성

    페더레이션 ID 자격 증명으로 사용할 사용자가 할당한 관리 ID를 만듭니다.

    1. 검색창에서 관리 ID를 검색합니다. 관리 ID 확장을 찾아 선택합니다.

    2. + 만들기를 선택합니다.

    3. 관리 ID의 리소스 그룹, 지역 및 이름을 입력합니다.

    4. 검토 + 만들기를 선택합니다.

    5. 배포가 성공하면 사용자가 할당한 관리 ID의 Azure ResourceId를 확인합니다. 속성에서 확인할 수 있습니다. 예시:

      /subscriptions/tttttttt-0000-tttt-0000-tttt0000tttt/resourcegroups/XTCMKDemo/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ConsotoCMKDemoUA

      리소스 그룹 및 사용자가 할당한 관리 ID를 만드는 방법을 보여주는 스크린샷

    서비스 공급자는 사용자가 할당한 관리 ID를 애플리케이션의 페더레이션 자격 증명으로 구성

    애플리케이션의 ID를 가장할 수 있도록 애플리케이션에서 사용자가 할당한 관리 ID를 페더레이션 ID 자격 증명으로 구성합니다.

    1. Microsoft Entra ID > 앱 등록 > 애플리케이션으로 이동합니다.

    2. 인증서 및 비밀을 선택합니다.

    3. 페더레이션 자격 증명을 선택합니다.

      [인증서 및 비밀]로 이동하는 방법을 보여주는 스크린샷

    4. + 자격 증명 추가를 선택합니다.

    5. 페더레이션 자격 증명 시나리오에서 고객 관리형 키를 선택합니다.

    6. 관리 ID 선택을 클릭합니다. 창에서 구독을 선택합니다. 관리 ID에서 사용자가 할당한 관리 ID를 선택합니다. 선택 상자에서 이전에 만든 관리 ID를 검색한 다음, 창 아래쪽에서 선택을 클릭합니다.

      관리 ID를 선택하는 방법을 보여주는 스크린샷

    7. 자격 증명 세부 정보에서 자격 증명의 이름과 설명(선택 사항)을 입력하고 추가를 선택합니다.

      자격 증명을 추가하는 방법을 보여주는 스크린샷

    서비스 공급자가 고객과 애플리케이션 ID 공유

    다중 테넌트 애플리케이션의 애플리케이션 ID(클라이언트 ID)를 찾아서 고객과 공유합니다.

    고객이 서비스 공급자의 앱에 키 자격 증명 모음의 키에 대한 액세스 권한 부여

    다음 단계는 고객이 고객 테넌트 Tenant2에서 수행합니다. 고객은 Azure Portal, Azure PowerShell 또는 Azure CLI를 사용할 수 있습니다.

    단계를 실행하는 사용자는 애플리케이션 관리자, 클라우드 애플리케이션 관리자 또는 전역 관리자와 같은 권한 있는 역할을 가진 관리자여야 합니다.

    Azure Portal에 로그인하고 다음 단계를 따릅니다.

    고객이 고객 테넌트에 서비스 공급자 애플리케이션 설치

    고객의 테넌트에 서비스 공급자의 등록된 애플리케이션을 설치하려면 등록된 앱의 애플리케이션 ID를 사용하여 서비스 주체를 만듭니다. 다음 방법 중 하나를 사용하여 서비스 주체를 만들 수 있습니다.

    고객이 키 자격 증명 모음 생성

    키 자격 증명 모음을 만들려면 사용자의 계정에 Key Vault 기여자 역할 또는 키 자격 증명 모음을 만들 수 있는 다른 역할이 할당되어야 합니다.

    1. Azure Portal 메뉴 또는 홈페이지에서 + 리소스 만들기를 선택합니다. 검색창에 키 자격 증명 모음을 입력합니다. 결과 목록에서 키 자격 증명 모음을 선택합니다. 키 자격 증명 모음 페이지에서 만들기를 선택합니다.

    2. 기본 사항 탭에서 구독을 선택합니다. 리소스 그룹에서 새로 만들기를 선택하고 리소스 그룹 이름을 입력합니다.

    3. 고유한 키 자격 증명 모음 이름을 입력합니다.

    4. 지역 및 가격 책정 계층을 선택합니다.

    5. 새로운 키 자격 증명 모음에 제거 보호를 사용하도록 설정합니다.

    6. 액세스 정책 탭에서 권한 모델Azure 역할 기반 액세스 제어를 선택합니다.

    7. 검토 + 만들기를 선택한 다음, 만들기를 선택합니다.

      키 자격 증명 모음을 만드는 방법을 보여 주는 스크린샷

    Key Vault에 액세스하는 Key Vault 이름 및 URI 애플리케이션은 이 URI를 사용해야 합니다.

    자세한 내용은 빠른 시작 - Azure Portal을 사용하여 Azure Key Vault 만들기를 참조하세요.

    고객이 Key Vault 암호화 책임자 역할을 사용자 계정에 할당

    이 단계에서는 암호화 키를 만들 수 있습니다.

    1. 키 자격 증명 모음으로 이동하고, 왼쪽 창에서 액세스 제어(IAM)를 선택합니다.
    2. 이 리소스에 대한 액세스 권한 부여에서 역할 할당 추가를 선택합니다.
    3. Key Vault 암호화 책임자를 검색하여 선택합니다.
    4. 구성원 탭에서 사용자, 그룹 또는 서비스 주체를 선택합니다.
    5. 구성원을 선택하고 사용자 계정을 검색합니다.
    6. 검토 + 할당을 선택합니다.

    고객이 암호화 키 생성

    암호화 키를 만들려면 사용자의 계정에 Key Vault 암호화 책임자 역할 또는 키를 만들 수 있는 다른 역할이 할당되어야 합니다.

    1. Key Vault 속성 페이지에서 를 선택합니다.
    2. 생성/가져오기를 선택합니다.
    3. 키 만들기 화면에서 키의 이름을 지정합니다. 다른 값은 기본값으로 그대로 둡니다.
    4. 만들기를 실행합니다.
    5. 키 URI를 복사합니다.

    고객이 서비스 공급자의 애플리케이션에 키 자격 증명 모음에 대한 액세스 권한 부여

    키 자격 증명 모음에 액세스할 수 있도록 서비스 공급자의 등록된 애플리케이션에 Azure RBAC 역할 Key Vault 암호화 서비스 암호화 사용자를 할당합니다.

    1. 키 자격 증명 모음으로 이동하고, 왼쪽 창에서 액세스 제어(IAM)를 선택합니다.
    2. 이 리소스에 대한 액세스 권한 부여에서 역할 할당 추가를 선택합니다.
    3. Key Vault 암호화 서비스 암호화 사용자를 선택합니다.
    4. 구성원 탭에서 사용자, 그룹 또는 서비스 주체를 선택합니다.
    5. 구성원을 선택하고 서비스 공급자에서 설치한 애플리케이션의 이름을 검색합니다.
    6. 검토 + 할당을 선택합니다.

    이제 키 자격 증명 모음 URI와 키를 사용하여 고객 관리형 키를 구성할 수 있습니다.

    다른 테넌트의 키로 암호화된 새 스토리지 계정 만들기

    지금까지 ISV의 테넌트에 다중 테넌트 애플리케이션을 구성하고, 고객의 테넌트에 애플리케이션을 설치하고, 고객의 테넌트에서 키 자격 증명 모음과 키를 구성했습니다. 다음으로 ISV의 테넌트에 새 스토리지 계정을 만들고 고객 테넌트의 키를 사용하여 고객 관리형 키를 구성할 수 있습니다.

    스토리지 계정을 만드는 동안 고객 관리형 키를 구성할 경우 기존의 사용자가 할당한 관리 ID를 사용하여 키 자격 증명 모음에 대한 액세스 권한을 부여해야 합니다. 사용자가 할당한 관리 ID에는 키 자격 증명 모음에 액세스할 수 있는 적절한 권한이 있어야 합니다. 자세한 내용은 Azure Key Vault에 인증을 참조하세요.

    기존 스토리지 계정에 대해 고객 관리형 키를 사용하여 암호화를 구성하는 경우 연결된 키 자격 증명 모음에서 새 버전을 사용할 수 있을 때마다 Azure Storage 암호화에 사용되는 키 버전을 자동으로 업데이트하도록 선택할 수 있습니다. 이렇게 하려면 키 URI에서 키 버전을 생략합니다. 또는, 키 버전이 수동으로 업데이트될 때까지 암호화에 사용할 키 버전을 명시적으로 지정할 수 있습니다. 키 URI에 키 버전을 포함하면 키 버전을 수동으로 업데이트하도록 고객 관리형 키가 구성됩니다.

    Important

    키를 회전하려면 Azure Key Vault에서 새 버전의 키를 만듭니다. Azure Storage는 키 회전을 처리하지 않으므로 키 자격 증명 모음에서 키 회전을 관리해야 합니다. Azure Key Vault에서 키 자동 회전을 구성하거나 키를 수동으로 회전할 수 있습니다.

    Azure Storage는 키 자격 증명 모음에서 새 키 버전을 매일 한 번만 확인합니다. Azure Key Vault에서 키를 회전하는 경우 오래된 버전을 사용하지 않도록 설정하려면 먼저 24시간을 기다려야 합니다.

    Azure Portal에서 새 스토리지 계정의 테넌트 간 고객 관리형 키를 구성하려면 다음 단계를 따릅니다.

    1. Azure Portal에서 ISV 테넌트의 스토리지 계정 페이지로 이동하고 만들기 단추를 선택하여 새 계정을 만듭니다.

    2. 스토리지 계정 만들기에 설명된 단계를 수행하여 기본, 고급, 네트워킹데이터 보호 탭의 필드를 채웁니다.

    3. 암호화 탭의 고객 관리형 키에 대한 지원을 사용하도록 설정 필드에서 고객 관리형 키에 대한 지원을 사용하도록 설정하려는 서비스를 나타냅니다.

    4. 암호화 유형 필드에서 CMK(고객 관리형 키)를 선택합니다.

    5. 암호화 키 필드에서 키 자격 증명 모음의 키 입력을 선택하고 키 URI를 지정합니다. Azure Storage에서 새로운 키 버전을 자동으로 확인하고 업데이트하도록 하려면 URI에서 키 버전을 생략합니다.

    6. 사용자가 할당한 ID 필드의 경우 이전에 ISV 테넌트에서 만든 사용자가 할당한 관리 ID를 검색합니다.

    7. 고급 섹션을 확장하고, 이전에 ISV의 테넌트에서 만든 다중 테넌트 등록 애플리케이션을 선택합니다.

      Azure Portal에서 새 스토리지 계정의 테넌트 간 고객 관리형 키를 구성하는 방법을 보여주는 스크린샷

    8. 검토 단추를 선택하여 유효성을 검사하고 계정을 만듭니다.

    새 스토리지 계정을 만들 때 키 버전의 수동 업데이트를 사용하여 고객 관리형 키를 구성할 수도 있습니다. 이렇게 하려면 키 URI를 지정할 때 키 버전을 포함하세요.

    키 변경

    Azure Storage 암호화에 사용하는 키는 언제든지 변경할 수 있습니다.

    참고 항목

    키 또는 키 버전을 변경하면 루트 암호화 키의 보호 상태가 변경되지만, Azure Storage 계정의 데이터는 항상 암호화된 상태로 유지됩니다. 데이터를 보호하기 위해 취해야 할 추가 조치는 없습니다. 키를 변경하거나 키 버전을 회전해도 성능에 영향을 주지는 않습니다. 키 변경 또는 키 버전 회전과 관련된 가동 중지 시간은 없습니다.

    Azure Portal을 사용하여 키를 변경하려면 다음 단계를 수행합니다.

    1. 스토리지 계정으로 이동하여 암호화 설정을 표시합니다.
    2. 키 자격 증명 모음을 선택하고 새 키를 선택합니다.
    3. 변경 내용을 저장합니다.

    고객 관리형 키를 사용하는 스토리지 계정에 대한 액세스 권한 철회

    고객 관리형 키를 사용하는 스토리지 계정에 대한 액세스 권한을 일시적으로 철회하려면 키 자격 증명 모음에서 현재 사용되는 키를 사용하지 않도록 설정합니다. 키를 사용하지 않도록 설정했다가 다시 사용하도록 설정하는 일과 관련하여 나타나는 성능상의 영향이나 가동 중지 시간은 없습니다.

    키를 사용하지 않도록 설정하면 클라이언트가 Blob 또는 해당 메타데이터에서 읽거나 쓰는 작업을 호출할 수 없습니다. 실패할 작업에 대한 자세한 내용은 고객 관리형 키를 사용하는 스토리지 계정에 대한 액세스 권한 철회를 참조하세요.

    주의

    Key Vault에서 키를 사용하지 않도록 설정하면 Azure Storage 계정의 데이터가 암호화된 상태로 유지되지만, 키를 다시 사용하도록 설정할 때까지 액세스할 수 없게 됩니다.

    Azure Portal에서 고객 관리형 키를 사용하지 않도록 설정하려면 다음 단계를 따릅니다.

    1. 키가 포함된 키 자격 증명 모음으로 이동합니다.

    2. 개체에서 를 선택합니다.

    3. 키를 마우스 오른쪽 단추로 클릭하고 사용 안 함을 선택합니다.

      키 자격 증명 모음에서 고객 관리형 키를 사용하지 않도록 설정하는 방법을 보여 주는 스크린샷.

    Microsoft 관리형 키로 다시 전환

    Azure Portal, PowerShell 또는 Azure CLI를 사용하여 언제든지 고객 관리형 키에서 Microsoft 관리형 키로 다시 전환할 수 있습니다.

    Azure Portal을 통해 고객 관리형 키에서 Microsoft 관리형 키로 다시 전환하려면 다음 단계를 따릅니다.

    1. 본인의 저장소 계정으로 이동합니다.

    2. 보안 + 네트워킹에서 암호화를 선택합니다.

    3. 암호화 유형Microsoft 관리형 키로 변경합니다.

      스토리지 계정에 대해 Microsoft 관리형 키로 전환하는 방법을 보여 주는 스크린샷.

    참고 항목