자습서: Windows VM 시스템 할당 관리 ID를 사용하여 Azure Key Vault에 액세스
Azure 리소스에 대한 관리 ID는 Microsoft Entra ID의 기능입니다. Azure 리소스에 대한 관리 ID를 지원하는 각 Azure 서비스는 자체 타임라인을 따릅니다. 시작하기 전에 리소스의 관리 ID 가용성 상태와 알려진 문제를 검토하세요.
이 자습서에서는 Windows VM(가상 머신)이 시스템 할당 관리 ID를 사용하여 Azure Key Vault에 액세스하는 방법을 보여줍니다. Key Vault를 사용하면 클라이언트 애플리케이션에서 비밀을 사용하여 Microsoft Entra ID로 보호되지 않는 리소스에 액세스할 수 있습니다. 관리 ID는 Azure에서 자동으로 관리됩니다. 코드에 인증 정보를 포함하지 않고 Microsoft Entra 인증을 지원하는 서비스에 인증할 수 있습니다.
다음 방법에 대해 설명합니다.
- Key Vault에 저장된 비밀 액세스 권한을 VM에 부여
- VM ID를 사용하여 액세스 토큰을 가져온 다음 Key Vault에서 비밀을 검색하는 데 사용
필수 조건
- 관리 ID에 대한 이해. Azure 리소스에 대한 관리 ID 기능이 익숙하지 않은 경우 개요를 참조하세요.
- Azure 계정, 체험 계정에 등록합니다.
- 적절한 범위(사용자 구독 또는 리소스 그룹)에서 필요한 리소스 생성 및 역할 관리 단계를 수행할 수 있는 "소유자" 권한. 역할 할당에 관한 도움이 필요한 경우 Azure 역할을 할당하여 Azure 구독 리소스에 대한 액세스 관리를 참조하세요.
- 시스템 할당 관리 ID가 활성화된 Windows 가상 머신도 필요합니다.
- 이 자습서에 대한 가상 머신을 만들어야 하는 경우 시스템 할당 ID가 설정된 가상 머신 만들기라는 제목의 문서를 수행하면 됩니다.
주요 자격 증명 모음 만들기
팁
이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.
이 섹션에서는 Key Vault에 저장된 비밀에 대한 액세스 권한을 VM에 부여하는 방법을 보여줍니다. Azure 리소스의 관리 ID를 사용할 때 코드에서 Microsoft Entra 인증을 지원하는 리소스에 인증하기 위한 액세스 토큰을 가져올 수 있습니다. 그러나 모든 Azure 서비스가 Microsoft Entra 인증을 지원하는 것은 아닙니다. 이러한 서비스에서 Azure 리소스에 대한 관리 ID를 사용하려면 Azure Key Vault에 서비스 자격 증명을 저장하고 VM의 관리 ID로 Key Vault에 액세스하여 자격 증명을 검색합니다.
먼저 Key Vault를 만들고, VM의 시스템 할당 관리 ID 액세스 권한을 Key Vault에 부여해야 합니다.
[Azure portal]portal](https://portal.azure.com/)에 로그인합니다.
왼쪽 탐색 모음의 맨 위에서 리소스 만들기를 선택합니다.
Marketplace 검색 상자에 Key Vault를 입력하고 Enter를 누릅니다.
결과 목록에서 Key Vault를 선택합니다.
만들기를 실행합니다.
새 키 자격 증명 모음의 이름을 제공합니다.
필요한 모든 정보를 입력합니다. 이 자습서에서 사용할 구독 및 리소스 그룹을 선택해야 합니다.
검토 + 만들기를 선택합니다.
만들기를 선택합니다.
비밀 만들기
다음으로, Key Vault에 비밀을 추가하면 나중에 VM에서 실행 중인 코드를 사용하여 비밀을 검색할 수 있습니다. 이 자습서에서는 PowerShell을 사용하지만 이 가상 머신에서 실행되는 모든 코드에 동일한 개념이 적용됩니다.
새로 만든 Key Vault로 이동합니다.
비밀을 선택하고 추가를 선택합니다.
생성/가져오기를 선택합니다.
업로드 옵션의 비밀 만들기 화면에서 수동을 선택한 상태로 둡니다.
비밀의 이름과 값을 입력합니다. 원하는 어떤 값이나 입력할 수 있습니다.
활성화 날짜와 만료 날짜는 비워 두고 사용 가능은 예로 유지합니다.
만들기를 선택하여 비밀을 만듭니다.
액세스 허가
가상 머신에서 사용하는 관리 ID에는 Key Vault에 저장할 비밀을 읽을 수 있는 액세스 권한이 부여되어야 합니다.
새로 만든 Key Vault로 이동합니다.
왼쪽 메뉴에서 액세스 정책을 선택합니다.
액세스 정책 추가를 선택합니다.
템플릿에서 구성(선택 사항) 아래의 액세스 정책 추가 섹션의 풀다운 메뉴에서 비밀 관리를 선택합니다.
주체 선택을 선택하고 검색 필드에 앞에서 만든 VM의 이름을 입력합니다. 결과 목록에서 VM을 선택하고 선택을 선택합니다.
추가를 선택합니다.
저장을 선택합니다.
데이터 액세스
이 섹션에서는 VM ID를 사용하여 액세스 토큰을 가져오고 이를 사용하여 Key Vault에서 비밀을 검색하는 방법을 보여줍니다. PowerShell 4.3.1 이상이 설치되어 있지 않으면 최신 버전을 다운로드하고 설치해야 합니다.
먼저 VM의 시스템 할당 관리 ID를 사용하여 Key Vault에 인증하기 위한 액세스 토큰을 가져옵니다.
- Portal에서 Virtual Machines -> Windows 가상 머신으로 이동한 다음, 개요에서 연결을 선택합니다.
- Windows VM을 만들 때 추가한 사용자 이름과 암호를 입력합니다.
- 이제 가상 머신에 대한 원격 데스크톱 연결을 만들었으므로 원격 세션에서 PowerShell을 엽니다.
- PowerShell에서 테넌트에 대해 웹 요청을 호출하여 VM의 특정 포트에서 로컬 호스트용 토큰을 가져옵니다.
PowerShell 요청은 다음과 같습니다.
$Response = Invoke-RestMethod -Uri 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fvault.azure.net' -Method GET -Headers @{Metadata="true"}
다음과 같이 응답 내용을 확인할 수 있습니다.
다음으로는 응답에서 액세스 토큰을 추출합니다.
$KeyVaultToken = $Response.access_token
마지막으로 PowerShell의 Invoke-WebRequest 명령을 사용하여 앞에서 Key Vault에 만든 비밀을 검색하고 인증 헤더에서 액세스 토큰을 전달합니다. Key Vault 개요 페이지의 기본 정보 섹션에 있는 Key Vault의 URL이 필요합니다.
Invoke-RestMethod -Uri https://<your-key-vault-URL>/secrets/<secret-name>?api-version=2016-10-01 -Method GET -Headers @{Authorization="Bearer $KeyVaultToken"}
응답은 다음과 같습니다.
value id attributes
----- -- ----------
'My Secret' https://mi-lab-vault.vault.azure.net/secrets/mi-test/50644e90b13249b584c44b9f712f2e51 @{enabled=True; created=16…
Key Vault에서 비밀을 검색한 후에는 이름과 암호가 필요한 서비스에 인증하는 데 비밀을 사용할 수 있습니다.
리소스 정리
리소스를 정리하려면 Azure Portal로 로그인하여 리소스 그룹을 선택하고 이 자습서의 프로세스에서 만든 리소스 그룹(예: mi-test)을 찾아서 선택한 다음, 리소스 그룹 삭제 명령을 사용합니다.
또는 PowerShell 또는 CLI를 통해 리소스를 정리할 수도 있습니다.
다음 단계
이 자습서에서는 Windows VM 시스템 할당 관리 ID를 사용하여 Azure Key Vault에 액세스하는 방법을 알아보았습니다. Azure Key Vault에 대한 자세한 내용은 다음을 참조하세요.