Azure Fluid Relay 암호화를 위한 고객 관리형 키
자체 암호화 키를 사용하여 Azure Fluid Relay 리소스의 데이터를 보호할 수 있습니다. CMK(고객 관리형 키)를 지정하는 경우 해당 키는 데이터를 암호화하는 키에 대한 액세스를 보호하고 제어하는 데 사용됩니다. CMK를 사용하면 훨씬 더 유연하게 액세스 제어를 관리할 수 있습니다.
다음 Azure 키 저장소 중 하나를 사용하여 CMK를 저장해야 합니다.
CMK를 사용하도록 설정하려면 새 Azure Fluid Relay 리소스를 만들어야 합니다. 기존 Fluid Relay 리소스의 CMK 사용/사용 안 함을 변경할 수 없습니다.
또한 Fluid Relay의 CMK는 관리 ID를 사용하며 CMK를 사용하도록 설정할 때 관리 ID를 Fluid Relay 리소스에 할당해야 합니다. Fluid Relay 리소스 CMK에는 사용자 할당 ID만 허용됩니다. 관리 ID에 대한 자세한 내용은 여기를 참조하세요.
CMK를 사용하여 Fluid Relay 리소스를 구성하는 것은 아직 Azure Portal을 통해 수행할 수 없습니다.
CMK를 사용하여 Fluid Relay 리소스를 구성하는 경우 Azure Fluid Relay 서비스는 Fluid 세션 아티팩트가 저장된 Azure Storage 계정 범위에서 적절한 CMK 암호화 설정을 구성합니다. Azure Storage의 CMK에 대한 자세한 내용은 여기를 참조하세요.
Fluid Relay 리소스가 CMK를 사용하고 있는지 확인하려면 GET을 전송하여 리소스의 속성을 확인하고 encryption.customerManagedKeyEncryption의 비어 있지 않은 유효한 속성이 있는지 확인할 수 있습니다.
필수 구성 요소:
Azure Fluid Relay 리소스에서 CMK를 구성하기 전에 다음 필수 구성 요소를 충족해야 합니다.
- 키는 Azure Key Vault에 저장해야 합니다.
- EC 키는 WRAP 및 UNWRAP을 지원하지 않으므로 키는 EC 키가 아닌 RSA 키여야 합니다.
- 1단계에서 키 자격 증명 모음에 필요한 권한(GET, WRAP 및 UNWRAP)을 사용하여 사용자가 할당한 관리 ID를 만들어야 합니다. 자세한 내용은 여기를 참조 하세요. AKV의 키 사용 권한에서 GET, WRAP 및 UNWRAP을 부여하세요.
- Azure Key Vault, 사용자 할당 ID 및 Fluid Relay 리소스는 동일한 지역 및 동일한 Microsoft Entra 테넌트에 있어야 합니다.
CMK를 사용하여 Fluid Relay 리소스 만들기
PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group name> /providers/Microsoft.FluidRelay/fluidRelayServers/< Fluid Relay resource name>?api-version=2022-06-01 @"<path to request payload>"
요청 페이로드 형식:
{
"location": "<the region you selected for Fluid Relay resource>",
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
“<User assigned identity resource ID>": {}
}
},
"properties": {
"encryption": {
"customerManagedKeyEncryption": {
"keyEncryptionKeyIdentity": {
"identityType": "UserAssigned",
"userAssignedIdentityResourceId": "<User assigned identity resource ID>"
},
"keyEncryptionKeyUrl": "<key identifier>"
}
}
}
}
예 userAssignedIdentities 및 userAssignedIdentityResourceId: /subscriptions/ xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/testGroup/providers/Microsoft.ManagedIdentity/userAssignedIdentities/testUserAssignedIdentity
예 keyEncryptionKeyUrl: https://test-key-vault.vault.azure.net/keys/testKey/testKeyVersionGuid
참고:
- Identity.type은 UserAssigned여야 합니다. Fluid Relay 리소스에 할당된 관리 ID의 ID 유형입니다.
- Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyIdentity.identityType은 UserAssigned여야 합니다. CMK에 사용해야 하는 관리 ID의 ID 유형입니다.
- Identity.userAssignedIdentities에서 둘 이상을 지정할 수 있지만 지정된 Fluid Relay 리소스에 할당된 하나의 사용자 ID만 CMK가 암호화를 위해 키 자격 증명 모음에 액세스하는 데 사용됩니다.
- Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyIdentity.userAssignedIdentityResourceId는 CMK에 사용해야 하는 사용자 할당 ID의 리소스 ID입니다. Identity.userAssignedIdentities의 ID 중 하나여야 합니다(CMK에 사용하기 전에 ID를 Fluid Relay 리소스에 할당해야 함). 또한 키에 필요한 권한이 있어야 합니다(keyEncryptionKeyUrl에서 제공).
- Properties.encryption.customerManagedKeyEncryption.keyEncryptionKeyUrl은 CMK에 사용되는 키 식별자입니다.
기존 Fluid Relay 리소스의 CMK 설정 업데이트
기존 Fluid Relay 리소스에서 다음 CMK 설정을 업데이트할 수 있습니다.
- 키 암호화 키에 액세스하는 데 사용되는 ID를 변경합니다.
- 키 암호화 키 식별자(키 URL)를 변경합니다.
- 키 암호화 키의 키 버전을 변경합니다.
CMK를 사용하도록 설정한 후에는 기존 Fluid Relay 리소스에서 CMK를 사용하지 않도록 설정할 수 없습니다.
요청 URL:
PATCH https://management.azure.com/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.FluidRelay/fluidRelayServers/<fluid relay server name>?api-version=2022-06-01 @"path to request payload"
키 암호화 키 URL을 업데이트하기 위한 요청 페이로드 예제:
{
"properties": {
"encryption": {
"customerManagedKeyEncryption": {
"keyEncryptionKeyUrl": "https://test_key_vault.vault.azure.net/keys/testKey /xxxxxxxxxxxxxxxx"
}
}
}
}