Azure Monitor의 데이터는 Microsoft 관리형 키를 사용하여 암호화됩니다. 사용자 고유의 암호화 키를 사용하여 작업 영역의 데이터를 보호할 수 있습니다. Azure Monitor의 고객 관리형 키를 사용하면 암호화 키 수명 주기를 제어하고 로그에 액세스할 수 있습니다. 구성되면 연결된 작업 영역에 수집된 새 데이터가 Azure Key Vault 또는 Azure Key Vault 관리형 HSM (하드웨어 보안 모듈)의 키로 암호화됩니다.
고객 관리형 키 개요
저장 중 데이터 암호화는 조직의 일반적인 개인 정보 보호 및 보안 요구 사항입니다. Azure에서 저장 데이터의 암호화를 완전히 관리하도록 하거나 다양한 옵션을 사용하여 암호화 및 암호화 키를 세부적으로 관리할 수 있습니다.
Azure Monitor를 사용하면 모든 데이터 및 저장된 쿼리가 MMK(Microsoft 관리형 키)를 사용하여 미사용 상태로 암호화됩니다. Azure Monitor의 암호화 사용은 Azure Storage 암호화가 작동하는 방식과 동일합니다.
액세스 데이터를 해지할 수 있는 기능을 사용하여 키 수명 주기를 제어하려면 Azure Key Vault 또는 Azure Key Vault 관리형 HSM에서 사용자 고유의 키를 사용하여 데이터를 암호화합니다. 고객 관리형 키 기능은 전용 클러스터 에서 사용할 수 있으며 더 높은 수준의 보호 및 제어를 제공합니다.
전용 클러스터에 수집된 데이터는 Microsoft 관리형 키 또는 고객 관리형 키를 사용하는 서비스 수준과 인프라 수준에서 두 개의 서로 다른 암호화 알고리즘과 두 개의 서로 다른 키를 사용하여 두 번 암호화됩니다. 이중 암호화는 암호화 알고리즘 또는 키 중 하나가 손상된 시나리오로부터 보호합니다. 전용 클러스터에서는 Lockbox를 사용하여 데이터를 보호할 수도 있습니다.
지난 14일 동안 수집되었거나 최근에 쿼리에 사용된 데이터는 쿼리 효율성을 위해 핫 캐시(SSD 지원)에 보관됩니다. SSD 데이터는 고객 관리형 키를 구성하는지 여부에 관계없이 Microsoft 관리형 키로 암호화되지만 SSD 액세스에 대한 제어는 키 해지를 준수합니다.
중요한
전용 클러스터는 하루에 최소 100GB의 약정 계층 가격 책정 모델을 사용합니다.
Azure Monitor에서 고객 관리형 키가 작동하는 방식
Azure Monitor는 관리 ID를 사용하여 Azure Key Vault에서 키에 대한 액세스 권한을 부여합니다. Log Analytics 클러스터의 ID는 클러스터 수준에서 지원됩니다. 여러 작업 영역에서 고객 관리형 키를 제공하기 위해 Log Analytics 클러스터 리소스는 Key Vault와 Log Analytics 작업 영역 간의 중간 ID 연결 역할을 합니다. 클러스터의 스토리지는 클러스터와 연결된 관리 ID를 사용하여 Microsoft Entra ID를 통해 Azure Key Vault에 인증합니다.
클러스터는 두 가지 관리 ID 유형(시스템 할당 및 사용자 할당)을 지원하지만 시나리오에 따라 클러스터에서 단일 ID를 정의할 수 있습니다.
- 시스템 할당 관리 ID는 보다 간단하며,
identitytype이SystemAssigned로 설정될 때 클러스터와 함께 자동으로 생성됩니다. 이 ID는 나중에 데이터 암호화 및 암호 해독을 위해 Key Vault에 스토리지 액세스 권한을 부여하는 데 사용됩니다. - 사용자가 할당한 관리 ID를 사용하면 클러스터를 만들 때
identitytypeUserAssigned고객 관리형 키를 구성하고 클러스터를 만들기 전에 Key Vault에서 권한을 부여할 수 있습니다.
새 클러스터 또는 데이터를 수집하는 연결된 작업 영역이 있는 기존 전용 클러스터에서 고객 관리형 키를 구성합니다. 클러스터에서 작업 영역 연결 해제는 언제든지 수행할 수 있습니다. 연결된 작업 영역에 수집된 새 데이터는 키로 암호화되고 이전 데이터는 Microsoft 관리형 키로 암호화된 상태로 유지됩니다. 구성은 이전 데이터와 새 데이터 간에 쿼리가 원활하게 수행되는 수집 또는 쿼리를 중단하지 않습니다. 클러스터에서 작업 영역의 연결을 해제하면 수집된 새 데이터가 Microsoft 관리형 키로 암호화됩니다.
중요한
고객 관리형 키 기능은 지역에 따라 다를 수 있습니다. Azure Key Vault, 전용 클러스터 및 연결된 작업 영역은 동일한 지역에 있어야 하지만 다른 구독에 있을 수 있습니다.
- 키 보관소
- Key Vault에 대한 권한이 있는 관리 ID가 있는 Log Analytics 클러스터 리소스 - ID가 기본 전용 클러스터 스토리지로 전파됩니다.
- 전용 클러스터
- 전용 클러스터에 연결된 작업 영역
암호화 키 유형
스토리지 데이터 암호화에는 세 가지 유형의 키가 있습니다.
- KEK - 키 암호화 키(고객 관리형 키)
- AEK - 계정 암호화 키
- DEK - 데이터 암호화 키
다음 규칙이 적용됩니다.
- 클러스터 스토리지에는 AEK라고 하는 모든 스토리지 계정에 대한 고유한 암호화 키가 있습니다.
- AEK는 디스크에 기록된 각 데이터 블록을 암호화하는 데 사용되는 키인 DEK를 파생시키는 데 사용됩니다.
- 클러스터에서 고객 관리형 KEK를 구성하면 클러스터 스토리지가
wrap암호화와 암호 해독을 위해unwrap및 요청을 수행하여 Key Vault에 대한 요청을 합니다. - KEK는 Key Vault를 떠나지 않습니다. Azure Key Vault 관리형 HSM에 키를 저장하는 경우 해당 하드웨어도 떠나지 않습니다.
- Azure Storage는 인증을 위해 클러스터와 연결된 관리 ID를 사용합니다. Microsoft Entra ID를 통해 Azure Key Vault에 액세스합니다.
고객 관리형 키 프로비저닝 단계
- Azure Key Vault 만들기 및 키 저장
- 전용 클러스터 만들기
- Key Vault에 권한 부여
- 키 식별자 세부 정보를 사용하여 전용 클러스터 업데이트
- 작업 영역 연결
고객 관리형 키 구성은 ID 및 키 식별자 세부 정보 설정을 지원하지 않습니다. PowerShell, CLI 또는 REST 요청을 통해 이러한 작업을 수행합니다.
필요한 사용 권한
클러스터 관련 작업을 수행하려면 다음 권한이 필요합니다.
| 작업 | 필요한 권한 또는 역할 |
|---|---|
| 전용 클러스터 만들기 | 예를 들어 Microsoft.Resources/deployments/*에서 제공하는 Microsoft.OperationalInsights/clusters/write 및 권한 |
| 클러스터 속성 변경 | 예를 들어 Microsoft.OperationalInsights/clusters/write에서 제공하는 권한 |
| 작업 영역을 클러스터에 연결 | Microsoft.OperationalInsights/clusters/write, Microsoft.OperationalInsights/workspaces/write, 및 Microsoft.OperationalInsights/workspaces/linkedservices/write 권한은 Log Analytics 기여자 기본 제공 역할에서 제공되는 것입니다, 예를 들어. |
| 작업 영역 연결 상태 확인 | Microsoft.OperationalInsights/workspaces/read 작업 영역에 대한 권한은 예를 들어, Log Analytics 리더 기본 제공 역할에서 제공됩니다. |
| 클러스터 가져오기 또는 클러스터의 프로비전 상태 확인 | 예를 들어 Microsoft.OperationalInsights/clusters/read에서 제공하는 권한 |
| 클러스터에서 약정 계층 또는 청구 유형을 업데이트하십시오. | 예를 들어 Microsoft.OperationalInsights/clusters/write에서 제공하는 권한 |
| 필요한 권한 부여 | */write 권한이 있는 소유자 또는 기여자 역할, 권한이 있는 Microsoft.OperationalInsights/* |
| 클러스터에서 작업 영역 연결 해제 | 예를 들어 Microsoft.OperationalInsights/workspaces/linkedServices/delete에서 제공하는 권한 |
| 전용 클러스터 삭제 | 예를 들어 Microsoft.OperationalInsights/clusters/delete에서 제공하는 권한 |
암호화 키(“KEK”) 저장
Azure Key Management 제품의 포트폴리오에는 사용할 수 있는 자격 증명 모음 및 관리형 HSM이 나열됩니다.
클러스터가 계획되는 지역에서 기존 Azure Key Vault를 사용하거나 새로 만듭니다. Key Vault에서 로그 암호화에 사용할 키를 생성하거나 가져옵니다. Azure Monitor에서 키와 데이터에 대한 액세스를 보호하기 위해 Azure Key Vault를 복구 가능으로 구성해야 합니다. 이 구성은 Key Vault의 속성에서 확인할 수 있습니다. 일시 삭제 및 제거 보호를 모두 사용하도록 설정되어 있어야 합니다.
중요한
만료가 가까워지는 키와 같은 Azure Key Vault 이벤트에 효과적으로 응답하도록 Azure Event Grid 를 통해 알림을 설정하는 것이 좋습니다. 키가 만료되면 수집 및 쿼리는 영향을 받지 않지만 클러스터에서 키를 업데이트할 수는 없습니다. 다음 단계에 따라 해결합니다.
- JSON 보기 아래 Azure Portal의 클러스터 개요 페이지에 사용되는 키 식별
- Azure Key Vault에서 키 만료 날짜 연장
- 항상 최신 버전을 자동으로 사용하도록 클러스터를 활성 키(가급적이면 버전 값 "")로 업데이트합니다.
이러한 설정은 CLI 및 PowerShell을 통해 키 자격 증명 모음(Key Vault)에서 업데이트할 수 있습니다.
클러스터 만들기
클러스터는 Key Vault를 통한 데이터 암호화에 관리 ID를 사용합니다. 클러스터를 만들 때 데이터 암호화 및 복호화 작업을 위해 Key Vault에 대한 액세스를 허용할 수 있도록 identitytype 속성을 SystemAssigned 또는 UserAssigned로 설정하십시오.
예를 들어 시스템 할당 관리 ID에 대한 요청 본문에 이러한 속성을 추가합니다.
{
"identity": {
"type": "SystemAssigned"
}
}
참고
다음 사항을 고려하여 수집 또는 쿼리를 중단하지 않고 클러스터를 만든 후 ID 유형을 변경할 수 있습니다.
전용 클러스터 문서에 설명된 절차를 따릅니다.
Key Vault 권한 부여
Key Vault에는 클러스터 및 언더레이 스토리지에 액세스 권한을 부여하는 두 가지 권한 모델(Azure RBAC(Azure 역할 기반 액세스 제어) 및 자격 증명 모음 액세스 정책(레거시))이 있습니다.
제어하는 Azure RBAC 할당(권장)
역할 할당을 추가하려면
Microsoft.Authorization/roleAssignments/write및Microsoft.Authorization/roleAssignments/delete권한이 있는 역할(예: 사용자 액세스 관리자 또는 소유자)이 있어야 합니다.- Azure Portal에서 Key Vault를 열고 설정>액세스 구성>Azure 역할 기반 액세스 제어 를 선택하고 적용합니다.
- IAM(액세스 제어로 이동)을 선택하고 Key Vault Crypto Service 암호화 사용자 역할 할당을 추가합니다.
- 멤버 탭에서 관리 ID를 선택하고 ID에 대한 구독과 멤버으로서의 ID를 선택합니다.
자격 증명 모음 액세스 정책 할당(레거시)
Azure Portal에서 Key Vault를 열고, 액세스 정책>자격 증명 모음 액세스 정책>+ 액세스 정책 추가를 선택하여 다음 설정으로 정책을 만듭니다.
- 키 권한 -래핑 키> 및 래핑 해제를 선택합니다.
- 클러스터에 사용되는 ID 유형(시스템 또는 사용자가 할당한 관리 ID)에 따라 보안 주체를 선택합니다.
- 시스템이 할당한 관리 ID - 클러스터 이름 또는 클러스터 주체 ID 입력
- 사용자가 할당한 관리 ID - ID 이름 입력
Azure Monitor 데이터에 대한 액세스와 키를 보호하기 위해 Key Vault가 복구 가능으로 구성되었는지 확인하려면 가져오기 권한이 필요합니다.
키 식별자 세부 정보를 사용하여 클러스터 업데이트
클러스터의 모든 작업에는 Microsoft.OperationalInsights/clusters/write 작업 권한이 필요합니다. */write 작업이 포함된 소유자 또는 기여자를 통해 권한을 부여하거나, Microsoft.OperationalInsights/* 작업이 포함된 Log Analytics 기여자 역할을 통해 권한을 부여할 수 있습니다.
이 단계에서는 AEKwrapunwrap및 에 사용할 키 및 버전으로 전용 클러스터 스토리지를 업데이트합니다.
중요한
- 키 회전은 자동 또는 명시적 키 버전별로 수행할 수 있습니다. 클러스터에서 키 식별자 세부 정보를 업데이트하기 전에 적절한 접근 방식을 확인하려면 키 회전을 참조하세요.
- 클러스터 업데이트 시 동일한 작업에 ID 및 키 식별자 세부 정보를 둘 다 포함해서는 안 됩니다. 둘 다 업데이트해야 하는 경우 두 번의 연속 작업으로 업데이트를 수행해야 합니다.
클러스터에서 키 식별자 세부 정보로 KeyVaultProperties을(를) 업데이트합니다.
작업은 비동기식이며 완료하는 데 시간이 걸릴 수 있습니다.
클러스터에 작업 영역 연결
중요한
이 단계는 클러스터 프로비저닝 후에 수행해야 합니다. 프로비전하기 전에 작업 영역을 연결하고 데이터를 수집하면 수집된 데이터가 삭제되고 복구할 수 없습니다.
전용 클러스터 문서에 설명된 절차를 따르세요.
클러스터에서 작업 영역 연결 해제
전용 클러스터 문서에 설명된 절차를 따르세요.
키 해지
중요한
- 데이터에 대한 액세스를 취소하는 권장 방법은 키를 사용하지 않도록 설정하거나 Key Vault에서 액세스 정책을 삭제하는 것입니다.
- 클러스터의
identitytype을None으로 설정하면 데이터에 대한 액세스도 철회되지만, 이 접근 방식은 지원 담당자에게 문의하지 않고 되돌릴 수 없기 때문에 권장되지 않습니다.
클러스터의 스토리지는 항상 1시간 이내에 키 권한의 변경 내용을 준수하며 스토리지를 사용할 수 없게 됩니다. 연결된 작업 영역에 수집된 새 데이터는 삭제되고 복구할 수 없습니다. 이러한 작업 영역에서는 데이터에 액세스할 수 없으며 쿼리가 실패합니다. 클러스터와 작업 영역을 삭제하지 않는 한 이전에 수집된 데이터는 스토리지에서 유지됩니다. 데이터 보존 정책은 액세스할 수 없는 데이터를 제어하고 보존 기간에 도달하면 데이터를 제거합니다. 지난 14일 동안 수집된 데이터와 최근 쿼리에 사용된 데이터도 쿼리 효율성을 위해 핫 캐시(SSD 지원)에 보관됩니다. SSD의 데이터는 키 해지 작업에서 삭제되고 액세스할 수 없게 됩니다. 클러스터 스토리지는 wrap 및 unwrap 작업을 위해 주기적으로 Key Vault에 접근하려고 시도합니다. 키를 사용하도록 설정하고 unwrap 성공하면 SSD 데이터가 스토리지에서 다시 로드됩니다. 데이터 수집 및 쿼리 기능은 30분 이내에 다시 시작됩니다.
키 회전
키 회전에는 두 가지 모드가 있습니다.
- 자동 회전 - 클러스터에서
"keyVaultProperties"속성을 업데이트하고"keyVersion"속성을 생략하거나""으로 설정합니다. 스토리지는 자동으로 최신 키 버전을 사용합니다. - 명시적 키 버전 업데이트—
"keyVaultProperties"속성을 업데이트하고,"keyVersion"속성에서 키 버전을 업데이트합니다. 키 회전을 사용하려면 클러스터에서"keyVersion"속성을 명시적으로 업데이트해야 합니다. 자세한 내용은 키 식별자 세부 정보로 클러스터 업데이트를 참조하세요. Key Vault에서 새 키 버전을 생성하지만 클러스터에서 키를 업데이트하지 않는 경우 클러스터 스토리지는 이전 키를 계속 사용합니다. 클러스터에서 새 키를 업데이트하기 전에 이전 키를 사용하지 않도록 설정하거나 삭제하면 키 해지 상태가 됩니다.
키 회전 작업 중 및 후에 모든 데이터에 액세스할 수 있습니다. 데이터는 Key Vault의 새 키 암호화 키(KEK) 버전으로 암호화되는 계정 암호화 키(AEK)로 항상 암호화됩니다.
저장된 쿼리 및 로그 검색 경고를 위한 고객 관리형 키
Log Analytics에 사용되는 쿼리 언어는 표현적이며 설명 또는 쿼리 구문에 중요한 정보를 포함할 수 있습니다. 일부 조직에서는 이러한 정보가 고객 관리형 키 정책에 따라 보호된 상태로 유지되어야 하며 암호화된 쿼리를 키로 저장해야 합니다. Azure Monitor를 사용하면 작업 영역에 연결될 때 저장된 쿼리 및 키로 암호화된 로그 검색 경고를 자체 스토리지 계정에 저장할 수 있습니다.
워크북에 대한 고객 관리형 키
저장된 쿼리 및 로그 검색 경고에 대한 고객 관리형 키에 대해 언급된 고려 사항을 통해 Azure Monitor를 사용하면 통합 문서 '저장' 작업에서 Azure Storage 계정에 콘텐츠 저장을 선택할 때 키로 암호화된 통합 문서 쿼리를 자신의 스토리지 계정에 저장할 수 있습니다.
참고
쿼리는 고객 관리형 키 구성에 관계없이 Azure 대시보드, Azure Logic App, Azure Notebooks 및 Automation Runbook과 관계없이 다음 시나리오에서 MMK(Microsoft 키)로 암호화된 상태로 유지됩니다.
저장된 쿼리에 대해 스토리지 계정을 연결하면 서비스는 저장된 쿼리와 로그 검색 경고 쿼리를 스토리지 계정에 저장합니다. 스토리지 계정 및 미사용 암호화 정책을 제어하면 고객 관리형 키를 사용하여 저장된 쿼리와 로그 검색 경고를 보호할 수 있습니다. 그러나 해당 스토리지 계정과 관련된 비용은 사용자가 부담합니다.
검색어에 대해 고객 관리형 키를 설정하기 전 고려 사항
- 작업 영역 및 스토리지 계정에 대한 “쓰기” 권한이 있어야 합니다.
- Storage 계정은 StorageV2이고 Log Analytics 작업 영역과 동일한 지역에 있어야 합니다. 쿼리에 스토리지 계정을 연결하면 개인 정보 보호를 위해 작업 영역에서 기존 저장 쿼리 및 함수가 제거됩니다. 구성 전에 기존 저장된 쿼리 및 함수를 복사합니다. PowerShell을 사용하여 저장된 쿼리를 볼 수 있습니다.
- 쿼리 팩에 저장된 쿼리는 연결된 Storage 계정에 저장되지 않으며 고객 관리형 키로 암호화할 수 없습니다. 고객 관리형 키로 쿼리를 보호하려면 레거시로 저장 쿼리 를 사용하는 것이 좋습니다.
- 스토리지에 쿼리 및 함수를 저장하는 것은 서비스 아티팩트로 간주되며 해당 형식이 변경될 수 있습니다.
- 쿼리에 대한 스토리지 계정을 연결할 때는 쿼리 '기록' 및 '대시보드에 고정'이 지원되지 않습니다.
- 저장된 쿼리 및 로그 검색 경고 쿼리에 대해 단일 또는 별도의 Storage 계정을 연결할 수 있습니다.
- 로그 검색 경고는 Blob Storage에 저장되며, 고객 관리형 키 암호화는 스토리지 계정을 만들 때 또는 그 이후에 구성할 수 있습니다.
- 트리거된 로그 검색 경고에는 검색 결과 또는 경고 쿼리가 포함되지 않습니다. 경고 차원을 사용하여 발생한 경고에 대한 컨텍스트를 가져옵니다.
저장된 쿼리를 위한 BYOS 구성
쿼리용 스토리지 계정을 연결하여 스토리지 계정에 저장된 쿼리를 유지합니다.
구성 후에는 새 저장된 검색 쿼리가 스토리지에 저장됩니다.
로그 검색 경고 쿼리를 위한 BYOS 구성
경고용 스토리지 계정을 연결하여 스토리지 계정에 로그 검색 경고 쿼리를 보관합니다.
구성 후에는 새 경고 쿼리가 스토리지에 저장됩니다.
고객 잠금 상자
Lockbox는 지원 요청 중에 데이터에 액세스하는 Microsoft 엔지니어 요청을 승인하거나 거부할 수 있는 컨트롤을 제공합니다.
Lockbox는 Azure Monitor의 전용 클러스터에서 제공되며, 여기서 데이터 액세스 권한은 구독 수준에서 부여됩니다.
Microsoft Azure용 고객 Lockbox에 대해 자세히 알아보세요.
고객 관리형 키 작업
고객 관리형 키는 전용 클러스터에서 제공되며 이러한 작업은 전용 클러스터 문서를 참조하세요.
- 리소스 그룹의 모든 클러스터 가져오기
- 구독의 모든 클러스터 가져오기
- 클러스터의 용량 예약 업데이트
- 클러스터에서 billingType 업데이트
- 클러스터에서 작업 영역 연결 해제
- 클러스터 삭제
제한 사항 및 제약 조건
각 지역과 구독에 최대 5개의 활성 클러스터를 만들 수 있습니다.
각 지역과 구독에 최대 7개의 예약된 클러스터(활성 또는 최근에 삭제됨)가 존재할 수 있습니다.
최대 1,000개의 Log Analytics 작업 영역을 클러스터에 연결할 수 있습니다.
특정 작업 영역에서 최대 두 개의 작업 영역 연결 작업이 30일 동안 허용됩니다.
클러스터를 다른 리소스 그룹 또는 구독으로 이동하는 것은 현재 지원되지 않습니다.
클러스터 업데이트 시 동일한 작업에 ID 및 키 식별자 세부 정보를 둘 다 포함해서는 안 됩니다. 둘 다 업데이트해야 하는 경우 업데이트 작업을 두 번 연속해서 수행해야 합니다.
현재 중국에서는 Lockbox를 사용할 수 없습니다.
Lockbox는 보조 테이블 계획이 있는 테이블에는 적용되지 않습니다.
이중 암호화는 2020년 10월부터 지원되는 지역에서 생성된 클러스터에 자동으로 구성됩니다. 클러스터에
GET요청을 보내고, 이중 암호화가 활성화된 클러스터의 경우isDoubleEncryptionEnabled값이true인지 확인함으로써 클러스터가 이중 암호화로 구성되어 있는지 확인할 수 있습니다.- 클러스터를 만들고 "지역 이름은 클러스터에 이중 암호화를 지원하지 않습니다."라는 오류가 발생하면 REST 요청 본문에 추가하여
"properties": {"isDoubleEncryptionEnabled": false}이중 암호화 없이 클러스터를 만들 수 있습니다. - 클러스터를 만든 후에는 이중 암호화 설정을 변경할 수 없습니다.
- 클러스터를 만들고 "지역 이름은 클러스터에 이중 암호화를 지원하지 않습니다."라는 오류가 발생하면 REST 요청 본문에 추가하여
클러스터에 연결된 동안 연결된 작업 영역을 삭제할 수 있습니다. 일시 삭제 기간 동안 작업 영역을 복구하기로 결정하면 이전 상태로 돌아와 계속 클러스터에 연결되어 있습니다.
고객 관리형 키 암호화는 구성 시간 이후 새로 수집된 데이터에 적용됩니다. 구성 이전에 수집된 데이터는 Microsoft 키로 암호화된 상태로 유지됩니다. 고객 관리형 키 구성 전후에 수집된 데이터를 원활하게 쿼리할 수 있습니다.
Azure Key Vault는 복구 가능으로 구성해야 합니다. 이러한 속성은 기본적으로 사용하도록 설정되지 않으므로 CLI 또는 PowerShell을 사용하여 구성해야 합니다.
Azure Key Vault, 클러스터 및 작업 영역은 동일한 지역 및 동일한 Microsoft Entra 테넌트에 있어야 하지만 구독은 서로 다를 수 있습니다.
클러스터의
identitytype을None으로 설정하면 데이터에 대한 액세스도 철회되지만, 이 접근 방식은 지원 담당자에게 문의하지 않고 되돌릴 수 없기 때문에 권장되지 않습니다. 데이터에 대한 액세스를 철회하는 데 권장되는 방법은 키 해지입니다.Key Vault가 Private-Link(가상 네트워크)에 있는 경우 사용자 할당 관리 ID와 함께 고객 관리형 키를 사용할 수 없습니다. 이 시나리오에서는 시스템 할당 관리 ID를 사용합니다.
문제 해결
Key Vault 가용성별 동작:
일반 작업 스토리지는 짧은 기간 동안 AEK 를 캐시하고 주기적으로 Key Vault로
unwrap돌아갑니다.Key Vault 연결 오류 - 스토리지는 가용성 문제 중에 키를 캐시에 유지하도록 허용하여 일시적인 오류(시간 제한, 연결 실패, DNS 문제)를 처리하고, 블립 및 가용성 문제를 해결합니다. 쿼리 및 수집 기능은 중단 없이 계속됩니다.
Key Vault 액세스 속도 - 클러스터 스토리지가 Key Vault에
wrap액세스하고unwrap작업에 액세스하는 빈도는 6~60초입니다.클러스터가 프로비저닝 상태 또는 업데이트 상태에 있는 동안 클러스터를 업데이트하면 업데이트가 실패합니다.
클러스터를 만들 때 충돌 오류가 발생하면 지난 14일 동안 이름이 같은 클러스터가 삭제되고 해당 이름이 예약되었을 수 있습니다. 삭제된 클러스터 이름은 삭제 후 14일 후에 사용할 수 있게 됩니다.
작업 영역이 다른 클러스터에 연결된 경우 클러스터에 작업 영역을 연결하지 못합니다.
클러스터를 만들고 즉시 지정
KeyVaultProperties하면 ID가 클러스터에 할당되고 Key Vault에 부여될 때까지 작업이 실패할 수 있습니다.기존 클러스터를
KeyVaultProperties업데이트하고GetKey Vault에 키 액세스 정책이 없는 경우 작업이 실패합니다.클러스터를 배포하지 못한 경우 Azure Key Vault, 클러스터 및 연결된 작업 영역이 동일한 지역에 있는지 확인합니다. 서로 다른 구독에 있을 수 있습니다.
Key Vault에서 키를 회전하고 클러스터에서 새 키 식별자 세부 정보를 업데이트하지 않으면 클러스터는 이전 키를 계속 사용하고 데이터에 액세스할 수 없게 됩니다. 클러스터의 새 키 식별자 세부 정보를 업데이트하여 데이터 수집 및 쿼리 기능을 다시 시작합니다. 스토리지에서 항상 최신 키 버전을 자동으로 사용하도록 키 버전을 표기법으로
''업데이트합니다.일부는 장기 작업이며 클러스터 만들기, 클러스터 키 업데이트, 클러스터 삭제 등의 작업을 완료하는 데 시간이 걸릴 수 있습니다. 클러스터 또는 작업 영역에 요청을 전송
GET하여 작업 상태를 확인하고 응답을 관찰할 수 있습니다. 예를 들어, 연결되지 않은 작업 공간에는clusterResourceId아래에features가 없습니다.오류 메시지
클러스터 업데이트
- 400 - 클러스터가 삭제 중 상태입니다. 비동기 작업이 진행 중입니다. 업데이트 작업을 수행하기 전에 클러스터에서 해당 작업을 완료해야 합니다.
- 400 - KeyVaultProperties가 비어 있지 않지만 형식이 잘못되었습니다. 키 식별자 업데이트를 참조하세요.
- 400 - Key Vault의 키 유효성을 검사하지 못했습니다. 권한이 없거나 키가 존재하지 않기 때문일 수 있습니다. Key Vault에서 키 및 액세스 정책을 설정했는지 확인하세요.
- 400 - 키를 복구할 수 없습니다. Key Vault를 일시 삭제 및 제거 보호로 설정해야 합니다. Key Vault 설명서를 참조하세요.
- 400 - 지금은 작업을 실행할 수 없습니다. 비동기 작업이 완료될 때까지 기다렸다가 다시 시도하세요.
- 400 - 클러스터가 삭제 중 상태입니다. 비동기 작업이 완료될 때까지 기다렸다가 다시 시도하세요.
클러스터 가져오기
- 404 - 클러스터를 찾을 수 없습니다. 클러스터가 삭제되었을 수 있습니다. 이 이름을 사용하여 클러스터를 만들려고 할 때 충돌하는 경우, 클러스터가 삭제 프로세스에 있습니다.
다음 단계
- Log Analytics 전용 클러스터 청구에 대해 알아보기
- Log Analytics 작업 영역의 적절한 설계에 대해 알아보기