사용자 할당 관리 ID 및 고객 관리형 TDE로 구성된 서버 만들기

적용 대상:Azure SQL Database

이 방법 가이드에서는 Azure Key Vault에 액세스하기 위해 사용자가 할당한 관리 ID를 사용하여 CMK(고객 관리형 키) 기반 TDE(투명한 데이터 암호화)로 구성된 Azure의 논리 서버를 생성하는 단계를 간략하게 설명합니다.

참고 항목

Microsoft Entra ID는 이전의 Azure Active Directory(Azure AD)입니다.

필수 조건

• 이 방법 가이드에서는 이미 Azure Key Vault를 만들고 Azure SQL Database의 TDE 보호기로 사용할 키를 가져왔다고 가정합니다. 자세한 내용은 BYOK 지원을 통한 투명한 데이터 암호화를 참조하세요.
• 키 자격 증명 모음에서 일시 삭제 및 제거 보호를 사용하도록 설정해야 합니다.
• 사용자 할당 관리 ID를 만들어 위의 키 자격 증명 모음에 필요한 TDE 권한(Get, Wrap Key, Unwrap Key)을 제공해야 합니다. 사용자 할당 관리 ID를 만들 경우 사용자 할당 관리 ID 만들기를 참조하세요.
• Azure PowerShell이 설치되어 작동해야 합니다.
• [권장 선택 사항] HSM(하드웨어 보안 모듈)이나 로컬 키 저장소의 TDE 보호기에 대한 키 자료를 먼저 만들고 키 자료를 Azure Key Vault로 가져옵니다. HSM(하드웨어 보안 모듈) 및 Key Vault 사용 지침에 따라 자세히 알아봅니다.

CMK(고객 관리형 키)를 사용하여 TDE로 구성된 서버 만들기

다음 단계에서는 사용자 할당 관리 ID가 할당된 새 Azure SQL Database 논리 서버와 새 데이터베이스를 만드는 프로세스를 간략하게 설명합니다. 서버 생성 시 TDE에 대한 고객 관리형 키를 구성하는 데 사용자 할당 관리 ID가 필요합니다.

포털

1. Azure Portal에서 SQL 배포 선택 옵션 페이지로 이동합니다.

2. Azure Portal에 아직 로그인하지 않은 경우 메시지가 표시되면 로그인합니다.

3. SQL 데이터베이스에서 리소스 유형을 단일 데이터베이스로 설정한 상태로 두고 만들기를 선택합니다.

4. SQL 데이터베이스 만들기 양식의 기본 탭에 있는 프로젝트 세부 정보 아래에서 원하는 Azure 구독을 선택합니다.

5. 리소스 그룹에 새로 만들기를 선택하고, 새 리소스 그룹의 이름을 입력한 다음, 확인을 선택합니다.

6. 데이터베이스 이름에 ContosoHR를 입력합니다.

7. 서버에 대해 새로 만들기를 선택하고 새 서버 양식을 다음 값으로 입력합니다.

   • 서버 이름: 고유한 서버 이름을 입력합니다. 서버 이름은 구독 내에서만 고유한 것이 아니라 Azure의 모든 서버에 대해 전역적으로 고유해야 합니다. mysqlserver135와 같은 항목을 입력하면 Azure Portal에서 사용 가능한지 여부를 알려줍니다.
   • 서버 관리자 로그인: 관리자 로그인 이름(예: azureuser)을 입력합니다.
   • 암호: 암호 요구 사항을 충족하는 암호를 입력하고, 암호 확인 필드에 다시 입력합니다.
   • 위치: 드롭다운 목록에서 위치를 선택합니다.

8. 완료되면 다음: 네트워킹을 선택합니다.

9. 네트워킹 탭에서 연결 방법에 대해 퍼블릭 엔드포인트를 선택합니다.

10. 방화벽 규칙의 경우 현재 클라이언트 IP 주소 추가를 예로 설정합니다. Azure 서비스 및 리소스가 이 서버에 액세스할 수 있도록 허용을 아니요로 설정된 상태로 둡니다.

    

11. 페이지 하단에서 다음: 보안을 선택합니다.

12. 보안 탭의 서버 ID에서 ID 구성을 선택합니다.

    

13. ID 창에서 시스템이 할당한 관리 ID에 대해 끄기를 선택한 다음, 사용자가 할당한 관리 ID에서 추가를 선택합니다. 원하는 구독을 선택한 다음, 사용자가 할당한 관리 ID 아래에서 선택한 구독에서 원하는 사용자가 할당한 관리 ID를 선택합니다. 그런 다음, 추가 단추를 선택합니다.

    

    

14. 기본 ID 아래의 이전 단계에서 선택한 동일한 사용자 할당 관리 ID를 선택합니다.

    

15. 적용을 선택합니다.

16. 보안 탭의 투명한 데이터 암호화 키 관리에는 서버 또는 데이터베이스에 대한 투명한 데이터 암호화를 구성하는 옵션이 있습니다.

    • 서버 수준 키의 경우: 투명한 데이터 암호화 구성을 선택합니다. 고객 관리형 키를 선택하면 키 선택을 선택하는 옵션이 표시됩니다. 키 변경을 선택합니다. TDE에 사용할 고객 관리형 키에 대해 원하는 구독, 키 자격 증명 모음, 키 및 버전을 선택합니다. 선택 단추를 누릅니다.

    

    

    • 데이터베이스 수준 키의 경우: 투명한 데이터 암호화 구성을 선택합니다. 데이터베이스 수준 고객 관리형 키를 선택하면 데이터베이스 ID 및 고객 관리형 키를 구성하는 옵션이 표시됩니다. 13단계와 유사하게 데이터베이스에 대해 사용자가 할당한 관리 ID를 구성하려면 구성을 선택합니다. 키 변경을 선택하여 고객 관리형 키를 구성합니다. TDE에 사용할 고객 관리형 키에 대해 원하는 구독, 키 자격 증명 모음, 키 및 버전을 선택합니다. 또한 투명한 데이터 암호화 메뉴에서 키 자동 순환을 사용하도록 설정하는 옵션도 있습니다. 선택 단추를 누릅니다.

    

17. 적용을 선택합니다.

18. 페이지 아래쪽에서 검토 + 만들기를 선택합니다.

19. 검토 + 만들기 페이지에서 검토 후 만들기를 선택합니다.

Azure CLI

Azure CLI의 현재 릴리스 설치에 대한 자세한 내용은 Azure CLI 설치 문서를 참조하세요.

az sql server create 명령을 사용하여 사용자 할당 관리 ID 및 고객 관리형 TDE로 구성된 서버를 만듭니다.

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid
 

az sql db create 명령을 사용하여 데이터베이스를 만듭니다.

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

PowerShell

PowerShell을 사용하여 사용자 할당 관리 ID 및 고객 관리형 TDE로 구성된 서버를 만듭니다.

Az PowerShell 모듈 설치 지침은 Azure PowerShell 설치를 참조하세요. 특정 cmdlet은 AzureRM.Sql을 참조하세요.

New-AzSqlServer cmdlet을 사용합니다.

예제에서 다음 값을 바꿉니다.

• <ResourceGroupName>: Azure SQL 논리 서버에 대한 리소스 그룹의 이름
• <Location>: 서버의 위치(예: West US 또는 Central US)
• <ServerName>: 고유한 Azure SQL 논리 서버 이름을 사용합니다.
• <ServerAdminName>: SQL 관리자 로그인
• <ServerAdminPassword>: SQL 관리자 암호
• <IdentityType>: 서버에 할당할 ID 유형. 가능한 값은 SystemAssigned, UserAssigned, SystemAssigned,UserAssigned 및 None입니다.
• <UserAssignedIdentityId>: 서버에 할당할 사용자 할당 관리 ID 목록(하나 또는 여러 개일 수 있음)
• <PrimaryUserAssignedIdentityId>: 이 서버에서 기본 또는 기본값으로 사용해야 하는 사용자 할당 관리 ID
• <CustomerManagedKeyId>: 키 식별자이며 Key Vault의 키에서 검색할 수 있습니다.

사용자 할당 관리 ID 리소스 ID를 가져오려면 Azure Portal에서 관리 ID를 검색합니다. 관리 ID를 찾아 속성으로 이동합니다. UMI 리소스 ID의 예는 /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>와 같습니다.

# create a server with user-assigned managed identity and customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
}

New-AzSqlServer @params

ARM 템플릿

다음은 사용자가 할당한 관리 ID 및 고객 관리형 TDE로 Azure에서 논리 서버를 생성하는 ARM 템플릿의 예제입니다. 또한 템플릿은 서버에 대한 Microsoft Entra 관리자 집합을 추가하고 Microsoft Entra 전용 인증을 활성화할 수 있지만 템플릿 예제에서 제거할 수 있습니다.

ARM 템플릿에 대한 자세한 내용은 Azure SQL Database 및 SQL Managed Instance용 Azure Resource Manager 템플릿을 참조하세요.

Azure Portal의 사용자 지정 배포를 사용하고 편집기에서 사용자 고유의 템플릿을 빌드합니다. 다음으로, 예제에 붙여넣은 후에 구성을 저장합니다.

사용자 할당 관리 ID 리소스 ID를 가져오려면 Azure Portal에서 관리 ID를 검색합니다. 관리 ID를 찾아 속성으로 이동합니다. UMI 리소스 ID의 예는 /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>와 같습니다.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The key vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2020-11-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

다음 단계

• TDE에 대한 Azure Key Vault 통합 및 BYOK(Bring Your Own Key) 지원 시작: Key Vault에서 고유 키를 사용하여 TDE를 설정합니다.