고객 관리형 키를 사용하여 백업 데이터 암호화

Azure Backup을 사용하여 기본적으로 사용하도록 설정된 PMK(플랫폼 관리형 키) 대신 CMK(고객 관리형 키)를 통해 백업 데이터를 암호화할 수 있습니다. 백업 데이터를 암호화하는 키는 Azure Key Vault에 저장되어 있어야 합니다.

백업 암호화에 사용하는 암호화 키는 원본에 사용하는 암호화 키와 다를 수 있습니다. AES 256 기반 DEK(데이터 암호화 키)는 데이터를 보호하는 데 도움이 됩니다. KEK(키 암호화 키)는 DEK를 보호하는 데 도움이 됩니다. 데이터와 키를 완전히 제어할 수 있습니다.

암호화를 허용하려면 Backup 자격 증명 모음에 Key Vault의 암호화 키에 액세스하는 권한을 부여해야 합니다. 필요한 경우 키를 변경할 수 있습니다.

이 문서에서는 다음 방법을 설명합니다.

• Recovery Services 자격 증명 모음을 만듭니다.
• CMK를 사용하여 백업 데이터를 암호화하도록 Recovery Services 자격 증명 모음을 구성합니다.
• CMK를 통해 암호화된 자격 증명 모음에 데이터를 백업합니다.
• 백업에서 데이터를 복원합니다.

고려 사항

• 이 기능(Azure Backup을 사용하여 CMK를 통해 백업 데이터 암호화)을 사용하여 ‘새 Recovery Services 자격 증명 모음만’ 암호화할 수 있습니다. 등록했거나 등록하려고 시도하는 기존 항목을 포함하는 모든 자격 증명 모음은 지원되지 않습니다.

• Recovery Services 자격 증명 모음에 CMK를 사용하여 암호화를 사용하도록 설정한 후에는 PMK(기본값)를 사용하도록 되돌릴 수 없습니다. 요구 사항에 맞게 암호화 키를 변경할 수 있습니다.

• 이 기능은 현재 ‘MARS(Microsoft Azure Recovery Services) 에이전트를 통한 백업을 지원하지 않으며’, MARS 에이전트를 통한 백업에 CMK로 암호화한 자격 증명 모음을 사용하지 못할 수도 있습니다. MARS 에이전트는 암호 기반 암호화를 사용합니다. 또한 이 기능은 클래식 배포 모델에서 만든 가상 머신(VM)의 백업을 지원하지 않습니다.

• 해당 기능은 BitLocker(Windows의 경우) 및 DM-Crypt(Linux의 경우)를 사용하여 VM 디스크의 게스트 기반 암호화를 사용하는 Azure Disk Encryption과 관련이 없습니다.

• Azure Key Vault에 저장되고 ‘동일한 지역’에 있는 키를 사용하여 Recovery Services 자격 증명 모음을 암호화할 수 있습니다. 또한 키는 지원되는 RSA 키이고 사용하도록 설정된 상태여야 합니다.

• 현재 리소스 그룹 및 구독에서 CMK 암호화된 Recovery Services 자격 증명 모음의 이동은 지원되지 않습니다.

• 이미 암호화된 Recovery Services 자격 증명 모음을 CMK를 통해 새 테넌트로 이동하는 경우, 자격 증명 모음의 관리 ID 및 CMK(새 테넌트에 있어야 함)를 다시 만들고 구성하기 위해 Recovery Services 자격 증명 모음을 업데이트해야 합니다. 자격 증명 모음을 업데이트하지 않으면 백업 및 복원 작업이 실패합니다. 또한 구독 내에서 설정한 모든 역할 기반 액세스 제어(Azure RBAC) 권한을 다시 구성해야 합니다.

• 이 기능은 Azure Portal 및 PowerShell을 통해 구성할 수 있습니다. Recovery Services 자격 증명 모음의 백업에 CMK를 사용하려면 Az 모듈 5.3.0 이상을 사용해야 합니다.

  Warning

  백업에 대한 암호화 키를 관리하기 위해 PowerShell을 사용하는 경우에는 포털에서 키를 업데이트하지 않는 것이 좋습니다. 포털에서 키를 업데이트하면 새 모델을 지원하기 위한 PowerShell 업데이트를 사용할 수 있을 때까지 PowerShell을 사용하여 키를 추가로 업데이트할 수 없습니다. 그러나 Azure Portal에서 키를 계속 업데이트할 수 있습니다.

• Recovery Services 자격 증명 모음을 만들고 구성하지 않은 경우 이 문서를 참조하세요.

고객 관리형 키를 사용하여 암호화하도록 자격 증명 모음 구성

자격 증명 모음을 구성하려면 다음 작업을 순서대로 수행합니다.

1. Recovery Services 자격 증명 모음에 관리 ID를 사용하도록 설정합니다.

2. Recovery Services 자격 증명 모음에 사용 권한을 할당하여 Azure Key Vault의 암호화 키에 액세스합니다.

3. Azure Key Vault에서 일시 삭제 및 제거 방지를 사용하도록 설정합니다.

4. Recovery Services 자격 증명 모음에 암호화 키를 할당합니다.

다음 섹션에서는 이들 옵션 각각에 대해 상세히 설명합니다.

Recovery Services 자격 증명 모음에 관리 ID를 사용하도록 설정합니다.

Azure Backup은 시스템 할당 관리 ID와 사용자가 할당한 관리 ID를 사용하여 Azure Key Vault에 저장된 암호화 키에 액세스하기 위해 Recovery Services 자격 증명 모음을 인증합니다. 사용할 관리 ID를 선택할 수 있습니다.

참고 항목

관리 ID를 사용하도록 설정한 후에는 일시적으로라도 사용하지 않도록 설정하지 ‘말아야’ 합니다. 관리 ID를 사용하지 않도록 설정하면 일관성이 없는 동작이 발생할 수 있습니다.

해당 자격 증명 모음에 대한 시스템 할당 관리 ID 사용

다음과 같이 클라이언트를 선택합니다.

Azure Portal

1. Recovery Services 자격 증명 모음>ID로 이동합니다.

2. 할당된 시스템 탭을 선택합니다.

3. 상태를 켜짐으로 변경합니다.

4. 저장을 선택하여 자격 증명 모음에 대한 ID를 사용하도록 설정합니다.

이전 단계들은 자격 증명 모음의 시스템 할당 관리 ID인 개체 ID를 생성합니다.

PowerShell

Update-AzRecoveryServicesVault 명령을 사용하여 Recovery Services 자격 증명 모음에 대한 시스템 할당 관리 ID를 사용하도록 설정합니다.

예시:

$vault=Get-AzRecoveryServicesVault -ResourceGroupName "testrg" -Name "testvault"

Update-AzRecoveryServicesVault -IdentityType SystemAssigned -ResourceGroupName TestRG -Name TestVault

$vault.Identity | fl

출력

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : SystemAssigned

CLI

az backup vault identity assign 명령을 사용하여 Recovery Services 자격 증명 모음에 대한 시스템 할당 관리 ID를 사용하도록 설정합니다.

예시:

az backup vault identity assign --system-assigned --resource-group MyResourceGroup --name MyVault

출력

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : SystemAssigned

사용자가 할당한 관리 ID를 자격 증명 모음에 할당(미리 보기)

참고 항목

CMK 암호화에 사용자 할당 관리 ID를 사용하는 자격 증명 모음은 백업에 대해 프라이빗 엔드포인트 사용을 지원하지 않습니다.

특정 네트워크에 대한 액세스를 제한하는 Key Vault는 아직 CMK 암호화용 사용자 할당 관리 ID와 함께 사용할 수 없습니다.

Recovery Services 자격 증명 모음에 사용자가 할당한 관리 ID를 할당하려면 클라이언트를 선택합니다.

Azure Portal

1. Recovery Services 자격 증명 모음>ID로 이동합니다.

2. 사용자 할당(미리 보기) 탭을 선택합니다.

3. + 추가를 선택하여 사용자가 할당한 관리 ID를 추가합니다.

4. 사용자 할당 관리 ID 추가 패널에서 ID에 대한 구독을 선택합니다.

5. 목록에서 ID를 선택합니다. ID 또는 리소스 그룹의 이름을 기준으로 필터링할 수도 있습니다.

6. 추가를 선택하여 ID 할당을 완료합니다.

PowerShell

Update-AzRecoveryServicesVault 명령을 사용하여 Recovery Services 자격 증명 모음에 대한 사용자 할당 관리 ID를 사용하도록 설정합니다.

예시:

$vault = Get-AzRecoveryServicesVault -Name "vaultName" -ResourceGroupName "resourceGroupName"
$identity1 = Get-AzUserAssignedIdentity -ResourceGroupName "resourceGroupName" -Name "UserIdentity1"
$identity2 = Get-AzUserAssignedIdentity -ResourceGroupName "resourceGroupName" -Name "UserIdentity2"
$updatedVault = Update-AzRecoveryServicesVault -ResourceGroupName $vault.ResourceGroupName -Name $vault.Name -IdentityType UserAssigned -IdentityId $identity1.Id, $identity2.Id

$updatedVault.Identity | fl

출력

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : UserAssigned
UserAssignedIdentities : {[/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/UserIdentity1, Microsoft.Azure.Management.RecoveryServices.Models.UserIdentity],[/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/UserIdentity2,Microsoft.Azure.Management.RecoveryServices.Models.UserIdentity]}

CLI

az backup vault identity assign 명령을 사용하여 Recovery Services 자격 증명 모음에 대한 시스템 할당 관리 ID를 사용하도록 설정합니다.

예시:

az backup vault identity assign --user-assigned MyIdentityId1 --resource-group MyResourceGroup --name MyVault

출력

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : UserAssigned
UserAssignedIdentities : {[/subscriptions/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/resourceGroups/resourceGroupName/providers/Microsoft.ManagedIdentity/userAssignedIdentities/MyIdentityId1,Microsoft.Azure.Management.RecoveryServices.Models.UserIdentity]}

Recovery Services 자격 증명 모음에 사용 권한을 할당하여 Azure Key Vault의 암호화 키에 액세스

이제 암호화 키가 포함된 키 자격 증명 모음에 Recovery Services 자격 증명 모음의 관리 ID가 액세스하도록 허용해야 합니다.

사용자 할당 ID를 사용하는 경우, 동일한 권한을 할당해야 합니다.

다음과 같이 클라이언트를 선택합니다.

Azure Portal

1. ‘키 자격 증명 모음’>액세스 정책으로 이동합니다. 액세스 정책 추가를 선택합니다.

   

2. 키에 허용할 작업을 지정합니다. 키 권한에서 가져오기, 목록, 키 래핑 해제, 키 래핑 작업을 선택합니다.

   

3. 보안 주체 선택으로 이동하여 해당 이름 또는 관리 ID를 사용하여 검색 상자에서 자격 증명 모음을 검색합니다. 자격 증명 모음이 표시되면 선택한 다음 패널 아래쪽에서 선택을 선택합니다.

   

4. 추가를 선택하여 새로운 액세스 정책을 추가합니다.

5. 저장을 선택하여 키 자격 증명 모음의 액세스 정책에서 변경한 내용을 저장합니다.

Key Vault Crypto Officer 역할과 같이 이전에 언급한 권한이 포함된 Recovery Services 자격 증명 모음에 RBAC 역할을 할당할 수도 있습니다. 이 역할에는 추가 권한이 포함될 수 있습니다.

PowerShell

Get-AzADServicePrincipal 명령을 사용하여 Recovery Services 자격 증명 모음의 보안 주체 ID를 가져옵니다. 그 후 Set-AzKeyVaultAccessPolicy 명령에서 이 ID를 사용하여 키 자격 증명 모음에 대한 액세스 정책을 설정합니다.

예시:

$sp = Get-AzADServicePrincipal -DisplayName MyVault
$Set-AzKeyVaultAccessPolicy -VaultName myKeyVault -ObjectId $sp.Id -PermissionsToKeys get,list,unwrapkey,wrapkey

CLI

az ad sp list 명령을 사용하여 Recovery Services 자격 증명 모음의 보안 주체 ID를 가져옵니다. 그 후 az keyvault set-policy 명령에서 이 ID를 사용하여 키 자격 증명 모음에 대한 액세스 정책을 설정합니다.

예시:

az ad sp list --display-name MyVault
az keyvault set-policy --name myKeyVault --object-id <object-id> --key-permissions get,list,unwrapkey,wrapkey

Azure Key Vault에서 일시 삭제 및 제거 방지 사용

암호화 키를 저장하는 키 자격 증명 모음에 대해 일시 삭제 및 제거 방지를 사용하도록 설정해야 합니다.

다음과 같이 클라이언트를 선택합니다.

Azure Portal

다음 스크린샷과 같이 Azure Key Vault 인터페이스에서 일시 삭제 및 제거 보호를 사용하도록 설정할 수 있습니다. 또는 키 자격 증명 모음을 만드는 동안 이러한 속성을 설정할 수 있습니다. 이러한 Key Vault 속성에 대해 자세히 알아보세요.

PowerShell

1. Azure 계정 로그인:

   Login-AzAccount
   

2. 자격 증명 모음을 포함하는 구독을 선택합니다.

   Set-AzContext -SubscriptionId SubscriptionId
   

3. 일시 삭제 사용:

   ($resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "AzureKeyVaultName").ResourceId).Properties | Add-Member -MemberType "NoteProperty" -Name "enableSoftDelete" -Value "true"
   

   Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
   

4. 제거 방지 사용:

   ($resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "AzureKeyVaultName").ResourceId).Properties | Add-Member -MemberType "NoteProperty" -Name "enablePurgeProtection" -Value "true"
   

   Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
   

CLI

1. Azure 계정 로그인:

   az login
   

2. 자격 증명 모음을 포함하는 구독을 선택합니다.

   az account set --subscription "Subscription1"
   

3. 일시 삭제 사용:

   az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-soft-delete true
   

4. 제거 방지 사용:

   az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-purge-protection true
   

Recovery Services 자격 증명 모음에 암호화 키 할당

자격 증명 모음에 암호화 키를 선택하기 전에 다음 작업을 제대로 수행했는지 확인합니다.

• Recovery Services 자격 증명 모음의 관리 ID를 사용하도록 설정하고 필요한 권한을 할당합니다.
• Key Vault에 대해 일시 삭제 및 제거 보호를 사용하도록 설정합니다.
• CMK 암호화를 사용하도록 설정할 Recovery Services 자격 증명 모음에 보호 또는 등록된 항목이 없습니다.

키를 할당하고 단계를 수행하기 위해 클라이언트를 선택합니다.

Azure Portal

1. ‘Recovery Services 자격 증명 모음’>속성으로 이동합니다.

2. 암호화 설정에서 업데이트를 선택합니다.

   

3. 암호화 설정 창에서 사용자별 고유 키 사용을 선택한 뒤, 다음 옵션 중 하나를 사용하여 키를 지정합니다. 사용하도록 설정된 상태인 RSA 키를 사용해야 합니다.

   • 키 URI 입력을 선택합니다. 키 URI 상자에 이 Recovery Services 자격 증명 모음에서 데이터를 암호화하는 데 사용할 키의 URI를 입력합니다. 키 자격 증명 모음에 있는 해당 키에서 이 키 URI를 가져올 수도 있습니다. 구독 상자에 이 키가 포함된 키 자격 증명 모음에 대한 구독을 지정합니다.

     키 URI를 올바르게 복사해야 합니다. 키 식별자와 함께 제공되는 클립보드로 복사 단추를 사용하는 것이 좋습니다.

     

     버전 구성 요소와 함께 전체 키 URI를 사용하여 암호화 키를 지정하는 경우 키가 자동 회전되지 않습니다. 필요한 경우 키나 버전을 새로 지정하여 키를 수동으로 업데이트해야 합니다. 아니면 키 URI의 버전 구성 요소를 제거하여 자동으로 회전시킵니다.

   • Key Vault에서 선택을 선택합니다. 키 선택기 창의 키 자격 증명 모음에서 키를 찾아 선택합니다.

     

     키 선택기 창을 사용하여 암호화 키를 지정하는 경우 키의 새 버전을 사용할 때마다 키가 자동으로 회전합니다. 암호화 키 자동 회전 사용 방법에 대해 자세히 알아보세요.

4. 저장을 선택합니다.

5. 왼쪽 메뉴의 백업 작업 보기를 사용하여 암호화 키 할당의 진행률과 상태를 추적합니다. 상태가 곧 완료로 변경됩니다. 이제 자격 증명 모음에서 지정된 키를 사용하여 모든 데이터를 KEK로 암호화합니다.

   

   암호화 키 업데이트도 자격 증명 모음의 활동 로그에 기록됩니다.

   

PowerShell

Set-AzRecoveryServicesVaultProperty 명령을 사용하여 CMK를 사용하도록 설정하고 암호화 키를 할당하거나 업데이트합니다.

예시:

$keyVault = Get-AzKeyVault -VaultName "testkeyvault" -ResourceGroupName "testrg" 
$key = Get-AzKeyVaultKey -VaultName $keyVault -Name "testkey" 
Set-AzRecoveryServicesVaultProperty -EncryptionKeyId $key.ID -KeyVaultSubscriptionId "xxxx-yyyy-zzzz"  -VaultId $vault.ID


$enc=Get-AzRecoveryServicesVaultProperty -VaultId $vault.ID
$enc.encryptionProperties | fl

출력

EncryptionAtRestType          : CustomerManaged
KeyUri                        : testkey
SubscriptionId                : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 
LastUpdateStatus              : Succeeded
InfrastructureEncryptionState : Disabled

CLI

az backup vault encryption update 명령을 사용하여 CMK를 사용하도록 설정하고 암호화 키를 할당하거나 업데이트합니다.

예시:

az backup vault encryption update --encryption-key-id MyEncryptionKeyId --mi-system-assigned --resource-group MyResourceGroup --name MyVault

출력

EncryptionAtRestType          : CustomerManaged
KeyUri                        : testkey
SubscriptionId                : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx 
LastUpdateStatus              : Succeeded
InfrastructureEncryptionState : Disabled

해당 프로세스는 암호화 키를 업데이트하거나 변경하려는 경우에도 동일합니다. 현재 사용 중인 것과 다른 키 자격 증명 모음에서 키를 업데이트하고 사용하려는 경우 다음을 확인합니다.

• 키 자격 증명 모음이 Recovery Services 자격 증명 모음과 동일한 지역에 있습니다.
• 키 자격 증명 모음에 일시 삭제 및 제거 방지가 설정되어 있습니다.
• Recovery Services 자격 증명 모음에는 키 자격 증명 모음에 액세스하는 데 필요한 권한이 있습니다.

고객 관리 키를 사용하여 암호화된 자격 증명 모음에 데이터 백업

백업 보호 구성 전에 다음을 제대로 수행하였는지 확인합니다.

• Recovery Services 자격 증명 모음을 만들었습니다.
• Recovery Services 자격 증명 모음의 시스템 할당 관리 ID를 사용하도록 설정했거나 사용자가 할당한 관리 ID를 자격 증명 모음에 할당합니다.
• Key Vault에서 암호화 키에 액세스할 수 있도록 Recovery Services 자격 증명 모음(또는 사용자가 할당한 관리 ID)에 권한 할당합니다.
• Key Vault에 대해 일시 삭제 및 제거 방지를 설정합니다.
• Recovery Services 자격 증명 모음에 대한 유효한 암호화 키를 할당합니다.

이 검사 목록은 CMK가 아닌 암호화된 자격 증명 모음에 백업할 항목을 구성한(또는 구성을 시도한) 후에는 CMK 암호화를 사용하도록 설정할 수 없기 때문에 중요합니다. PMK를 계속 사용합니다.

CMK를 통해 암호화된 Recovery Services 자격 증명 모음에 대한 백업을 구성하고 수행하는 프로세스는 PMK를 사용하는 자격 증명 모음에 대한 백업을 구성하고 수행하는 프로세스와 동일합니다. 환경적으로는 달라지는 부분이 없습니다. 이 문은 VM 내에서 실행되는 워크로드(예: SAP HANA 또는 SQL Server 데이터베이스)의 백업뿐만 아니라 Azure VM 백업에도 적용됩니다.

백업에서 데이터 복원

VM 백업에서 데이터 복원

Recovery Services 자격 증명 모음에 저장된 데이터는 이 문서에 설명된 단계에 따라 복원할 수 있습니다. CMK를 사용하여 암호화된 Recovery Services 자격 증명 모음에서 복원하는 경우, 복원된 데이터를 디스크 암호화 집합(DES)을 사용하여 암호화하도록 선택할 수 있습니다.

이 섹션에서 설명하는 환경은 CMK로 암호화된 자격 증명 모음에서 데이터를 복원하는 경우에만 적용됩니다. CMK 암호화를 사용하지 않는 자격 증명 모음에서 데이터를 복원하면, 복원된 데이터는 PMK를 사용하여 암호화됩니다. 즉시 복구 스냅샷에서 복원하는 경우, 복원된 데이터는 원본 디스크를 암호화하는 데 사용한 메커니즘을 사용하여 암호화됩니다.

디스크 또는 VM 복원

스냅샷 복구 지점에서 디스크 또는 VM을 복구하는 경우, 복원된 데이터는 원본 VM의 디스크를 암호화하는 데 사용한 DES로 암호화됩니다.

복구 유형이 자격 증명 모음인 복구 지점에서 디스크 또는 VM을 복원하는 경우, 복원된 데이터를 자신이 지정한 DES를 사용하여 암호화할 수 있습니다. 또는 DES를 지정하지 않고도 데이터를 계속 복원할 수도 있습니다. 이 경우 VM의 암호화 설정이 적용됩니다.

지역 간 복원 중에는 (CMK 지원 Recovery Services 자격 증명 모음에 백업되지 않은) CMK 지원 Azure VM이 보조 지역의 비 CMK 지원 VM으로 복원됩니다.

복원을 시작했을 때 선택된 항목에 관계없이, 복원이 완료된 후 복원된 디스크 또는 VM을 암호화할 수 있습니다.

자격 증명 모음 복구 지점에서 복원하는 동안 디스크 암호화 설정 선택

다음과 같이 클라이언트를 선택합니다.

Azure Portal

복원 창의 암호화 설정에서 DES를 지정하려면 다음 단계를 수행합니다.

1. 키를 사용하여 디스크를 암호화하시겠습니까?에서 예를 선택합니다.

2. 암호화 집합 드롭다운 목록에서 복원된 디스크에 사용할 DES를 선택합니다. DES에 대한 액세스 권한이 있는지 확인합니다.

참고 항목

지역 간 복원을 수행하는 경우 복원 중에 DES를 선택하는 기능이 지원됩니다. 그러나 Azure Disk Encryption을 사용하는 VM을 복원하는 경우 현재 지원되지 않습니다.

PowerShell

매개 변수-DiskEncryptionSetId <string>와 함께 AzRecoveryServicesBackupItem 명령을 사용하여, 복원된 디스크를 암호화할 DES를 지정합니다. VM 백업에서 디스크를 복원하는 방법에 대한 자세한 내용은 이 문서를 참조하세요.

예시:

$namedContainer = Get-AzRecoveryServicesBackupContainer  -ContainerType "AzureVM" -Status "Registered" -FriendlyName "V2VM" -VaultId $vault.ID
$backupitem = Get-AzRecoveryServicesBackupItem -Container $namedContainer  -WorkloadType "AzureVM" -VaultId $vault.ID
$startDate = (Get-Date).AddDays(-7)
$endDate = Get-Date
$rp = Get-AzRecoveryServicesBackupRecoveryPoint -Item $backupitem -StartDate $startdate.ToUniversalTime() -EndDate $enddate.ToUniversalTime() -VaultId $vault.ID
$restorejob = Restore-AzRecoveryServicesBackupItem -RecoveryPoint $rp[0] -StorageAccountName "DestAccount" -StorageAccountResourceGroupName "DestRG" -TargetResourceGroupName "DestRGforManagedDisks" -DiskEncryptionSetId "testdes1" -VaultId $vault.ID

CLI

매개 변수 -DiskEncryptionSetId <string>와 함께 az backup restore restore-disks 명령을 사용하여, 복원된 디스크를 암호화할 DES를 지정합니다.

예시:

az backup recoverypoint list --container-name MyContainer --item-name MyItem --resource-group MyResourceGroup --vault-name MyVault
az backup restore restore-disks --container-name MyContainer --disk-encryption-set-id testdes1 --item-name MyItem --resource-group MyResourceGroup --rp-name MyRp --storage-account mystorageaccount --vault-name MyVault

파일 복원

파일 복원을 수행할 때 복원 데이터는 대상 위치를 암호화하는 데 사용한 키를 사용하여 암호화됩니다.

Azure VM에서 SAP HANA/SQL 데이터베이스 복원

Azure VM에서 실행되는 백업된 SAP HANA 또는 SQL Server 데이터베이스에서 복원하는 경우, 복원된 데이터는 대상 스토리지 위치에서 사용한 암호화 키를 사용하여 암호화됩니다. VM의 디스크를 암호화하는 데 사용되는 CMK 또는 PMK일 수 있습니다.

추가 항목

자격 증명 모음을 만들 때 고객 관리형 키를 사용하여 암호화 사용(미리 보기)

CMK를 사용하여 자격 증명 모음을 만들 때 암호화를 사용하도록 설정하는 것은 제한된 퍼블릭 미리 보기 상태이며 구독 허용 목록이 필요합니다. 미리 보기에 가입하려면 양식을 작성하고 AskAzureBackupTeam@microsoft.com으로 문의해 주세요.

구독이 허용 목록에 있으면 백업 암호화 탭이 표시됩니다. 이 탭을 이용하면 새 Recovery Services 자격 증명 모음을 만드는 동안 CMK를 사용하여 백업에서 암호화를 사용하도록 설정할 수 있습니다.

암호화를 사용하도록 설정하려면 다음 단계를 수행합니다.

1. 백업 암호화 탭에서 암호화 키 및 암호화에 사용할 ID를 지정합니다. 설정은 백업에만 적용되며 선택 사항입니다.

2. 암호화 유형으로 고객 관리형 키 사용을 선택합니다.

3. 암호화에 사용할 키를 지정하려면 암호화 키에 적절한 옵션을 선택합니다. 암호화 키에 대한 URI를 제공하거나 키를 찾아 선택할 수 있습니다.

   Key Vault에서 선택 옵션을 사용하여 키를 지정하면 암호화 키의 자동 회전이 자동으로 사용하도록 설정됩니다. 자동 회전에 대해 자세히 알아봅니다.

4. ID에는 사용자가 할당한 관리 ID를 지정하여, CMK를 사용하여 암호화를 관리할 수 있게 합니다. 선택을 선택하여 필요한 ID를 찾아 선택합니다.

5. 태그 추가(선택 사항) 후에 계속 해서 자격 증명 모음을 만듭니다.

암호화 키의 자동 회전 사용

백업을 암호화하기 위한 CMK를 지정하려면 다음 옵션 중 하나를 사용합니다.

• 키 URI 입력
• Key Vault에서 선택

Key Vault에서 선택 옵션을 사용하면 선택한 키에 대해 자동 회전이 사용하도록 설정됩니다. 이 옵션을 사용하면 수동으로 다음 버전으로 업데이트하지 않아도 됩니다. 그러나 이 옵션을 사용하면 다음 사항이 적용됩니다.

• 키 버전에 대한 업데이트를 적용하는 데 최대 한 시간이 걸릴 수 있습니다.
• 키 업데이트가 적용되면 하나 이상의 후속 백업 작업에 대한 이전 버전(활성화 상태)도 사용할 수 있어야 합니다.

전체 키 URI를 사용하여 암호화 키를 지정하면 키가 자동으로 회전되지 않습니다. 필요한 경우 새 키를 지정하여 수동으로 키 업데이트를 수행해야 합니다. 자동 회전을 사용하도록 설정하려면 키 URI의 버전 구성 요소를 제거합니다.

Azure 정책을 사용하여 고객 관리형 키를 이용해 암호화를 감사하고 적용(미리 보기)

Azure Backup을 사용하면 Azure 정책을 통해 Recovery Services 자격 증명 모음에 있는 CMK를 이용한 데이터 암호화를 감사하고 적용할 수 있습니다. 2021년 4월 1일 이후에 사용하도록 설정된 CMK를 사용하여 암호화된 자격 증명 모음을 감사하는 감사 정책을 사용할 수 있습니다.

2021년 4월 1일 이전에 CMK 암호화를 사용하도록 설정된 자격 증명 모음의 경우에는 정책이 적용되지 않거나 거짓 부정 결과가 표시될 수 있습니다. 즉, 이러한 자격 증명 모음은 CMK 암호화를 사용하도록 설정했더라도 정책 위반으로 보고될 수 있습니다.

2021년 4월 1일 이전에 CMK 암호화가 활성화된 자격 증명 모음 감사에 대한 감사 정책을 사용하려면 Azure Portal을 사용하여 암호화 키를 업데이트합니다. 이 방법을 사용하면 새 모델로 쉽게 업그레이드할 수 있습니다. 암호화 키를 변경하지 않으려면 키 URI 또는 키 선택 옵션을 통해 동일한 키를 다시 제공합니다.

Warning

백업에 대한 암호화 키를 관리하기 위해 PowerShell을 사용하는 경우에는 포털에서 암호화 키를 업데이트하지 않는 것이 좋습니다. 포털에서 키를 업데이트하면 새 모델을 지원하기 위한 PowerShell 업데이트를 사용할 수 있을 때까지 PowerShell을 사용하여 암호화 키를 추가로 업데이트할 수 없습니다. 그러나 포털에서 키를 계속 업데이트할 수 있습니다.

자주 묻는 질문

고객 관리형 키를 사용하여 기존 백업 자격 증명 모음을 암호화할 수 있나요?

아니요. CMK 암호화는 새 자격 증명 모음에만 사용하도록 설정할 수 있습니다. 자격 증명 모음에 보호된 항목이 없었어야 합니다. 실제로 CMK를 사용하여 암호화를 사용하도록 설정하기 전까지는 자격 증명 모음 항목도 보호하려 해선 안 됩니다.

자격 증명 모음에 대한 항목을 보호하려고 했지만 실패했고 자격 증명 모음에 보호된 항목이 아직 포함되어 있지 않습니다. 이러한 자격 증명 모음에 CMK 암호화를 사용하도록 설정할 수 있나요?

아니요. 자격 증명 모음은 과거에 항목을 보호하려고 시도한 적이 없어야 합니다.

CMK 암호화를 사용하는 자격 증명 모음이 있습니다. 나중에 자격 증명 모음으로 보호되는 백업 항목이 있는 경우에도 PMK 암호화로 되돌릴 수 있나요?

아니요. CMK 암호화를 사용하도록 설정한 후에는 PMK 사용으로 되돌릴 수 없습니다. 요구 사항에 맞게 키를 변경할 수 있습니다.

Azure Backup에 대한 CMK 암호화가 Azure Site Recovery에도 적용되나요?

아니요. 이 문서에서는 백업 데이터에 대한 암호화만 설명합니다. Azure Site Recovery의 경우 서비스에서 사용 가능한 속성을 별도로 설정해야 합니다.

이 문서의 단계 중 하나를 누락한 상태로 데이터 원본 보호 단계로 진행했습니다. CMK 암호화를 계속 사용할 수 있나요?

문서의 단계를 따르지 않고 항목 보호를 진행하면 자격 증명 모음에서 CMK 암호화를 사용하지 못할 수 있습니다. 항목을 보호하기 전에 이 검사 목록을 사용하는 것이 좋습니다.

CMK 암호화를 사용하면 백업 비용이 추가되나요?

백업에 CMK 암호화를 사용하는 경우 추가 비용이 발생하지 않습니다. 그러나 키가 저장된 키 자격 증명 모음 사용에 대한 비용이 계속 발생할 수 있습니다.

다음 단계

Azure Backup의 보안 기능 개요