MARS 에이전트 암호를 Azure Key Vault에 안전하게 저장 및 관리

Recovery Services 에이전트(MARS)를 사용하는 Azure Backup을 사용하면 파일/폴더 및 시스템 상태 데이터를 Azure Recovery Services 자격 증명 모음에 백업할 수 있습니다. 이 데이터는 사용자가 MARS 에이전트를 설치하고 등록하는 동안 입력하는 암호를 사용하여 암호화됩니다. 이 암호는 백업 데이터를 검색하고 복원하는 데 필요하며, 안전한 외부 위치에 저장해야 합니다.

Important

이 암호를 분실하면 Microsoft는 Recovery Services 자격 증명 모음에 저장된 백업 데이터를 검색할 수 없습니다. Azure Key Vault처럼 안전한 외부 위치에 이 암호를 저장하는 것이 좋습니다.

이제 새 컴퓨터에 설치하는 동안 그리고 기존 컴퓨터의 암호를 변경하여 MARS 콘솔에서 암호화 암호를 Azure Key Vault에 비밀로 안전하게 저장할 수 있습니다. Azure Key Vault에 암호를 저장할 수 있도록 하려면 Azure Key Vault에 비밀을 만들 수 있는 권한을 Recovery Services 자격 증명 모음에 부여해야 합니다.

시작하기 전에

• 아직 자격 증명 모음이 없는 경우 Recovery Services 자격 증명 모음을 만듭니다.
• 모든 암호를 단일 Azure Key Vault에 저장해야 합니다. 키 자격 증명 모음이 없으면 키 자격 증명 모음을 만듭니다.
• Azure Key Vault 가격 책정은 암호를 저장할 새 Azure Key Vault를 만들 때 적용됩니다.
• Key Vault를 만든 후, 실수로 또는 악의적으로 암호가 삭제되지 않도록 보호하려면 일시 삭제 및 제거 보호를 켭니다.
• 이 기능은 MARS 에이전트 버전 2.0.9262.0 이상이 있는 Azure 퍼블릭 지역에서만 지원됩니다.

Azure Key Vault에 암호를 저장하도록 Recovery Services 자격 증명 모음 구성

Azure Key Vault에 암호를 저장하려면 먼저 Recovery Services 자격 증명 모음과 Azure Key Vault를 구성해야 합니다.

자격 증명 모음을 구성하려면 다음 단계를 주어진 순서대로 수행하여 의도한 결과를 달성해야 합니다. 각 작업은 아래 섹션에서 자세히 설명합니다.

1. Recovery Services 자격 증명 모음에 시스템이 할당한 관리 ID를 사용하도록 설정합니다.
2. 암호를 Azure Key Vault에 비밀로 저장할 수 있는 권한을 Recovery Services 자격 증명 모음에 할당합니다.
3. Azure Key Vault에서 일시 삭제 및 제거 방지를 사용하도록 설정합니다.

참고 항목

• 일단 이 기능을 사용하도록 설정한 후에는 관리 ID를 (일시적으로라도) 사용하지 않도록 설정하면 안 됩니다. 관리 ID를 사용하지 않도록 설정하면 일관성이 없는 동작이 발생할 수 있습니다.
• 현재 사용자가 할당한 관리 ID는 Azure Key Vault에 암호를 저장하는 것을 지원되지 않습니다.

Recovery Services 자격 증명 모음에 시스템이 할당한 관리 ID를 사용하도록 설정

다음과 같이 클라이언트를 선택합니다.

Azure Portal

다음 단계를 수행합니다.

1. Recovery Services 자격 증명 모음>ID로 이동합니다.

   

2. 할당된 시스템 탭을 선택합니다.

3. 상태를 켜기로 변경합니다.

4. 저장을 선택하여 자격 증명 모음에 대한 ID를 사용하도록 설정합니다.

자격 증명 모음의 시스템 할당 관리 ID인 개체 ID가 생성됩니다.

PowerShell

Recovery Services 자격 증명 모음에 시스템이 할당한 관리 ID를 사용하도록 설정하려면 Update-AzRecoveryServicesVault cmdlet을 사용합니다.

예제

$vault=Get-AzRecoveryServicesVault -ResourceGroupName "testrg" -Name "testvault"
Update-AzRecoveryServicesVault -IdentityType SystemAssigned -ResourceGroupName TestRG -Name TestVault
$vault.Identity | fl

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : SystemAssigned

CLI

Recovery Services 자격 증명 모음에 시스템이 할당한 관리 ID를 사용하도록 설정하려면 az backup vault identity assign 명령을 사용합니다.

예제

az backup vault identity assign --system-assigned --resource-group MyResourceGroup --name MyVault

PrincipalId : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
TenantId    : xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Type        : SystemAssigned

Azure Key Vault에 암호를 저장할 수 있는 권한 할당

Key Vault에 대해 구성된 Key Vault 권한 모델(역할 기반 액세스 권한 또는 액세스 정책 기반 권한 모델)에 따라 다음 섹션을 참조하세요.

Key Vault에 역할 기반 액세스 권한 모델을 사용하여 권한 할당

다음과 같이 클라이언트를 선택합니다.

Azure Portal

권한을 할당하려면 다음 단계를 수행합니다.

1. Azure Key Vault>설정>액세스 구성으로 이동하여 권한 모델이 RBAC인지 확인합니다.

   

2. 액세스 제어(IAM)>+추가를 선택하여 역할 할당을 추가합니다.

3. Recovery Services 자격 증명 모음 ID를 사용하려면 암호를 만들고 Key Vault에 비밀로 추가할 수 있도록 비밀에 대한 설정 권한이 필요합니다.

   (이 기능에 필요 없는 다른 권한과 함께) 권한이 있는 Key Vault 비밀 책임자와 같은 기본 제공 역할을 선택해도 되고, 비밀에 대한 설정 권한만 있는 사용자 지정 역할을 만들어도 됩니다.

   세부 정보를 아래 보기를 선택하여 역할에 따라 부여된 권한을 보고 비밀에 대한 설정 권한을 사용할 수 있는지 확인합니다.

   

   

4. 다음을 선택하여 할당할 구성원을 선택합니다.

5. 관리 ID를 선택한 다음, + 구성원 선택을 선택합니다. 대상 Recovery Services 자격 증명 모음의 구독을 선택하고, 시스템이 할당한 관리 ID에서 Recovery Services 자격 증명 모음을 선택합니다.

   Recovery Services 자격 증명 모음의 이름을 검색하여 선택합니다.

   

6. 다음을 선택하고 할당을 검토한 다음, 검토 + 할당을 선택합니다.

   

7. Key Vault에서 액세스 제어(IAM)로 이동하여 역할 할당을 선택하고, Recovery Services 자격 증명 모음이 나열되는지 확인합니다.

   

PowerShell

권한을 할당하려면 다음 cmdlet을 실행합니다.

#Find the application id for your recovery services vault
Get-AzADServicePrincipal -SearchString <principalName>
#Identify a role with Set permission on Secret, like Key Vault Secret Office
Get-AzRoleDefinition | Format-Table -Property Name, IsCustom, Id
#Assign role to Recovery Services Vault identity 
Get-AzRoleDefinition -Name <roleName>
#Assign by Service Principal ApplicationId
New-AzRoleAssignment -RoleDefinitionName 'Key Vault Secrets Officer' -ApplicationId {i.e 8ee5237a-816b-4a72-b605-446970e5f156} -Scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}

CLI

권한을 할당하려면 다음 명령을 실행합니다.

#Find the application id for your recovery services vault
az ad sp list --all --filter "displayname eq '<my recovery vault name>' and servicePrincipalType eq 'ManagedIdentity'"
#Identify a role with Set permission on Secret, like Key Vault Secret Office
az role definition list --query "[].{name:name, roleType:roleType, roleName:roleName}" --output tsv
az role definition list --name "{roleName}"
#Assign role to Recovery Services Vault identity 
az role assignment create --role "Key Vault Secrets Officer" --assignee "<application id>" {i.e "55555555-5555-5555-5555-555555555555"} --scope /subscriptions/{subscriptionid}/resourcegroups/{resource-group-name}/providers/Microsoft.KeyVault/vaults/{key-vault-name}

Key Vault에 액세스 정책 권한 모델을 사용하여 권한 할당

다음과 같이 클라이언트를 선택합니다.

Azure Portal

다음 단계를 수행합니다.

1. Azure Key Vault>액세스 정책>액세스 정책으로 이동한 다음, + 만들기를 선택합니다.

   

2. 비밀 권한에서작업 설정을 선택합니다.

   그러면 비밀에서 허용되는 작업이 지정됩니다.

   

3. 보안 주체 선택으로 이동한 다음, 검색 창에 자격 증명 모음의 이름 또는 관리 ID를 입력하여 자격 증명 모음을 검색합니다.

   검색 결과에서 자격 증명 모음을 선택하고 선택을 누릅니다.

   

4. 검토 + 만들기로 이동하여 권한 설정을 사용할 수 있고 보안 주체가 올바른 Recovery Services 자격 증명 모음인지 확인한 다음, 만들기를 선택합니다.

   

   

PowerShell

Recovery Services 자격 증명 모음의 보안 주체 ID를 가져오려면 Get-AzADServicePrincipal cmdlet을 사용합니다. 그 후 Get-AzADServicePrincipal cmdlet에서 이 ID를 사용하여 Key Vault에 대한 액세스 정책을 설정합니다.

예제

$sp = Get-AzADServicePrincipal -DisplayName MyVault
$Set-AzKeyVaultAccessPolicy -VaultName myKeyVault -ObjectId $sp.Id -PermissionsToSecrets set

CLI

Recovery Services 자격 증명 모음의 보안 주체 ID를 가져오려면 az ad sp list 명령을 사용합니다. 그 후 az keyvault set-policy 명령에서 이 ID를 사용하여 Key Vault에 대한 액세스 정책을 설정합니다.

예제

az ad sp list --display-name MyVault
az keyvault set-policy --name myKeyVault --object-id <object-id> --secret-permissions set

Azure Key Vault에서 일시 삭제 및 제거 방지 사용

암호화 키를 저장하는 Azure Key Vault에 대해 일시 삭제 및 제거 방지를 사용하도록 설정해야 합니다.

클라이언트 선택*

Azure Portal

Azure Key Vault에서 일시 삭제 및 제거 방지를 사용하도록 설정할 수 있습니다.

또는 Key Vault를 만드는 동안 이러한 속성을 설정할 수 있습니다. 이러한 Key Vault 속성에 대해 자세히 알아보세요.

PowerShell

1. Azure 계정에 로그인합니다.

   Login-AzAccount
   

2. 자격 증명 모음을 포함하는 구독을 선택합니다.

   Set-AzContext -SubscriptionId SubscriptionId
   

3. 일시 삭제를 사용하도록 설정합니다.

   ($resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "AzureKeyVaultName").ResourceId).Properties | Add-Member -MemberType "NoteProperty" -Name "enableSoftDelete" -Value "true"
   Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
   

4. 제거 방지를 활성화합니다.

   ($resource = Get-AzResource -ResourceId (Get-AzKeyVault -VaultName "AzureKeyVaultName").ResourceId).Properties | Add-Member -MemberType "NoteProperty" -Name "enablePurgeProtection" -Value "true"
   Set-AzResource -resourceid $resource.ResourceId -Properties $resource.Properties
   
   

CLI

1. Azure 계정에 로그인합니다.

   az login
   

2. 자격 증명 모음을 포함하는 구독을 선택합니다.

   az account set --subscription "Subscription1"
   

3. 일시 삭제 사용

   az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-soft-delete true
   

4. 제거 방지 사용

   az keyvault update --subscription {SUBSCRIPTION ID} -g {RESOURCE GROUP} -n {VAULT NAME} --enable-purge-protection true 
   

Azure Key Vault에 새 MARS 설치 암호 저장

MARS 에이전트를 설치하기 전에, Azure Key Vault에 암호를 저장하도록 Recovery Services 자격 증명 모음을 구성하고 다음 작업을 성공적으로 수행했는지 확인합니다.

1. Recovery Services 자격 증명 모음을 만들었습니다.

2. Recovery Services 자격 증명 모음에 시스템이 할당한 관리 ID를 사용하도록 설정했습니다.

3. Key Vault에 비밀을 만들 수 있는 권한을 Recovery Services 자격 증명 모음에 할당했습니다.

4. Key Vault에 일시 삭제 및 제거 방지를 사용하도록 설정했습니다.

5. 컴퓨터에 MARS 에이전트를 설치하려면 Azure Portal에서 MARS 설치 프로그램을 다운로드한 다음, 설치 마법사를 사용합니다.

6. 등록하는 동안 Recovery Services 자격 증명 모음 자격 증명을 제공한 후, 암호화 설정에서 암호를 Azure Key Vault 저장하는 옵션을 선택합니다.

   

7. 암호를 입력하거나 암호 생성을 선택합니다.

8. Azure Portal에서 Key Vault를 열고, Key Vault URI를 복사합니다.

   

9. MARS 콘솔에 Key Vault URI를 붙여넣은 다음, 등록을 선택합니다.

   오류가 발생하면 문제 해결 섹션을 검사하여 자세한 내용을 확인하세요.

10. 등록에 성공하면 식별자를 비밀에 복사하는 옵션이 만들어지고 암호가 파일에 로컬로 저장되지 않습니다.

    

    나중에 이 MARS 에이전트의 암호를 변경하면 새 버전의 비밀이 최신 암호와 함께 추가됩니다.

설치 스크립트의 Set-OBMachineSetting command에서 새 KeyVaultUri 옵션을 사용하여 이 프로세스를 자동화할 수 있습니다.

Azure Key Vault에 기존 MARS 설치 암호 저장

기존 MARS 에이전트가 설치되어 있고 암호를 Azure Key Vault에 저장하려면 에이전트를 2.0.9262.0 이상 버전으로 업데이트하고 암호 변경 작업을 수행합니다.

MARS 에이전트를 업데이트한 후, Azure Key Vault에 암호를 저장하도록 Recovery Services 자격 증명 모음을 구성하고 다음 작업을 성공적으로 수행했는지 확인합니다.

1. Recovery Services 자격 증명 모음을 만들었습니다.
2. Recovery Services 자격 증명 모음에 시스템이 할당한 관리 ID를 사용하도록 설정했습니다.
3. Key Vault에 비밀을 만들 수 있는 권한을 Recovery Services 자격 증명 모음에 할당했습니다.
4. Key Vault에 대해 일시 삭제 및 제거 방지가 설정됨

암호를 Key Vault 저장하려면 다음을 수행합니다.

1. MARS 에이전트 콘솔을 엽니다.

   암호를 Azure Key Vault에 저장하려면 링크를 선택하라는 배너가 표시됩니다.

   또는 속성 변경>암호 변경을 선택하여 계속 진행합니다.

   

2. 속성 변경 대화 상자에서 Key Vault URI를 입력하여 Key Vault에 암호를 저장하는 옵션이 나타납니다.

   참고 항목

   암호를 Key Vault에 저장하도록 컴퓨터가 이미 구성된 경우 Key Vault URI가 텍스트 상자에 자동으로 채워집니다.

   

3. Azure Portal에서 Key Vault를 연 다음, Key Vault URI를 복사합니다.

   

4. MARS 콘솔에 Key Vault URI를 붙여넣은 다음, 확인을 선택합니다.

   오류가 발생하면 문제 해결 섹션을 검사하여 자세한 내용을 확인하세요.

5. 암호 변경 작업이 성공하면 식별자를 비밀에 복사하는 옵션이 만들어지고 암호가 파일에 로컬로 저장되지 않습니다.

   

   나중에 이 MARS 에이전트의 암호를 변경하면 새 버전의 비밀이 최신 암호와 함께 추가됩니다.

Set-OBMachineSetting cmdlet에서 새 KeyVaultUri 옵션을 사용하여 이 단계를 자동화할 수 있습니다.

Azure Key Vault에서 컴퓨터의 암호 검색

컴퓨터를 사용할 수 없고 대체 위치 복원을 통해 Recovery Services 자격 증명 모음에서 백업 데이터를 복원해야 하는 경우 계속하려면 컴퓨터의 암호가 필요합니다.

암호는 Azure Key Vault에 비밀로 저장됩니다. 컴퓨터마다 하나씩 비밀이 만들어지며, 컴퓨터의 암호가 변경되면 새 버전이 비밀에 추가됩니다. 비밀 이름은 AzBackup-machine fully qualified name-vault name입니다.

컴퓨터의 암호를 찾으려면 다음을 수행합니다.

1. Azure Portal에서 컴퓨터의 암호를 저장하는 데 사용되는 Key Vault를 엽니다.

   한 Key Vault를 사용하여 모든 암호를 저장하는 것이 좋습니다.

2. 비밀을 선택하고 AzBackup-<machine name>-<vaultname>이라는 비밀을 검색합니다.

   

3. 비밀을 선택한 다음, 최신 버전을 열고 비밀 값을 복사합니다.

   이 비밀은 복구하는 동안 사용할 컴퓨터 암호입니다.

   

   Key Vault에 비밀이 여러 개 있는 경우 Key Vault CLI를 사용하여 비밀을 나열하고 검색합니다.

az keyvault secret list --vault-name 'myvaultname’ | jq '.[] | select(.name|test("AzBackup-<myvmname>"))'

일반적인 시나리오 문제 해결

이 섹션에는 암호를 Azure Key Vault에 저장할 때 자주 발생하는 오류가 정리되어 있습니다.

시스템 ID가 구성되지 않음 – 391224

원인: 이 오류는 Recovery Services 자격 증명 모음에서 시스템이 할당한 관리 ID를 구성하지 않은 경우에 발생합니다.

권장 조치: 필수 구성 요소에 따라 Recovery Services 자격 증명 모음에서 시스템이 할당한 관리 ID를 올바르게 구성합니다.

권한이 구성되지 않음 - 391225

원인: Recovery Services 자격 증명 모음에 시스템이 할당한 관리 ID가 있지만 대상 Key Vault에 비밀을 만들 수 있는 설정 권한이 없습니다.

권장 조치:

1. 사용된 자격 증명 모음 자격 증명이 의도한 복구 서비스 자격 증명 모음과 일치하는지 확인합니다.
2. Key Vault URI가 의도한 Key Vault와 일치하는지 확인합니다.
3. Key Vault -> 액세스 정책 -> 애플리케이션 아래에 Recovery Services 자격 증명 모음 이름이 나열되고 비밀 권한이 [설정됨]인지 확인합니다.

나열되지 않으면 권한을 다시 구성합니다.

Azure Key Vault URI가 올바르지 않음 - 100272

원인: 입력한 Key Vault URI가 올바른 형식이 아닙니다.

권장 조치: Azure Portal에서 복사한 Key Vault URI를 입력했는지 확인합니다. 예: https://myvault.vault.azure.net/.

 

UserErrorSecretExistsSoftDeleted(391282)

원인: 예상 형식의 비밀이 Key Vault에 이미 있지만 일시 삭제된 상태입니다. 비밀이 복원되지 않는 한 MARS는 해당 컴퓨터의 암호를 제공된 Key Vault에 저장할 수 없습니다.

권장 작업: 이름이 AzBackup-<machine name>-<vaultname>인 자격 증명 모음에 비밀이 존재하는지 일시 삭제된 상태인지 확인합니다. 일시 삭제된 비밀을 복구하여 암호를 저장합니다.

UserErrorKeyVaultSoftDeleted(391283)

원인: MARS에 제공된 Key Vault가 일시 삭제된 상태입니다.

권장 작업: Key Vault를 복구하거나 새 Key Vault를 제공합니다.

등록이 완료되지 않음

원인: 암호를 등록하여 MARS 등록을 완료하지 않았습니다. 따라서 등록할 때까지 백업을 구성할 수 없습니다.

권장 조치: 경고 메시지를 선택하고 등록을 완료합니다.