다음을 통해 공유


Azure Cloud Services에 Key Vault VM(가상 머신) 확장 적용(추가 지원)

이 문서에서는 Windows용 Azure Key Vault VM 확장에 대한 기본 정보를 제공하고 Azure Cloud Services에서 사용하도록 설정하는 방법을 보여 줍니다.

Key Vault VM 확장이란?

Key Vault VM 확장은 Azure Key Vault에 저장된 인증서의 자동 새로 고침을 제공합니다. 특히 확장은 Key Vault에 저장되어 있는 관찰된 인증서 목록을 모니터링합니다. 확장에서 변경 내용을 감지하면 해당 인증서를 검색하고 설치합니다. 자세한 내용은 Windows용 Key Vault VM 확장을 참조하세요.

Key Vault VM 확장의 새로운 기능

이제 Azure Cloud Services(확장 지원) 플랫폼에서 Key Vault VM 확장이 지원되어 엔드투엔드 인증서를 관리할 수 있습니다. 이제 확장은 구성된 키 자격 증명 모음에서 미리 정의된 폴링 간격으로 인증서를 끌어와서 서비스에서 사용할 수 있도록 설치할 수 있습니다.

Key Vault VM 확장을 사용하려면 어떻게 해야 하나요?

다음 절차에서는 먼저 자격 증명 모음에 부트스트랩 인증서를 만들어 Microsoft Entra ID에서 토큰을 가져와 Azure Cloud Services에 Key Vault VM 확장을 설치하는 방법을 보여 줍니다. 이 토큰은 자격 증명 모음을 사용하여 확장을 인증하는 데 도움이 됩니다. 인증 프로세스를 설정하고 확장을 설치한 후에는 모든 최신 인증서를 정기적으로 폴링 간격에 따라 자동으로 끌어옵니다.

참고 항목

Key Vault VM 확장은 Windows 인증서 저장소의 모든 인증서를 다운로드하거나 VM 확장 설정의 certificateStoreLocation 속성에서 제공한 위치로 다운로드합니다. 현재 Key Vault VM 확장은 로컬 시스템 관리자 계정에만 인증서의 프라이빗 키에 대한 액세스 권한을 부여합니다.

필수 조건

Azure Key Vault VM 확장을 사용하려면 Microsoft Entra 테넌트가 있어야 합니다. 자세한 내용은 빠른 시작: 테넌트 설정을 참조하세요.

Azure Key Vault VM 확장을 사용하도록 설정

  1. 자격 증명 모음에서 인증서를 생성하고 해당 인증서에 대한 .cer 파일을 다운로드합니다.

  2. Azure Portal에서 앱 등록으로 이동합니다.

    앱 등록을 포함하여 Azure Portal에서 사용할 수 있는 리소스의 스크린샷.

  3. 앱 등록 페이지에서 신규 등록을 선택합니다.

    Azure Portal의 앱 등록 페이지를 보여 주는 스크린샷.

  4. 다음 페이지에서 양식을 작성하고 앱 만들기를 완료합니다.

  5. 인증서의 .cer 파일을 Microsoft Entra 앱 포털에 업로드합니다.

    필요에 따라 Key Vault에 대한 Azure Event Grid 알림 기능을 사용하여 인증서를 업로드할 수 있습니다.

  6. Key Vault에서 Microsoft Entra 앱 비밀 권한을 부여합니다.

    • RBAC(역할 기반 액세스 제어) 미리 보기를 사용하는 경우 생성한 Microsoft Entra 앱의 이름을 검색하여 Key Vault 비밀 사용자(미리 보기) 역할에 할당합니다.
    • 자격 증명 모음 액세스 정책을 사용하는 경우 생성한 Microsoft Entra 앱에 Secret-Get 권한을 할당합니다. 자세한 내용은 액세스 정책 할당을 참조하세요.
  7. cloudService 리소스에 대한 Azure Resource Manager 템플릿 조각을 사용하여 Key Vault VM 확장을 설치합니다.

    {
        "osProfile":
        {
            "secrets":
            [
                {
                    "sourceVault":
                    {
                        "id": "[parameters('sourceVaultValue')]"
                    },
                    "vaultCertificates":
                    [
                        {
                            "certificateUrl": "[parameters('bootstrpCertificateUrlValue')]"
                        }
                    ]
                }
            ]
        },
        "extensionProfile":
        {
            "extensions":
            [
                {
                    "name": "KVVMExtensionForPaaS",
                    "properties":
                    {
                        "type": "KeyVaultForPaaS",
                        "autoUpgradeMinorVersion": true,
                        "typeHandlerVersion": "1.0",
                        "publisher": "Microsoft.Azure.KeyVault",
                        "settings":
                        {
                            "secretsManagementSettings":
                            {
                                "pollingIntervalInS": "3600",
                                "certificateStoreName": "My",
                                "certificateStoreLocation": "LocalMachine",
                                "linkOnRenewal": false,
                                "requireInitialSync": false,
                                "observedCertificates": "[parameters('keyVaultObservedCertificates']"
                            },
                            "authenticationSettings":
                            {
                                "clientId": "Your AAD app ID",
                                "clientCertificateSubjectName": "Your boot strap certificate subject name [Do not include the 'CN=' in the subject name]"
                            }
                        }
                    }
                }
            ]
        }
    }
    

    ServiceDefinition.csdef에서 부트스트랩 인증서에 대한 인증서 저장소를 지정해야 할 수 있습니다.

        <Certificates>
                 <Certificate name="bootstrapcert" storeLocation="LocalMachine" storeName="My" />
        </Certificates> 
    

다음 단계

Azure Cloud Services(추가 지원)에서 모니터링을 사용하도록 설정하여 배포를 더욱 개선합니다.