고객 관리형 키 개요

Azure Container Registry는 저장한 이미지 및 기타 아티팩트를 자동으로 암호화합니다. 기본적으로 Azure는 서비스 관리형 키를 사용하여 미사용 레지스트리 콘텐츠를 자동으로 암호화합니다. 고객 관리형 키를 사용하면 기본 암호화를 추가 암호화 계층으로 보완할 수 있습니다.

이 문서는 4부로 구성된 자습서 시리즈의 2부입니다. 이 자습서에서는 다음 내용을 다룹니다.

• 고객 관리형 키 개요
• 고객 관리형 키 사용
• 고객 관리형 키 회전 및 철회
• 고객 관리형 키 문제 해결

고객 관리형 키 정보

고객 관리형 키는 Azure Key Vault에서 사용자 고유의 키를 가져올 수 있는 소유권을 제공합니다. 고객 관리형 키를 사용하도록 설정하면 순환을 관리하고, 액세스 및 사용 권한을 제어하고, 사용을 감사할 수 있습니다.

주요 기능:

• 규정 준수: Azure는 서비스 관리형 키를 사용하여 미사용 레지스트리 콘텐츠를 자동으로 암호화하지만 고객 관리형 키 암호화는 규정 준수에 대한 지침을 충족하는 데 도움이 됩니다.

• Azure Key Vault와의 통합: 고객 관리형 키는 Azure Key Vault와의 통합을 통해 서버 쪽 암호화를 지원합니다. 고객 관리형 키를 사용하면 사용자 고유의 암호화 키를 만들고 Key Vault에 저장할 수 있습니다. 또는 Azure Key Vault API를 사용하여 키를 생성할 수 있습니다.

• 키 수명 주기 관리: 고객 관리형 키를 Azure Key Vault와 통합하면 순환 및 관리를 포함한 키 수명 주기에 대한 모든 권한과 책임이 부여됩니다.

고객 관리형 키를 사용하도록 설정하기 전에

고객 관리형 키를 사용하여 Azure Container Registry를 구성하기 전에 다음 정보를 고려합니다.

• 이 기능은 컨테이너 레지스트리의 프리미엄 서비스 계층에서 사용할 수 있습니다. 자세한 내용은 Azure Container Registry 서비스 계층을 참조하세요.
• 현재 고객 관리형 키는 레지스트리를 만드는 동안에만 사용하도록 설정할 수 있습니다.
• 레지스트리에서 고객 관리형 키가 사용하도록 설정되면 암호화를 사용하지 않도록 설정할 수 없습니다.
• 키 자격 증명 모음에 액세스할 수 있도록 사용자가 할당한 관리 ID를 구성해야 합니다. 나중에 필요한 경우 키 자격 증명 모음에 액세스하기 위해 레지스트리의 시스템이 할당한 관리 ID를 사용하도록 설정할 수 있습니다.
• Azure Container Registry는 RSA 또는 RSA-HSM 키만 지원합니다. 타원 곡선 키는 현재 지원되지 않습니다.
• 고객 관리형 키를 사용하여 암호화된 레지스트리에서는 작업에 대한 로그를 24시간 동안만 유지할 수 있습니다. 로그를 더 오랜 기간 동안 유지하려면 작업 실행 로그 보기 및 관리를 참조하세요.
• 콘텐츠 신뢰는 현재 고객 관리형 키로 암호화된 레지스트리에서 지원되지 않습니다.

고객 관리형 키 버전 업데이트

Azure Key Vault에서 새 키 버전을 사용할 수 있는 경우 Azure Container Registry는 레지스트리 암호화 키의 자동 및 수동 회전을 모두 지원합니다.

Important

키 버전을 자주 업데이트(순환)하는 것은 고객 관리형 키 암호화를 사용하는 레지스트리에 대한 중요한 보안 고려 사항입니다. 조직의 규정 준수 정책에 따라 키 버전을 정기적으로 업데이트하는 한편 고객 관리형 키를 Azure Key Vault에 저장합니다.

• 키 버전 자동 업데이트: 버전이 지정되지 않은 키로 암호화된 레지스트리를 사용하는 경우 Azure Container Registry는 Key Vault에서 새 키 버전을 정기적으로 확인하고 1시간 이내에 고객 관리형 키를 업데이트합니다. 고객 관리형 키를 사용하여 레지스트리 암호화를 사용하도록 설정할 때 키 버전을 생략하는 것이 좋습니다. 그러면 Azure Container Registry에서 자동으로 최신 키 버전을 사용하고 업데이트합니다.

• 키 버전 수동 업데이트: 특정 키 버전으로 암호화된 레지스트리를 사용하는 경우 Azure Container Registry는 고객 관리형 키를 수동으로 순환할 때까지 해당 버전을 암호화에 사용합니다. 따라서 고객 관리형 키를 사용하여 레지스트리 암호화를 사용하도록 설정할 때 키 버전을 지정하는 것이 좋습니다. 그런 다음, Azure Container Registry는 레지스트리 암호화에 특정 버전의 키를 사용합니다.

자세한 내용은 키 순환 및 키 버전 업데이트를 참조하세요.

다음 단계

• Azure CLI, Azure Portal 또는 Azure Resource Manager 템플릿을 사용하여 고객 관리형 키로 컨테이너 레지스트리를 사용하도록 설정하려면 다음 문서 고객 관리형 키 사용을 계속 진행합니다.
• Azure에서 저장 데이터 암호화에 대해 자세히 알아봅니다.
• 액세스 정책 및 키 자격 증명 모음에 대한 액세스를 보호하는 방법에 대해 자세히 알아봅니다.