다음을 통해 공유


Azure Key Vault 키, 비밀 및 인증서 개요

Azure Key Vault는 Microsoft Azure 애플리케이션 및 사용자가 여러 가지 종류의 비밀/키 데이터(키, 비밀 및 인증서)를 저장하고 사용할 수 있게 도와줍니다. 키, 비밀 및 인증서를 총칭하여 “개체”라고 합니다.

개체 식별자

개체는 개체 식별자라는 대/소문자를 구분하지 않는 식별자를 사용하여 Key Vault 내에서 고유하게 식별됩니다. 지리적 위치에 관계없이, 시스템의 두 개체가 동일한 식별자를 가질 수 없습니다. 식별자는 키 자격 증명 모음, 개체 형식, 사용자가 입력한 개체 이름 및 개체 버전을 식별하는 접두사로 구성됩니다. 개체 버전이 포함되지 않은 식별자를 “기본 식별자”라고 합니다. Key Vault 개체 식별자도 유효한 URL이지만 항상 대/소문자를 구분하지 않는 문자열로 비교해야 합니다.

자세한 내용은 인증, 요청 및 응답을 참조하세요.

개체 식별자의 일반적인 형식은 다음과 같습니다(컨테이너 유형에 따라 다름).

  • 자격 증명 모음의 경우: https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}

  • 관리형 HSM 풀의 경우: https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}

참고 항목

각 컨테이너 형식에서 지원되는 개체 형식은 개체 형식 지원을 참조하세요.

여기서

요소 설명
vault-name 또는 hsm-name Microsoft Azure Key Vault 서비스의 키 자격 증명 모음 또는 관리형 HSM 풀의 이름입니다.

자격 증명 모음 이름 및 관리형 HSM 풀 이름은 사용자가 선택하며 전역적으로 고유합니다.

자격 증명 모음 이름 및 관리형 HSM 풀 이름은 0~9, a~z, A~Z 및 -만 포함된 3~24자 길이의 문자열이어야 합니다.
object-type 개체의 유형, “키”, “비밀” 또는 “인증서”.
object-name object-name은 사용자가 제공한 이름이며 키 자격 증명 모음 내에서 고유해야 합니다. 이름은 0~9, a~z, A~Z 및 -만 포함된 1-127자 길이의 문자열이어야 합니다.
object-version object-version은 시스템에서 생성된 32자의 문자열 식별자이며, 필요에 따라 고유한 버전의 개체를 처리하는 데 사용됩니다.

개체 식별자에 대한 DNS 접미사

Azure Key Vault 리소스 공급자는 자격 증명 모음과 관리형 HSM이라는 두 가지 리소스 유형을 지원합니다. 이 표에서는 다양한 클라우드 환경에서 자격 증명 모음 및 관리형 HSM 풀의 데이터 평면 엔드포인트에서 사용하는 DNS 접미사를 보여 줍니다.

클라우드 환경 자격 증명 모음의 DNS 접미사 관리형 HSM의 DNS 접미사
Azure Cloud .vault.azure.net .managedhsm.azure.net
21Vianet Cloud에서 운영하는 Microsoft Azure .vault.azure.cn 지원되지 않음
Azure 미국 정부 .vault.usgovcloudapi.net 지원되지 않음
Azure 독일 클라우드 .vault.microsoftazure.de 지원되지 않음

개체 유형

이 표에는 개체 식별자의 개체 형식 및 해당 접미사가 나와 있습니다.

Object type 식별자 접미사 자격 증명 모음 관리형 HSM 풀
HSM 보호 키 /keys 지원됨 지원됨
소프트웨어 보호 키 /keys 지원됨 지원되지 않음
비밀 /secrets 지원됨 지원되지 않음
인증서 /certificates 지원됨 지원되지 않음
Storage 계정 키 /storage 지원됨 지원되지 않음
  • 암호화 키: 여러 키 형식 및 알고리즘을 지원하고 소프트웨어 보호 및 HSM 보호 키를 사용할 수 있도록 합니다. 자세한 내용은 키 정보를 참조하세요.
  • 비밀: 암호, 데이터베이스 연결 문자열 등의 비밀을 안전하게 스토리지합니다. 자세한 내용은 비밀 정보를 참조하세요.
  • 인증서: 인증서를 지원합니다. 인증서는 키와 비밀을 기반으로 하며 자동 갱신 기능을 추가합니다. 인증서가 만들어지면 주소 지정 가능한 키와 비밀도 동일한 이름으로 만들어짐에 유의하세요. 자세한 내용은 인증서 정보를 참조하세요.
  • Azure Storage 계정 키: 관리자를 대신하여 Azure Storage 계정의 키를 관리할 수 있습니다. 내부적으로 Key Vault는 Azure Storage 계정을 사용하여 키를 나열(동기화)하고, 주기적으로 키를 다시 생성(회전)할 수 있습니다. 자세한 내용은 Key Vault를 사용하여 스토리지 계정 키 관리를 참조하세요.

Key Vault에 대한 일반적 내용은 Azure Key Vault 정보를 참조하세요. 관리형 HSM 풀에 대한 자세한 내용은 Azure Key Vault 관리형 HSM이란?을 참조하세요.

데이터 형식

키, 암호화 및 서명에 대한 관련 데이터 형식은 JOSE 사양을 참조하세요.

  • 알고리즘 - 키 작업에 지원되는 알고리즘(예: RSA1_5)
  • 암호 텍스트 값 - Base64URL을 사용하여 인코딩된 암호 텍스트 옥텟
  • 다이제스트 값 - Base64URL을 사용하여 인코딩된 해시 알고리즘의 출력
  • 키 유형 - 지원되는 키 유형 중 하나(예: RSA(Rivest-Shamir-Adleman))
  • 일반 텍스트 값 - Base64URL을 사용하여 인코딩된 일반 텍스트 옥텟
  • 서명 값 - Base64URL을 사용하여 인코딩된 서명 알고리즘의 출력
  • base64URL - Base64URL[RFC4648]을 사용하여 인코딩된 이진 값
  • 부울 - true 또는 false 중 하나
  • ID - Microsoft Entra ID의 ID입니다.
  • IntDate - 1970-01-01T0:0:0Z UTC에서 지정된 UTC 날짜/시간까지의 초 수를 나타내는 JSON 10진수 값입니다. 일반적 날짜/시간, 특히 UTC에 대한 자세한 내용은 RFC3339를 참조하세요.

개체, 식별자 및 버전 관리

Key Vault에 저장된 개체는 개체의 새 인스턴스가 만들어질 때마다 버전 관리됩니다. 각 버전에는 고유 개체 식별자가 할당됩니다. 개체가 처음으로 만들어지면 고유한 버전 식별자가 지정되고 개체의 현재 버전으로 표시됩니다. 개체 이름이 동일한 새 인스턴스를 만들면 새 개체에 고유한 버전 식별자가 제공되어 현재 버전이 됩니다.

Key Vault의 개체는 개체의 최신 버전을 가져올 수 있도록 버전을 지정하거나 버전을 생략하여 회수될 수 있습니다. 개체에 대한 작업을 수행하려면 특정 버전의 개체를 사용하도록 버전을 제공해야 합니다.

참고 항목

Azure 리소스 또는 개체 ID에 대해 제공하는 값은 서비스 실행을 위해 전역적으로 복사될 수 있습니다. 제공된 값에는 개인 식별 정보나 중요한 정보가 포함되어서는 안 됩니다.

다음 단계