Azure Key Vault 네트워킹 설정 구성

이 문서에서는 다른 애플리케이션 및 Azure 서비스와 작동하도록 Azure Key Vault 네트워킹 설정을 구성하는 방법에 대한 지침을 제공합니다. 다양한 네트워크 보안 구성에 대해 자세히 알아보려면 여기를 읽어보세요.

Azure Portal, Azure CLI 및 Azure PowerShell을 사용하여 Key Vault 방화벽 및 가상 네트워크를 구성하는 단계별 지침은 다음과 같습니다.

포털

1. 보호하려는 키 자격 증명 모음으로 이동합니다.
2. 네트워킹을 선택한 다음, 방화벽 및 가상 네트워크 탭을 선택합니다.
3. 다음에서 액세스 허용에서 선택한 네트워크를 선택합니다.
4. 방화벽 및 가상 네트워크 규칙에 기존 가상 네트워크를 추가하려면 +기존 가상 네트워크 추가를 선택합니다.
5. 열리는 새 블레이드에서 이 키 자격 증명 모음에 대한 액세스를 허용하려는 구독, 가상 네트워크 및 서브넷을 선택합니다. 선택하는 가상 네트워크 및 서브넷이 서비스 엔드포인트를 사용하지 못하는 경우 서비스 엔드포인트를 사용하도록 설정했는지 확인하고 사용하도록 설정을 선택합니다. 적용되는 데 최대 15분이 걸릴 수 있습니다.
6. IP 네트워크에서 CIDR(Classless inter-domain Routing) 표기법의 IPv4 주소 범위 또는 개별 IP 주소를 입력하여 IPv4 주소 범위를 추가합니다.
7. Microsoft Trusted Services에서 Key Vault 방화벽을 무시하도록 하려면 '예'를 선택합니다. 현재 Key Vault Trusted Services의 전체 목록은 다음 링크를 참조하세요. Azure Key Vault Trusted Services
8. 저장을 선택합니다.

또한 +새 가상 네트워크 추가를 선택하여 새 가상 네트워크 및 서브넷을 추가한 다음, 새로 만든 가상 네트워크 및 서브넷에 대한 서비스 엔드포인트를 사용하도록 설정할 수 있습니다. 그런 다음, 표시되는 메시지를 따릅니다.

Azure CLI

Azure CLI를 사용하여 Key Vault 방화벽 및 가상 네트워크를 구성하는 방법은 다음과 같습니다.

1. Azure CLI를 설치하고 로그인합니다.

2. 사용 가능한 가상 네트워크 규칙을 나열합니다. 이 키 자격 증명 모음에 대한 모든 규칙을 설정하지 않은 경우 목록은 비게 됩니다.

   az keyvault network-rule list --resource-group myresourcegroup --name mykeyvault
   

3. 기존 가상 네트워크 및 서브넷에서 Key Vault에 대한 서비스 엔드포인트를 사용하도록 설정합니다.

   az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.KeyVault"
   

4. 가상 네트워크 및 서브넷에 대한 네트워크 규칙을 추가합니다.

   subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
   az keyvault network-rule add --resource-group "demo9311" --name "demo9311premium" --subnet $subnetid
   

5. 트래픽을 허용할 IP 주소 범위를 추가합니다.

   az keyvault network-rule add --resource-group "myresourcegroup" --name "mykeyvault" --ip-address "191.10.18.0/24"
   

6. 이 키 자격 증명 모음을 신뢰할 수 있는 모든 서비스에서 액세스할 수 있도록 하려면 bypass를 AzureServices로 설정합니다.

   az keyvault update --resource-group "myresourcegroup" --name "mykeyvault" --bypass AzureServices
   

7. 기본 작업을 Deny로 설정하여 네트워크 규칙을 켭니다.

   az keyvault update --resource-group "myresourcegroup" --name "mekeyvault" --default-action Deny
   

PowerShell

참고 항목

Azure Az PowerShell 모듈을 사용하여 Azure와 상호 작용하는 것이 좋습니다. 시작하려면 Azure PowerShell 설치를 참조하세요. Az PowerShell 모듈로 마이그레이션하는 방법에 대한 자세한 내용은 Azure PowerShell을 AzureRM에서 Azure로 마이그레이션을 참조하세요.

PowerShell을 사용하여 Key Vault 방화벽 및 가상 네트워크를 구성하는 방법은 다음과 같습니다.

1. 최신 Azure PowerShell을 설치하고 로그인합니다.

2. 사용 가능한 가상 네트워크 규칙을 나열합니다. 이 키 자격 증명 모음에 대한 모든 규칙을 설정하지 않은 경우 목록은 비게 됩니다.

   (Get-AzKeyVault -VaultName "mykeyvault").NetworkAcls
   

3. 기존 가상 네트워크 및 서브넷에서 Key Vault에 대한 서비스 엔드포인트를 사용하도록 설정합니다.

   Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.1.1.0/24" -ServiceEndpoint "Microsoft.KeyVault" | Set-AzVirtualNetwork
   

4. 가상 네트워크 및 서브넷에 대한 네트워크 규칙을 추가합니다.

   $subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -VirtualNetworkResourceId $subnet.Id
   

5. 트래픽을 허용할 IP 주소 범위를 추가합니다.

   Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -IpAddressRange "16.17.18.0/24"
   

6. 이 키 자격 증명 모음을 신뢰할 수 있는 모든 서비스에서 액세스할 수 있도록 하려면 bypass를 AzureServices로 설정합니다.

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -Bypass AzureServices
   

7. 기본 작업을 Deny로 설정하여 네트워크 규칙을 켭니다.

   Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -DefaultAction Deny
   

참조

• ARM 템플릿 참조: Azure Key Vault ARM 템플릿 참조
• Azure CLI 명령: az keyvault network-rule
• Azure PowerShell cmdlet: Get-AzKeyVault, Add-AzKeyVaultNetworkRule, Remove-AzKeyVaultNetworkRule, Update-AzKeyVaultNetworkRuleSet

다음 단계

• Key Vault의 가상 네트워크 서비스 엔드포인트
• Azure Key Vault 보안 개요