일시 삭제 및 제거 방지를 통한 Azure Key Vault 복구 관리

  • 아티클

이 문서에서는 Azure Key Vault의 두 가지 복구 기능인 일시 삭제와 제거 방지에 관해 설명합니다. 이 문서에서는 이러한 기능의 개요를 제공하고 Azure Portal, Azure CLI, Azure PowerShell을 통해 해당 기능을 관리하는 방법을 설명합니다.

Key Vault에 대한 자세한 내용은 다음을 참조하세요.

필수 조건

  • Azure 구독 - 체험 구독 만들기

  • Azure PowerShell.

  • Azure CLI

  • Key Vault - Azure Portal, Azure CLI 또는 Azure PowerShell을 사용하여 만들 수 있습니다.

  • 일시 삭제된 자격 증명 모음에 대한 작업을 수행하려면 사용자에게 구독 수준의 다음 사용 권한이 필요합니다.

    Permission 설명
    Microsoft.KeyVault/locations/deletedVaults/read 일시 삭제된 한 Key Vault의 속성을 봅니다.
    Microsoft.KeyVault/locations/deletedVaults/purge/action 일시 삭제된 Key Vault를 제거합니다.
    Microsoft.KeyVault/locations/operationResults/read 자격 증명 모음의 제거 상태를 확인하려면
    키 자격 증명 모음 기여자 일시 삭제된 자격 증명 모음을 복구하려면

일시 삭제와 제거 방지 소개

일시 삭제와 제거 방지는 두 가지 키 자격 증명 모음 복구 기능입니다.

일시 삭제는 키 자격 증명 모음과 키 자격 증명 모음 내에 저장된 키, 비밀, 인증서를 실수로 삭제하지 못하도록 하기 위해 설계되었습니다. 일시 삭제는 휴지통과 유사합니다. 키 자격 증명 모음이나 키 자격 증명 모음 개체를 삭제하면 해당 항목은 사용자가 구성 가능한 보존 기간이나 기본값인 90일 동안 복구 가능한 상태로 유지됩니다. 일시 삭제된 상태의 키 자격 증명 모음은 제거하여 영구적으로 삭제할 수도 있습니다. 제거하면 키 자격 증명 모음과 키 자격 증명 모음 개체를 같은 이름으로 다시 만들 수 있습니다. 키 자격 증명 모음 및 개체를 복구하고 삭제하려면 상승된 액세스 정책 권한이 필요합니다. 일시 삭제를 사용하도록 설정한 후에는 사용하지 않도록 설정할 수 없습니다.

Important

키 자격 증명 모음에서 일시 삭제를 사용하도록 즉시 설정해야 합니다. 일시 삭제를 옵트아웃하는 기능은 더 이상 사용되지 않으며 2025년 2월에 제거됩니다. 전체 세부 정보는 여기를 참조하세요.

키 자격 증명 모음 이름은 전역적으로 고유하므로 일시 삭제된 상태의 키 자격 증명 모음과 동일한 이름으로 키 자격 증명 모음을 만들 수 없습니다. 마찬가지로 키, 비밀, 인증서의 이름은 키 자격 증명 모음 내에서 고유합니다. 따라서 일시 삭제된 상태의 다른 항목과 동일한 이름으로 비밀, 키, 인증서를 만들 수 없습니다.

제거 방지는 악의적인 내부자가 키 자격 증명 모음, 키, 비밀, 인증서를 삭제하지 못하도록 하기 위해 설계되었습니다. 시간 기준 잠금이 설정된 휴지통으로 볼 수 있습니다. 구성 가능한 보존 기간 동안 언제든지 항목을 복구할 수 있습니다. 보존 기간이 경과할 때까지 키 자격 증명 모음을 영구적으로 삭제하거나 제거할 수는 없습니다. 보존 기간이 경과하면 키 자격 증명 모음 또는 키 자격 증명 모음 개체가 자동으로 제거됩니다.

참고 항목

제거 방지는 관리자 역할이나 사용 권한이 있는 사용자가 제거 방지를 재정의하거나 사용하지 않도록 설정하거나 우회하지 못하도록 하기 위해 설계되었습니다. 제거 방지를 사용하도록 설정한 후에는 Microsoft를 포함한 누구도 사용하지 않도록 설정하거나 재정의할 수 없습니다. 즉, 삭제된 키 자격 증명 모음을 복구하거나 보존 기간이 경과될 때까지 기다린 이후에야 키 자격 증명 모음 이름을 다시 사용할 수 있습니다.

일시 삭제에 대한 자세한 내용은 Azure Key Vault soft-delete overview(Azure Key Vault 일시 삭제 개요)를 참조하세요.

키 자격 증명 모음에서 일시 삭제가 사용하도록 설정되어 있는지 확인하고 일시 삭제를 사용하도록 설정

  1. Azure 포털에 로그인합니다.
  2. 키 자격 증명 모음을 선택합니다.
  3. “속성” 블레이드를 클릭합니다.
  4. 일시 삭제 옆의 라디오 단추가 “복구 사용”으로 설정되어 있는지 확인합니다.
  5. 키 자격 증명 모음에서 일시 삭제를 사용하도록 설정하지 않은 경우 라디오 단추를 클릭하여 일시 삭제를 사용하도록 설정하고 “저장”을 클릭합니다.

On Properties, Soft-delete is highlighted, as is the value to enable it.

서비스 주체에 삭제된 비밀을 제거하고 복구하는 액세스 권한 부여

  1. Azure 포털에 로그인합니다.
  2. 키 자격 증명 모음을 선택합니다.
  3. “액세스 정책” 블레이드를 클릭합니다.
  4. 테이블에서 액세스 권한을 부여하려는 보안 주체의 행을 찾거나 새 보안 주체를 추가합니다.
  5. 키, 인증서, 비밀의 드롭다운을 클릭합니다.
  6. 드롭다운의 아래로 스크롤하고 “복구” 및 “제거”를 클릭합니다.
  7. 보안 주체가 대부분의 작업을 수행하기 위해서는 가져오기 및 나열 기능도 필요합니다.

In the left navigation pane, Access policies is highlighted. On Access policies, the Secret Positions drop-down list is shown, and four items are selected: Get, List, Recover, and Purge.

일시 삭제된 키 자격 증명 모음 나열, 복구, 제거

  1. Azure 포털에 로그인합니다.
  2. 페이지 맨 위에 있는 검색 창을 클릭합니다.
  3. "Key Vault" 서비스를 검색합니다. 개별 Key Vault를 클릭하지 마세요.
  4. 화면 위에 있는 "삭제된 Vault 관리" 옵션을 클릭합니다.
  5. 그러면 화면 오른쪽에 컨텍스트 창이 열립니다.
  6. 구독을 선택합니다.
  7. 키 자격 증명 모음이 일시 삭제된 경우 오른쪽의 컨텍스트 창에 표시됩니다.
  8. 자격 증명 모음이 너무 많은 경우에는 컨텍스트 창의 맨 아래에서 “추가 로드”를 클릭하거나 CLI 또는 PowerShell을 사용하여 결과를 가져올 수 있습니다.
  9. 복구하거나 제거하려는 자격 증명 모음을 찾으면 옆의 확인란을 선택합니다.
  10. 주요 자격 증명 모음을 복구하려는 경우 컨텍스트 창 맨 아래에 있는 복구 옵션을 선택합니다.
  11. 키 자격 증명 모음을 영구적으로 삭제하려는 경우 제거 옵션을 선택합니다.

On Key vaults, the Manage deleted vaults option is highlighted.

On Manage deleted key vaults, the only listed key vault is highlighted and selected, and the Recover button is highlighted.

일시 삭제된 비밀, 키, 인증서 나열, 복구, 제거

  1. Azure 포털에 로그인합니다.
  2. 키 자격 증명 모음을 선택합니다.
  3. 관리하려는 비밀 유형(키, 비밀, 인증서)에 해당하는 블레이드를 선택합니다.
  4. 화면 위쪽에서 “삭제된 키, 비밀, 인증서 관리”를 클릭합니다.
  5. 화면 오른쪽에 컨텍스트 창이 표시됩니다.
  6. 비밀, 키, 인증서가 목록에 표시되지 않는 경우 일시 삭제된 상태가 아닙니다.
  7. 관리하려는 비밀, 키, 인증서를 선택합니다.
  8. 컨텍스트 창의 맨 아래에서 복구 또는 제거 옵션을 선택합니다.

On Keys, the Manage deleted keys option is highlighted.

다음 단계