Azure Key Vault의 가상 네트워크 서비스 엔드포인트
Azure Key Vault의 가상 네트워크 서비스 엔드포인트를 사용하면 지정된 가상 네트워크에 대한 액세스를 제한할 수 있습니다. 엔드포인트를 사용하면 IPv4(인터넷 프로토콜 버전 4) 주소 범위 목록에 대한 액세스를 제한할 수도 있습니다. 해당 소스 외부에서 키 자격 증명 모음에 연결하는 모든 사용자는 액세스가 거부됩니다.
이 제한에서 한 가지 중요한 예외가 있습니다. 사용자가 신뢰할 수 있는 Microsoft 서비스를 허용하도록 옵트인한 경우 해당 서비스에서 방화벽을 통해 연결할 수 있습니다. 예를 들어 이러한 서비스에는 Office 365 Exchange Online, Office 365 SharePoint Online, Azure Compute, Azure Resource Manager 및 Azure Backup 등이 있습니다. 이러한 사용자는 유효한 Microsoft Entra 토큰을 제공해야 하며, 요청된 작업을 수행하기 위해 사용 권한(액세스 정책으로 구성된)이 있어야 합니다. 자세한 내용은 가상 네트워크 서비스 엔드포인트를 참조하세요.
사용 시나리오
기본적으로 모든 네트워크(인터넷 트래픽 포함)의 트래픽에 대한 액세스를 거부하도록 Key Vault 방화벽 및 가상 네트워크를 구성할 수 있습니다. 특정 Azure 가상 네트워크 및 공용 인터넷 IP 주소 범위의 트래픽에 대한 액세스 권한을 부여하여 애플리케이션에 대한 보안 네트워크 경계를 빌드하도록 할 수 있습니다.
참고
Key Vault 방화벽 및 가상 네트워크 규칙은 Key Vault의 데이터 평면에만 적용됩니다. Key Vault 제어 평면 작업(예: 작업 만들기, 삭제 및 수정, 액세스 정책 설정, 방화벽 및 가상 네트워크 규칙 설정, ARM 템플릿을 통한 비밀 또는 키 배포)은 방화벽 및 가상 네트워크 규칙의 영향을 받지 않습니다.
서비스 엔드포인트를 사용할 수 있는 방법의 몇 가지 예는 다음과 같습니다.
- Key Vault를 사용하여 암호화 키, 애플리케이션 비밀 및 인증서를 저장하고, 공용 인터넷에서 키 자격 증명 모음에 대한 액세스를 차단하려고 합니다.
- 사용자 애플리케이션 또는 지정된 호스트의 간단한 목록만 키 자격 증명 모음에 연결할 수 있도록 키 자격 증명 모음에 대한 액세스를 잠그려고 합니다.
- Azure 가상 네트워크에서 실행되는 애플리케이션이 있으며, 이 가상 네트워크는 모든 인바운드 및 아웃바운드 트래픽에 대해 잠겨 있습니다. 애플리케이션은 비밀 또는 인증서를 가져오거나 암호화 키를 사용하려면 여전히 Key Vault에 연결해야 합니다.
신뢰할 수 있는 Azure 서비스에 액세스 권한 부여
다른 앱에 대한 네트워크 규칙을 유지하면서 키 자격 증명 모음에 신뢰할 수 있는 Azure 서비스에 대한 액세스 권한을 부여할 수 있습니다. 이러한 신뢰할 수 있는 서비스는 강력한 인증을 사용하여 키 자격 증명 모음에 안전하게 연결합니다.
네트워킹 설정을 구성하여 신뢰할 수 있는 Azure 서비스에 대한 액세스 권한을 부여할 수 있습니다. 단계별 지침은 이 문서의 네트워킹 구성 옵션을 참조하세요.
신뢰할 수 있는 Azure 서비스에 액세스 권한을 부여하는 경우 다음 유형의 액세스를 부여합니다.
- 구독에 등록된 리소스에 진행할 작업 선택에 대한 신뢰할 수 있는 액세스.
- 관리 ID 기반 리소스에 대한 신뢰할 수 있는 액세스.
- 페더레이션 ID 자격 증명을 사용하여 테넌트 간에 신뢰할 수 있는 액세스
신뢰할 수 있는 서비스
신뢰할 수 있는 서비스 허용 옵션을 사용하도록 설정하는 경우 키 자격 증명 모음에 액세스하도록 허용되는 신뢰할 수 있는 서비스 목록은 다음과 같습니다.
신뢰할 수 있는 서비스 | 지원되는 사용 시나리오 |
---|---|
Azure API Management | MSI를 사용하여 Key Vault에서 사용자 지정 도메인에 대한 인증서 배포 |
Azure App Service | App Service는 Key Vault를 통한 Azure Web App 인증서 배포에만 신뢰할 수 있습니다. 개별 앱 자체의 경우 Key Vault의 IP 기반 규칙에 아웃바운드 IP를 추가할 수 있습니다. |
Azure Application Gateway | HTTPS 사용 수신기에 Key Vault 인증서 사용 |
Azure Backup | Azure Virtual Machines를 백업하는 동안 Azure Backup을 사용하여 관련 키 및 비밀의 백업 및 복원을 허용합니다. |
Azure Batch | Batch 계정에 대한 고객 관리형 키 구성 및 사용자 구독 Batch 계정에 대한 Key Vault |
Azure Bot Service | 미사용 데이터에 대한 Azure AI Bot Service 암호화 |
Azure CDN | Azure CDN 사용자 지정 도메인에서 HTTPS 구성: 키 자격 증명 모음에 대한 Azure CDN 액세스 권한 부여 |
Azure Container Registry | 고객 관리형 키를 사용한 레지스트리 암호화 |
Azure Data Factory | Data Factory에서 Key Vault의 데이터 저장소 자격 증명 페치 |
Azure Data Lake Storage | 고객 관리 키를 사용하여 Azure Data Lake Store의 데이터 암호화. |
농업용 Azure Data Manager | 자체 라이선스 키 저장 및 사용 |
Azure Database for MySQL 단일 서버 | Azure Database for MySQL 단일 서버에 대한 데이터 암호화 |
Azure Database for MySQL 유연한 서버 | Azure Database for MySQL 유연한 서버에 대한 데이터 암호화 |
Azure Database for PostgreSQL 단일 서버 | Azure Database for PostgreSQL 단일 서버에 대한 데이터 암호화 |
Azure Database for PostgreSQL 유연한 서버 | Azure Database for PostgreSQL 유연한 서버에 대한 데이터 암호화 |
Azure Databricks | 빠르고 쉬우며 공동 작업이 가능한 Apache Spark 기반 분석 서비스 |
Azure Disk Encryption 볼륨 암호화 서비스 | 가상 머신을 배포하는 동안 BitLocker 키(Windows VM) 또는 DM 암호(Linux VM) 및 키 암호화 키에 대한 액세스를 허용합니다. 그러면 Azure Disk Encryption이 설정됩니다. |
Azure Disk Storage | DES(디스크 암호화 집합)로 구성된 경우 자세한 내용은 고객 관리형 키를 사용하여 Azure Disk Storage의 서버 쪽 암호화를 참조하세요. |
Azure Event Hubs | 고객 관리형 키 시나리오에 대한 키 자격 증명 모음에 액세스 허용 |
Azure ExpressRoute | ExpressRoute Direct와 MACsec을 사용하는 경우 |
Azure Firewall 프리미엄 | Azure Firewall 프리미엄 인증서 |
Azure Front Door 클래식 | HTTPS용 Key Vault 인증서 사용 |
Azure Front Door 표준/프리미엄 | HTTPS용 Key Vault 인증서 사용 |
Azure Import/Export | Azure Key Vault에서 Import/Export 서비스에 고객 관리형 키 사용 |
Azure Information Protection | Azure Information Protection을 위해 테넌트 키 액세스 허용 |
Azure Machine Learning | 가상 네트워크에서 Azure Machine Learning 보안 |
Azure NetApp Files | Azure Key Vault에서 고객 관리형 키에 대한 액세스 허용 |
Azure Policy 스캔 | 비밀에 대한 컨트롤 플레인 정책, 데이터 평면에 저장된 키 |
Azure Resource Manager 템플릿 배포 서비스 | 배포 중 보안 값을 전달합니다. |
Azure Service Bus | 고객 관리형 키 시나리오에 대한 키 자격 증명 모음에 액세스 허용 |
Azure SQL Database | Azure SQL Database 및 Azure Synapse Analytics에 대한 Bring Your Own Key 지원을 통한 투명한 데이터 암호화. |
Azure Storage | Azure Key Vault의 고객 관리 키를 사용하여 Storage 서비스 암호화. |
Azure Synapse Analytics | Azure Key Vault에서 고객 관리형 키를 사용하여 데이터 암호화 |
Azure Virtual Machines 배포 서비스 | 고객 관리 Key Vault에서 VM으로 인증서를 배포합니다. |
Exchange Online, SharePoint Online, M365DataAtRestEncryption | 고객 키를 사용한 미사용 데이터 암호화를 위해 고객 관리형 키에 대한 액세스를 허용합니다. |
Microsoft Purview | Microsoft Purview에서 원본 인증을 위한 자격 증명 사용 |
참고 항목
해당 서비스가 Key Vault에 액세스할 수 있도록 하려면 관련 Key Vault RBAC 역할 할당 또는 액세스 정책(레거시)을 설정해야 합니다.
다음 단계
- 단계별 지침은 Key Vault 방화벽 및 가상 네트워크 구성을 참조하세요.
- Azure Key Vault 보안 개요를 참조하세요.