Azure Key Vault 일시 삭제 개요
Important
키 자격 증명 모음에 일시 삭제 보호를 사용하도록 설정하지 않은 경우 키를 삭제하면 영구적으로 삭제됩니다. 고객은 Azure Policy를 통해 자격 증명 모음에 대해 일시 삭제 적용을 설정하는 것이 좋습니다.
Important
Key Vault가 일시 삭제되면 Key Vault와 통합된 서비스가 삭제됩니다. 예를 들어 Azure RBAC 역할 할당 및 Event Grid 구독입니다. 일시 삭제된 Key Vault를 복구해도 이러한 서비스는 복원되지 않습니다. 다시 만들어야 합니다.
Key Vault의 일시 삭제 기능을 이용하면 삭제한 자격 증명 모음과 삭제한 자격 증명 모음 개체(예: 키, 비밀, 인증서)을 복구할 수 있으며, 이러한 삭제를 일시 삭제라고 합니다. 구체적으로 이 기능은 다음 시나리오를 해결합니다 .이 보호 장치는 다음과 같은 보호 기능을 제공합니다.
- 비밀, 키, 인증서 또는 키 자격 증명 모음이 삭제되면 7~90일의 구성 가능 기간에는 복구할 수 있습니다. 구성을 지정하지 않으면 기본 복구 기간이 90일로 설정되어 사용자에게 실수로 인한 비밀 삭제를 확인하고 응답할 수 있는 충분한 시간을 제공합니다.
- 비밀을 영구적으로 삭제하려면 두 가지 작업을 수행해야 합니다. 첫 번째 작업은 사용자가 개체를 삭제하여 일시 삭제된 상태로 만드는 것입니다. 두 번째 작업은 사용자가 일시 삭제된 상태인 개체를 제거하는 것입니다. 이러한 보호 기능은 사용자가 실수로 또는 악의적으로 비밀이나 키 자격 증명 모음을 삭제할 위험을 줄일 수 있습니다.
- 일시 삭제된 상태의 비밀, 키, 인증서를 제거하려면 보안 주체에 "제거" 작업 권한을 부여해야 합니다(예: Key Vault 기본 제공 역할"Key Vault 제거 연산자" 사용).
인터페이스 지원
일시 삭제 기능은 REST API, Azure CLI, Azure PowerShell, .NET/C# 인터페이스 및 ARM 템플릿을 통해 사용할 수 있습니다.
시나리오
Azure Key Vault는 Azure Resource Manager에서 관리하는 추적된 리소스입니다. Azure Resource Manager는 삭제 작업에 성공할 경우 리소스에 더 이상 액세스할 수 없도록 요구하는 잘 정의된 삭제 동작도 지정합니다. 일시 삭제 기능은 삭제가 실수인지, 의도적인 것인지에 관계없이 삭제된 개체의 복구를 처리합니다.
일반적인 시나리오에서는 사용자가 실수로 키 자격 증명 모음 또는 키 자격 증명 모음 개체를 삭제합니다. 해당 Key Vault 또는 Key Vault 개체가 미리 결정된 기간 동안 복구할 수 있는 경우 사용자는 삭제를 실행 취소하고 데이터를 복구할 수 있습니다.
다른 시나리오에서는 Rogue 사용자가 키 자격 증명 모음 또는 키 자격 증명 모음 개체(예: 자격 증명 모음 내의 키)를 삭제하려고 시도하여 비즈니스 중단이 발생할 수 있습니다. 예를 들어 데이터 삭제 권한을 다른 신뢰할 수 있는 역할로 제한하여 주요 자격 증명 모음 또는 주요 자격 증명 모음 개체 삭제와 기본 데이터의 실제 삭제 분리를 보안 조치로 사용할 수 있습니다. 이 접근법에는 즉각적인 데이터 손실을 초래할 수 있는 작업에 대한 쿼럼이 필요합니다.
일시 삭제 동작
일시 삭제를 사용하도록 설정하면 삭제된 리소스로 표시된 리소스는 지정된 기간(기본값은 90일) 동안 보존됩니다. 또한 서비스는 삭제된 개체를 복구하고 기본적으로 삭제를 취소하는 메커니즘을 제공합니다.
새 키 자격 증명 모음을 만들 때 일시 삭제는 기본적으로 사용 설정됩니다. 일단 키 자격 증명 모음에 대해 일시 삭제를 사용하도록 설정하면 사용 설정을 해제할 수 없습니다.
보존 정책 간격은 키 자격 증명 모음을 만드는 동안에만 구성할 수 있으며 나중에 변경할 수 없습니다. 7일에서 90일 사이로 설정할 수 있으며 기본값은 90일입니다. 일시 삭제 및 제거 보호 보존 정책 모두에 동일한 간격이 적용됩니다.
일시 삭제된 키 자격 증명 모음의 이름은 보존 기간이 만료될 때까지 다시 사용할 수 없습니다.
제거 보호
제거 보호는 선택적 Key Vault 동작이며 이 릴리스에서는 기본적으로 사용 설정되지 않습니다. 제거 보호를 사용 설정하려면 먼저 일시 삭제를 사용하도록 설정해야 합니다. 데이터 손실을 방지하기 위해 암호화에 키를 사용하는 경우 제거 보호가 권장됩니다. 스토리지와 같이 Azure Key Vault와 통합되는 대부분의 Azure 서비스는 데이터 손실을 방지하기 위해 제거 보호가 필요합니다.
제거 보호가 설정되면 보존 기간이 지나야 삭제된 상태의 자격 증명 모음 또는 개체를 제거할 수 없습니다. 일시 삭제된 자격 증명 모음 및 개체를 계속 복구하여 보존 정책을 준수할 수 있습니다.
기본 보존 기간은 90일이지만 Azure Portal에서 보존 정책 간격을 7일에서 90일 사이의 값으로 설정할 수 있습니다. 설정되고 저장된 보존 정책 간격은 관련 자격 증명 모음에 대해 다시 변경할 수 없습니다.
제거 보호는 CLI, PowerShell 또는 Portal을 통해 활성화할 수 있습니다.
허용된 제거
프록시 리소스에 대한 POST 작업을 통해 주요 자격 증명 모음을 영구 삭제, 즉 제거할 수 있으며, 특별한 권한이 필요합니다. 일반적으로 "Key Vault 제거 연산자" RBAC 역할이 있는 구독 소유자 또는 사용자만 키 자격 증명 모음을 제거할 수 있습니다. POST 작업은 해당 자격 증명 모음에 대해 즉각적이고 복구할 수 없는 삭제를 트리거합니다.
예외는 다음과 같습니다.
- Azure 구독이 삭제할 수 없음으로 표시된 경우. 이 경우 서비스는 실제 삭제만 수행할 수 있으며, 예약된 프로세스로 삭제합니다.
- 자격 증명 모음 자체에서
--enable-purge-protection
인수가 사용하도록 설정된 경우. 이 경우 Key Vault는 원래 비밀 개체가 삭제 대상으로 표시된 시점으로부터 7~90일 동안 기다렸다가 개체를 영구적으로 삭제합니다.
관련 단계는 CLI로 Key Vault 일시 삭제를 사용하는 방법: 키 자격 증명 모음 제거 또는 PowerShell로 Key Vault 일시 삭제를 사용하는 방법: 키 자격 증명 모음 제거를 참조하세요.
주요 자격 증명 모음 복구
키 자격 증명 모음을 삭제하면 서비스가 구독 아래에 프록시 리소스를 만들고 복구하는 데 충분한 메타데이터를 추가합니다. 프록시 리소스는 삭제된 주요 자격 증명 모음과 동일한 위치에서 사용할 수 있는 저장된 개체입니다.
주요 자격 증명 모음 개체 복구
키 등의 주요 자격 증명 모음 개체를 삭제하면 서비스가 개체를 삭제된 상태로 배치하므로 검색 작업에서 개체에 액세스할 수 없게 됩니다. 이 상태의 Key Vault 개체는 나열, 복구 또는 강제로/영구 삭제할 수만 있습니다. 개체를 보려면 Azure CLI az keyvault key list-deleted
명령을 사용하거나(자세한 방법은 CLI로 Key Vault 일시 삭제를 사용하는 방법에서 설명합니다) Azure PowerShell Get-AzKeyVault -InRemovedState
명령을 사용하세요(자세한 방법은 PowerShell로 Key Vault 일시 삭제를 사용하는 방법에서 설명합니다).
이와 동시에 주요 Key Vault는 미리 정해진 보존 간격 후에 실행하기 위해 삭제된 주요 자격 증명 모음 또는 주요 자격 증명 모음 개체에 해당하는 기본 데이터의 삭제를 예약합니다. 자격 증명 모음에 해당하는 DNS 레코드도 보존 간격 기간 동안 유지됩니다.
일시 삭제 보존 기간
일시 삭제된 리소스는 설정된 기간인 90일 동안 유지됩니다. 일시 삭제 보존 간격 중에는 다음이 적용됩니다.
- 구독에 대한 일시 삭제 상태의 키 자격 증명 모음 및 키 자격 증명 모음 개체를 모두 나열하고 해당 항목에 대한 삭제 및 복구 정보에 액세스할 수 있습니다.
- 특수 사용 권한이 있는 사용자만 삭제된 자격 증명 모음을 나열할 수 있습니다. 사용자가 삭제된 자격 증명 모음 처리를 위해 이러한 특수 사용 권한을 가진 사용자 지정 역할을 만드는 것이 좋습니다.
- 동일한 위치에 동일한 이름의 주요 자격 증명 모음을 만들 수는 없습니다. 마찬가지로 주요 자격 증명 모음에 삭제된 상태인 동일한 이름의 개체가 포함된 경우에는 지정된 자격 증명 모음에 해당 주요 자격 증명 모음 개체를 만들 수 없습니다.
- 특별한 권한이 있는 사용자만 해당 프록시 리소스에서 복구 명령을 실행하여 키 자격 증명 모음 또는 키 자격 증명 모음 개체를 복원할 수 있습니다.
- 리소스 그룹 아래에 주요 자격 증명 모음을 만들 수 있는 권한을 가진, 사용자 지정 역할의 멤버인 사용자는 자격 증명 모음을 복원할 수 있습니다.
- 특별한 권한이 있는 사용자만 해당 프록시 리소스에서 삭제 명령을 실행하여 키 자격 증명 모음 또는 키 자격 증명 모음 개체를 강제로 삭제할 수 있습니다.
Key Vault 또는 Key Vault 개체를 복구하지 않으면 보존 간격이 끝난 후 서비스가 일시 삭제된 Key Vault 또는 Key Vault 개체와 해당 내용을 제거합니다. 리소스 삭제를 다시 예약하지 못할 수 있습니다.
요금 청구 영향
일반적으로 개체(키 자격 증명 모음 또는 암호)가 삭제된 상태인 경우 '제거' 및 '복구'라는 두 개의 작업만 가능합니다. 다른 모든 작업이 실패합니다. 따라서 개체가 있는 경우라도 어떤 작업도 수행할 수 없게 되고 사용량이 발생하지 않아 청구도 없습니다. 그러나 다음과 같은 예외가 있습니다.
- '제거' 및 '복구' 작업은 일반 키 자격 증명 모음 작업에 포함됨에 따라 요금이 청구됩니다.
- 개체가 HSM 키인 경우 키 버전이 지난 30일 안에 사용됐다면 월 요금별 키 버전당 'HSM 보호 키' 요금이 적용됩니다. 그 후 개체가 삭제된 상태이기 때문에 아무 작업도 수행할 수 없게 되고 요금도 적용되지 않습니다.
다음 단계
다음 세 가지 가이드는 일시 삭제를 사용하기 위한 기본 사용 시나리오를 제공합니다.