Azure Key Vault 액세스 정책 문제 해결

  • 아티클

자주 묻는 질문

비밀/키/인증서를 나열하거나 가져올 수 없습니다. "문제가 발생했습니다."라는 오류 메시지가 표시됩니다.

비밀 나열/가져오기/만들기 또는 액세스에 문제가 있는 경우 해당 작업을 수행하도록 정의된 액세스 정책이 있는지 확인합니다. Key Vault 액세스 정책

키 자격 증명 모음을 어떻게 언제 액세스하는지 어떻게 식별할 수 있나요?

하나 이상의 키 자격 증명 모음을 만든 후에는 키 자격 증명 모음에 액세스하는 방법, 시기 및 사용자를 모니터링하려고 할 수도 있습니다. Azure Key Vault에 대한 로깅을 사용하도록 설정하여 모니터링을 수행할 수 있습니다. 로깅을 사용하도록 설정하는 단계별 가이드는 자세히 알아보세요.

키 자격 증명 모음에 대한 자격 증명 모음 가용성, 서비스 대기 시간 기간 또는 기타 성능 메트릭을 어떻게 모니터링할 수 있나요?

서비스의 크기를 조정하기 시작하면 키 자격 증명 모음으로 전송되는 요청 수가 증가합니다. 이러한 수요로 인해 요청 대기 시간이 길어질 수 있으며 극단적인 경우에는 서비스의 성능을 저하시킬 수 있는 요청이 제한됩니다. 키 자격 증명 모음 성능 메트릭을 모니터링하고 특정 임계값에 대한 경고를 받을 수 있습니다. 모니터링을 구성하는 단계별 가이드는 자세히 알아보세요.

액세스 정책을 수정할 수 없습니다. 사용하도록 설정하려면 어떻게 해야 하나요?

액세스 정책을 수정하려면 사용자에게 충분한 Microsoft Entra 권한이 있어야 합니다. 이 경우 사용자에게 더 높은 기여자 역할이 있어야 합니다.

'알 수 없는 정책' 오류가 표시됩니다. 어떤 의미인가요?

알 수 없는 섹션에 액세스 정책이 표시되는 데는 두 가지 이유가 있습니다.

  • 이전 사용자에게 액세스 권한이 있었지만 해당 사용자가 더 이상 존재하지 않습니다.
  • 액세스 정책은 서비스 주체 대신 애플리케이션 objectid를 사용하여 PowerShell을 통해 추가되었습니다.

키 자격 증명 모음 개체별로 액세스 제어를 할당하려면 어떻게 해야 하나요?

개별 키, 비밀 및 인증서에 역할을 할당하는 것은 피해야 합니다. 일반 지침에 대한 예외:

여러 애플리케이션 간에 개별 비밀을 공유해야 하는 시나리오(예: 한 애플리케이션이 다른 애플리케이션의 데이터에 액세스해야 하는 경우)

액세스 제어 정책을 사용하여 키 자격 증명 모음 인증을 제공하려면 어떻게 해야 하나요?

클라우드 기반 애플리케이션을 Key Vault에 인증하는 가장 간단한 방법은 관리 ID를 사용하는 것입니다. 자세한 내용은 Azure Key Vault에 인증을 참조하세요. 온-프레미스 애플리케이션을 만들거나 로컬 개발을 수행하거나 관리 ID를 사용할 수 없는 경우 대신 서비스 주체를 수동으로 등록하고 액세스 제어 정책을 사용하여 키 자격 증명 모음에 액세스할 수 있습니다. 액세스 제어 정책 할당을 참조하세요.

AD 그룹에 키 자격 증명 모음에 대한 액세스 권한을 부여하려면 어떻게 해야 하나요?

Azure CLI az keyvault set-policy 명령 또는 Azure PowerShell Set-AzKeyVaultAccessPolicy cmdlet을 사용하여 키 자격 증명 모음에 AD 그룹 사용 권한을 부여합니다. 액세스 정책 할당 - CLI액세스 정책 할당 - PowerShell을 참조하세요.

또한 애플리케이션에는 Key Vault에 할당된 ID 및 액세스 관리(IAM) 역할이 하나 이상 필요합니다. 그렇지 않으면 로그인할 수 없고 구독에 액세스할 수 있는 권한이 없어 실패합니다. 관리 ID가 있는 Microsoft Entra 그룹은 토큰을 새로 고치고 적용되는 데 많은 시간이 필요할 수 있습니다. 권한 부여에 관리 ID 사용 제한 참조

기존 액세스 정책을 삭제하지 않고 ARM 템플릿을 사용하여 Key Vault를 재배포하려면 어떻게 해야 하나요?

현재 Key Vault 재배포는 Key Vault의 모든 액세스 정책을 삭제하고 ARM 템플릿의 액세스 정책으로 바꿉니다. Key Vault 액세스 정책에 대한 증분 옵션은 없습니다. Key Vault에서 액세스 정책을 유지하려면 Key Vault에서 기존 액세스 정책을 읽고 이러한 정책을 사용하여 ARM 템플릿을 채워 액세스 중단을 방지해야 합니다.

이 시나리오에 도움이 될 수 있는 또 다른 옵션은 액세스 정책의 대안으로 Azure RBAC 및 역할을 사용하는 것입니다. Azure RBAC를 사용하면 정책을 다시 지정하지 않고 키 자격 증명 모음을 다시 배포할 수 있습니다. 여기에서 이 솔루션에 대해 자세히 알아볼 수 있습니다.

키 자격 증명 모음이 제한될 때 구현해야 하는 최선의 방법은 무엇인가요?

여기서 설명하는 모범 사례를 따르세요.

다음 단계

키 자격 증명 모음 인증 오류 문제를 해결하는 방법을 알아보려면 Key Vault 문제 해결 가이드를 참조하세요.