다음을 통해 공유

Azure 관리형 HSM에서 키 자동 회전 구성

  • 아티클

개요

참고 항목

키 자동 회전에는 Azure CLI 버전 2.42.0 이상이 필요합니다.

관리형 HSM에서 자동화된 키 회전을 사용하면 사용자가 새 키 버전을 지정된 빈도에 따라 자동으로 생성하도록 관리형 HSM을 구성할 수 있습니다. 각 개별 키에 대한 회전을 구성하고 필요에 따라 키를 주문형으로 회전하도록 회전 정책을 설정할 수 있습니다. 암호화 모범 사례를 충족하도록 적어도 2년마다 암호화 키를 회전하는 것이 좋습니다. 추가 지침 및 권장 사항은 NIST SP 800-57 1부를 참조하세요.

이 기능을 사용하면 Azure Key Vault 관리형 HSM에 저장된 CMK(고객 관리형 키)를 사용하여 Azure 서비스의 미사용 암호화에 대한 엔드투엔드 무인 회전이 가능합니다. 서비스에서 엔드투엔드 회전을 제공하는지 확인하려면 관련 Azure 서비스 설명서를 참조하세요.

가격 책정

관리형 HSM 키 회전은 추가 비용 없이 제공됩니다. 관리형 HSM 가격 책정에 대한 자세한 내용은 Azure Key Vault 가격 페이지를 참조하세요.

Warning

관리형 HSM의 키당 버전 수는 100개로 제한됩니다. 자동 또는 수동 회전의 일부로 만든 키 버전은 이 제한에 포함됩니다.

필수 사용 권한

키를 회전하거나 키 회전 정책을 설정하려면 특정 키 관리 권한이 필요합니다. "관리형 HSM 암호화 사용자" 역할을 할당하여 회전 정책 및 주문형 회전을 관리하는 데 충분한 권한을 얻을 수 있습니다.

관리형 HSM에서 로컬 RBAC 권한을 구성하는 방법에 대한 자세한 내용은 관리형 HSM 역할 관리를 참조하세요.

참고 항목

회전 정책을 설정하려면 "키 쓰기" 권한이 필요합니다. 키를 주문형으로 회전하려면 "회전" 권한이 필요합니다. 둘 다 "관리형 HSM 암호화 사용자" 기본 제공 역할에 포함됩니다.

키 회전 정책

키 회전 정책을 통해 사용자는 회전 간격을 구성하고 회전된 키의 만료 간격을 설정할 수 있습니다. 키를 주문형으로 회전하려면 먼저 설정해야 합니다.

참고 항목

관리형 HSM은 Event Grid 알림을 지원하지 않습니다.

키 회전 정책 설정:

  • 만료 시간: 키 만료 간격(최소 28일)입니다. 새로 회전된 키의 만료 날짜를 설정하는 데 사용됩니다(예: 회전 후 새 키가 30일 후에 만료되도록 설정됨).
  • 회전 유형:
    • 만든 후 지정된 시간에 자동으로 갱신
    • 만료 전에 지정된 시간에 자동으로 갱신. 이 이벤트가 실행되려면 '만료 날짜'를 키에 설정해야 합니다.

Warning

자동 회전 정책은 새 키 버전을 28일마다 두 번 이상 더 자주 만들도록 요구할 수 없습니다. 만들기 기반 회전 정책의 경우 이는 timeAfterCreate의 최솟값이 P28D임을 의미합니다. 만료 기반 회전 정책의 경우 timeBeforeExpiry의 최댓값은 expiryTime에 따라 달라집니다. 예를 들어 expiryTimeP56D인 경우 timeBeforeExpiry는 최대 P28D일 수 있습니다.

키 회전 정책 구성

Azure CLI

키 회전 정책을 작성하고 파일에 저장합니다. ISO8601 기간 형식을 사용하여 시간 간격을 지정합니다. 다음 섹션에서는 몇 가지 예제 정책을 제공합니다. 다음 명령을 사용하여 정책을 키에 적용합니다.

az keyvault key rotation-policy update --hsm-name <hsm-name> --name <key-name> --value </path/to/policy.json>

예제 정책

키를 만든 후 18개월 후에 회전하고, 2년 후에 만료되도록 새 키를 설정합니다.

{
  "lifetimeActions": [
    {
      "trigger": {
        "timeAfterCreate": "P18M",
        "timeBeforeExpiry": null
      },
      "action": {
        "type": "Rotate"
      }
    }
  ],
  "attributes": {
    "expiryTime": "P2Y"
  }
}

만료 28일 전에 키를 회전하고, 1년 후에 만료되도록 새 키를 설정합니다.

{
  "lifetimeActions": [
    {
      "trigger": {
        "timeAfterCreate": null,
        "timeBeforeExpiry": "P28D"
      },
      "action": {
        "type": "Rotate"
      }
    }
  ],
  "attributes": {
    "expiryTime": "P1Y"
  }
}

키 회전 정책 제거합니다(빈 정책을 설정하여 수행).

{
  "lifetimeActions": [],
  "attributes": {}
}

주문형 회전

키에 대한 회전 정책이 설정되면 키를 주문형으로 회전할 수도 있습니다. 먼저 키 회전 정책을 설정해야 합니다.

Azure CLI

az keyvault key rotate --hsm-name <hsm-name> --name <key-name>

리소스