이 빠른 시작에서는 Azure CLI 사용하여 Azure Key Vault 관리형 HSM(하드웨어 보안 모듈)을 만들고 활성화합니다. 관리형 HSM은 FIPS 140-3 수준 3 유효성이 검사된 HSM을 사용하여 클라우드 애플리케이션에 대한 암호화 키를 보호할 수 있는 완전 관리형 고가용성 단일 테넌트 표준 규격 클라우드 서비스입니다. 관리형 HSM에 대한 자세한 내용은 개요를 검토 하세요.
필수 조건
Azure 구독이 필요합니다. 계정이 없으면 시작하기 전에 무료 계정을 만드세요.
또한 다음이 필요합니다.
- Azure CLI 버전 2.25.0 이상.
az --version을 실행하여 버전을 찾습니다. 설치하거나 업그레이드해야 하는 경우 Azure CLI를 참조하세요.
Azure Cloud Shell
Azure 브라우저를 통해 사용할 수 있는 대화형 셸 환경인 Azure Cloud Shell 호스트합니다. Cloud Shell Bash 또는 PowerShell을 사용하여 Azure 서비스를 사용할 수 있습니다. Cloud Shell 미리 설치된 명령을 사용하여 로컬 환경에 아무것도 설치하지 않고도 이 문서의 코드를 실행할 수 있습니다.
Azure Cloud Shell 시작하려면:
| 옵션 | 예제/링크 |
|---|---|
| 코드 또는 명령 블록의 오른쪽 상단에서 시도를 선택합니다. Try It을 선택해도 코드나 명령어가 Cloud Shell에 자동으로 복사되지 않습니다. |
|
| https://shell.azure.com 이동하거나 Cloud Shell 단추를 선택하여 브라우저에서 Cloud Shell 엽니다. |
|
| Cloud Shell 단추를 Azure 포털 오른쪽 위에 있는 메뉴 모음에서 선택합니다. |
|
Azure Cloud Shell 사용하려면 다음을 수행합니다.
Cloud Shell 시작합니다.
코드 블록(또는 명령 블록)에서 복사 단추를 선택하여 코드 또는 명령을 복사합니다.
Windows 및 Linux에서 Ctrl+Shift+V를 선택하여 코드 또는 명령을 Cloud Shell 세션에 붙여넣습니다. 또는 macOS에서 Cmd+Shift+V를 선택합니다.
Enter를 선택하여 코드 또는 명령을 실행합니다.
Azure 로그인
CLI를 사용하여 Azure 로그인하려면 다음을 입력합니다.
az login
CLI를 통한 인증 옵션에 대한 자세한 내용은 Azure CLI로 로그인을 참조하세요.
리소스 그룹 만들기
리소스 그룹은 Azure 리소스가 배포되고 관리되는 논리적 컨테이너입니다. az group create 명령을 사용하여 eastus 위치에 myResourceGroup이라는 리소스 그룹을 만듭니다.
az group create --name "myResourceGroup" --location "EastUS"
관리형 HSM 만들기
관리형 HSM 만들기는 2단계 프로세스입니다.
- 관리형 HSM 리소스를 프로비저닝합니다.
- 보안 도메인이라는 아티팩트를 다운로드하여 관리형 HSM을 활성화합니다.
관리형 HSM 구성
az keyvault create 명령을 사용하여 관리형 HSM을 만듭니다. 이 스크립트에는 리소스 그룹 이름, HSM 이름 및 지리적 위치의 세 가지 필수 매개 변수가 있습니다.
관리형 HSM 리소스를 만들려면 다음 입력을 제공합니다.
관리형 HSM 이름: 숫자(0-9), 문자(a-z, A-Z) 및 하이픈(-)만 포함할 수 있는 3~24자의 문자열입니다.
중요한
각 관리형 HSM에는 고유한 이름이 있어야 합니다. 다음 예제에서
<hsm-name>을(를) 고유한 관리형 HSM 이름으로 바꿉니다.리소스 그룹 이름: myResourceGroup
위치: EastUS.
초기 관리자 목록
다음 예제에서는 <hsm-name> 유일한 관리자로 사용하고 일시 삭제를 위해 7일 보존 기간을 사용하여 EastUS 위치에 있는 리소스 그룹 myResourceGroup에 이름이 지정된 HSM을 만듭니다.
일시 삭제 기간에 제거될 때까지 관리형 HSM에 대한 비용을 계속 지불합니다. 자세한 내용은 관리형 HSM 일시 삭제 및 제거 보호를 참조하고 관리형 HSM 일시 삭제에 대해 자세히 알아보세요.
oid=$(az ad signed-in-user show --query id -o tsv)
az keyvault create --hsm-name "<hsm-name>" --resource-group "myResourceGroup" --location "EastUS" --administrators $oid --retention-days 7
참고
관리 ID를 관리형 HSM의 초기 관리자로 사용하는 경우 ClientID가 아닌 관리 ID의 OID/PrincipalID를 --administrators 입력합니다.
참고
create 명령은 몇 분 정도 걸릴 수 있습니다. 성공적으로 반환되면 HSM을 활성화할 준비가 된 것입니다.
경고
관리형 HSM 인스턴스는 항상 사용됩니다. 플래그를 사용하여 --enable-purge-protection 제거 보호를 사용하도록 설정하면 전체 보존 기간에 대한 비용을 지불합니다.
이 명령의 출력에는 사용자가 만든 관리형 HSM의 속성이 표시됩니다. 가장 중요한 두 개의 속성은 다음과 같습니다.
- name: 지정한 이름입니다. 다른 명령에 이 이름을 사용합니다.
-
hsmUri: HSM에 대한 URI(예:
https://<hsm-name>.managedhsm.azure.net)입니다. REST API를 통해 HSM을 사용하는 애플리케이션은 이 URI를 사용해야 합니다.
이제 Azure 계정에 이 관리형 HSM에 대한 모든 작업을 수행할 수 있는 권한이 부여됩니다. 아직까지는 권한이 부여된 사용자가 없습니다.
관리형 HSM 활성화
HSM을 활성화할 때까지 모든 데이터 평면 명령을 사용할 수 없습니다. 키를 만들거나 역할을 할당할 수 없습니다. create 명령 중에 할당한 지정된 관리자만 HSM을 활성화할 수 있습니다. HSM을 활성화하려면 보안 도메인을 다운로드해야 합니다.
HSM을 활성화하려면 다음이 필요합니다.
- 최소 3개의 RSA 키 쌍(최대 10개)
- 보안 도메인의 암호를 해독하는 데 필요한 최소 키 수( 쿼럼이라고 함)
최소 3개(최대 10개) RSA 공개 키를 HSM에 보냅니다. HSM은 이러한 키를 사용하여 보안 도메인을 암호화하고 다시 보냅니다. 보안 도메인 다운로드가 성공적으로 완료되면 HSM을 사용할 준비가 됩니다. 또한 보안 도메인의 암호를 해독하는 데 필요한 최소 개인 키 수인 쿼럼을 지정해야 합니다.
다음 예제에서는 3개의 자체 서명된 인증서를 생성하는 데 사용하는 openssl 방법을 보여 줍니다.
openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer
인증서 만료 날짜는 보안 도메인 작업에 영향을 주지 않습니다. "만료된" 인증서도 보안 도메인을 복원하는 데 계속 사용할 수 있습니다.
중요한
이러한 RSA 프라이빗 키는 관리형 HSM에 대한 신뢰의 루트입니다. 프로덕션 환경의 경우 공극 시스템 또는 온-프레미스 HSM을 사용하여 이러한 키를 생성하고 안전하게 저장합니다. 자세한 지침 은 보안 도메인 모범 사례를 참조하세요.
az keyvault security-domain download 명령을 사용하여 보안 도메인을 다운로드하고 관리되는 HSM을 활성화합니다. 다음 예제에서는 3개의 RSA 키 쌍을 사용하고(이 명령에는 공개 키만 필요함) 쿼럼을 2로 설정합니다.
az keyvault security-domain download --hsm-name <hsm-name> --sd-wrapping-keys ./certs/cert_0.cer ./certs/cert_1.cer ./certs/cert_2.cer --sd-quorum 2 --security-domain-file <hsm-name>-SD.json
보안 도메인 파일 및 RSA 키 쌍을 안전하게 저장합니다. 두 사용자가 키를 공유할 수 있도록 재해 복구 또는 동일한 보안 도메인을 공유하는 다른 관리형 HSM을 만드는 데 필요합니다.
보안 도메인을 성공적으로 다운로드한 후 HSM이 활성 상태이며 사용할 준비가 된 것입니다.
리소스 정리
이 컬렉션의 다른 빠른 시작과 자습서는 이 빠른 시작을 기반으로 하여 작성됩니다. 이후의 빠른 시작 및 자습서를 계속 진행하려는 경우 이러한 리소스를 유지하는 것이 좋습니다.
더 이상 필요하지 않은 경우 Azure CLI az group delete 명령을 사용하여 리소스 그룹 및 모든 관련 리소스를 제거할 수 있습니다.
az group delete --name "myResourceGroup"
경고
리소스 그룹을 삭제하면 관리형 HSM이 일시 삭제된 상태로 전환됩니다. 관리형 HSM은 제거될 때까지 계속 청구됩니다. 관리형 HSM 일시 삭제. 및 제거 보호 참조
다음 단계
이 빠른 시작에서는 관리되는 HSM을 프로비저닝하고 활성화했습니다. 관리되는 HSM에 대한 자세한 내용 및 이를 애플리케이션과 통합하는 방법을 알아보려면 다음 문서를 계속 진행하세요.
- 관리형 HSM 개요 읽기
- 관리형 HSM에서 키 관리에 대해 알아보기
- 관리되는 HSM의 역할 관리에 대해 알아보기
- Azure 관리형 HSM 배포의 보안을 검토합니다