빠른 시작: ARM 템플릿을 사용하여 관리형 HSM 만들기

이 빠른 시작에서는 ARM 템플릿(Azure Resource Manager 템플릿)을 사용하여 Azure Key Vault 관리형 HSM을 만드는 방법을 설명합니다. 관리형 HSM은 FIPS 140-2 수준 3 유효성이 검사된 HSM을 사용하여 클라우드 애플리케이션용 암호화 키를 보호할 수 있는 완전 관리형 고가용 단일 테넌트 표준 규격 클라우드 서비스입니다.

Azure Resource Manager 템플릿은 프로젝트에 대한 인프라 및 구성을 정의하는 JSON(JavaScript Object Notation) 파일입니다. 이 템플릿은 선언적 구문을 사용합니다. 배포를 만들기 위한 프로그래밍 명령의 시퀀스를 작성하지 않고 의도하는 배포를 설명합니다.

환경이 필수 구성 요소를 충족하고 ARM 템플릿 사용에 익숙한 경우 Azure에 배포 단추를 선택합니다. 그러면 Azure Portal에서 템플릿이 열립니다.

필수 조건

Azure 구독이 없는 경우 시작하기 전에 체험 계정을 만듭니다.

• Azure Cloud Shell에서 Bash 환경을 사용합니다. 자세한 내용은 Azure Cloud Shell의 Bash에 대한 빠른 시작을 참조하세요.

  

• CLI 참조 명령을 로컬에서 실행하려면 Azure CLI를 설치합니다. Windows 또는 macOS에서 실행 중인 경우 Docker 컨테이너에서 Azure CLI를 실행하는 것이 좋습니다. 자세한 내용은 Docker 컨테이너에서 Azure CLI를 실행하는 방법을 참조하세요.

  • 로컬 설치를 사용하는 경우 az login 명령을 사용하여 Azure CLI에 로그인합니다. 인증 프로세스를 완료하려면 터미널에 표시되는 단계를 수행합니다. 다른 로그인 옵션은 Azure CLI를 사용하여 로그인을 참조하세요.

  • 메시지가 표시되면 처음 사용할 때 Azure CLI 확장을 설치합니다. 확장에 대한 자세한 내용은 Azure CLI에서 확장 사용을 참조하세요.

  • az version을 실행하여 설치된 버전과 종속 라이브러리를 찾습니다. 최신 버전으로 업그레이드하려면 az upgrade를 실행합니다.

템플릿 검토

이 빠른 시작에서 사용되는 템플릿은 Azure 빠른 시작 템플릿에서 가져온 것입니다.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "metadata": {
    "_generator": {
      "name": "bicep",
      "version": "0.5.6.12127",
      "templateHash": "9933229425431379390"
    }
  },
  "parameters": {
    "managedHSMName": {
      "type": "string",
      "metadata": {
        "description": "String specifying the name of the managed HSM."
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "String specifying the Azure location where the managed HSM should be created."
      }
    },
    "initialAdminObjectIds": {
      "type": "array",
      "metadata": {
        "description": "Array specifying the objectIDs associated with a list of initial administrators."
      }
    },
    "tenantId": {
      "type": "string",
      "defaultValue": "[subscription().tenantId]",
      "metadata": {
        "description": "String specifying the Azure Active Directory tenant ID that should be used for authenticating requests to the managed HSM."
      }
    },
    "softRetentionInDays": {
      "type": "int",
      "defaultValue": 7,
      "maxValue": 90,
      "minValue": 7,
      "metadata": {
        "description": "Specifies the number of days that managed Key Vault will be kept recoverable if deleted. If you do not want to have soft delete enabled, set value to 0."
      }
    }
  },
  "resources": [
    {
      "type": "Microsoft.KeyVault/managedHSMs",
      "apiVersion": "2021-04-01-preview",
      "name": "[parameters('managedHSMName')]",
      "location": "[parameters('location')]",
      "sku": {
        "name": "Standard_B1",
        "family": "B"
      },
      "properties": {
        "enableSoftDelete": "[greater(parameters('softRetentionInDays'), 0)]",
        "softDeleteRetentionInDays": "[if(equals(parameters('softRetentionInDays'), 0), null(), parameters('softRetentionInDays'))]",
        "enablePurgeProtection": false,
        "tenantId": "[parameters('tenantId')]",
        "initialAdminObjectIds": "[parameters('initialAdminObjectIds')]",
        "publicNetworkAccess": "Enabled",
        "networkAcls": {
          "bypass": "None",
          "defaultAction": "Allow"
        }
      }
    }
  ]
}

템플릿에 정의된 Azure 리소스는 다음과 같습니다.

• Microsoft.KeyVault/managedHSMs: Azure Key Vault 관리형 HSM을 만듭니다.

템플릿 배포

템플릿에는 계정과 연결된 개체 ID가 필요합니다. 이를 찾으려면 Azure CLI az ad user show 명령을 사용하여 이메일 주소를 --id 매개 변수에 전달합니다. --query 매개 변수를 사용하는 경우에만 출력을 개체 ID로 제한할 수 있습니다.

az ad user show --id <your-email-address> --query "objectId"

테넌트 ID가 필요할 수도 있습니다. 이를 찾으려면 Azure CLI az ad user show 명령을 사용합니다. --query 매개 변수를 사용하는 경우에만 출력을 테넌트 ID로 제한할 수 있습니다.

az account show --query "tenantId"

이제 ARM 템플릿을 배포할 수 있습니다.

1. 다음 이미지를 선택하고 Azure에 로그인하여 템플릿을 엽니다. 템플릿은 관리되는 HSM을 만듭니다.

   

2. 다음 값을 선택하거나 입력합니다. 지정하지 않은 경우 기본값을 사용하여 관리되는 HSM을 만듭니다.

   • 구독: Azure 구독을 선택합니다.
   • 리소스 그룹: 새로 만들기를 선택하고 이름으로 "myResourceGroup"을 입력한 다음, 확인을 선택합니다.
   • 위치: 위치를 선택합니다. 예를 들어 미국 동부 2입니다.
   • managedHSMName: 관리되는 HSM의 이름을 입력합니다.
   • 테넌트 ID: 템플릿 함수는 자동으로 테넌트 ID를 검색합니다. 기본값을 변경하지 마세요. 값이 없는 경우 위에서 검색한 테넌트 ID를 입력합니다.
   • initialAdminObjectIds: 위에서 검색한 개체 ID를 입력합니다.

3. 구매를 선택합니다. 관리되는 HSM이 성공적으로 배포된 후 알림을 받습니다.

Azure Portal은 템플릿을 배포하는데 사용됩니다. Azure Portal 외에도 Azure PowerShell, Azure CLI 및 REST API를 사용할 수 있습니다. 다른 배포 방법을 알아보려면 템플릿 배포를 참조하세요.

배포 유효성 검사

관리형 HSM이 Azure CLI az keyvault list 명령을 사용하여 만들어졌는지 확인할 수 있습니다. 결과 형식을 테이블로 지정하면 출력을 더 쉽게 읽을 수 있습니다.

az keyvault list -o table

새로 만든 관리형 HSM의 이름이 표시됩니다.

리소스 정리

이 컬렉션의 다른 빠른 시작과 자습서는 이 빠른 시작을 기반으로 하여 작성됩니다. 이후의 빠른 시작 및 자습서를 계속 진행하려는 경우 이러한 리소스를 유지하는 것이 좋습니다.

더 이상 필요하지 않은 경우 Azure CLI az group delete 명령을 사용하여 리소스 그룹 및 모든 관련 리소스를 제거할 수 있습니다.

az group delete --name "myResourceGroup"

Warning

리소스 그룹을 삭제하면 관리형 HSM이 일시 삭제된 상태로 전환됩니다. 관리형 HSM을 제거할 때까지 요금이 계속 청구됩니다. 관리형 HSM 일시 삭제. 및 제거 보호 참조

다음 단계

이 빠른 시작에서는 관리되는 HSM을 만들었습니다. 이 관리되는 HSM은 활성화될 때까지 완전하게 작동하지 않습니다. HSM을 활성화하는 방법에 대한 자세한 내용은 관리되는 HSM 활성화를 참조하세요.

• 관리형 HSM 개요 읽기
• 관리되는 HSM에서 키 관리에 대해 알아보기
• 관리형 HSM 모범 사례 검토