Azure Key Vault 비밀 정보

Key Vault는 암호 및 데이터베이스 연결 문자열과 같은 안전한 일반 비밀 스토리지를 제공합니다.

개발자의 관점에서 Key Vault API는 비밀 값을 수락하고 문자열로 반환합니다. 내부적으로 Key Vault는 비밀을 8진수(8비트 바이트) 시퀀스로 저장 및 관리하며, 각각의 최대 크기는 25k 바이트입니다. Key Vault 서비스는 비밀에 대한 의미 체계를 제공하지 않습니다. 데이터를 수락하고, 암호화하고, 저장하고, 비밀 식별자(id)를 반환하기만 하면 됩니다. 식별자는 나중에 비밀을 검색하는 데 사용할 수 있습니다.

매우 중요한 데이터의 경우 클라이언트는 데이터에 대한 추가 보호 계층을 고려해야 합니다. 예를 들어 별도의 보호 키를 사용하여 데이터를 암호화한 후 Key Vault에 스토리지합니다.

Key Vault는 비밀에 대한 contentType 필드도 지원합니다. 클라이언트는 비밀 데이터를 검색할 때 해석하는 데 도움이 되도록 비밀의 콘텐츠 형식을 지정할 수 있습니다. 이 필드의 최대 길이는 255자이며, 비밀 데이터를 해석하기 위한 힌트로 사용하는 것이 좋습니다. 예를 들어 구현에서는 암호와 인증서를 모두 비밀로 저장한 다음, 이 필드를 사용하여 구분할 수 있습니다. 미리 정의된 값이 없습니다.

암호화

Key Vault의 모든 비밀은 암호화된 상태로 저장됩니다. Key Vault는 비사용 중인 비밀을 암호화 키 계층 구조로 암호화하며, 이 계층의 모든 키는 FIPS 140-2 규격을 준수하는 모듈에 의해 보호됩니다. 이 암호화는 투명하며 사용자의 작업이 필요하지 않습니다. Azure Key Vault 서비스는 비밀을 추가할 때 암호화하고 읽을 때 암호를 자동으로 해독합니다.

키 계층 구조의 암호화 리프 키는 각 키 자격 증명 모음에 대해 고유합니다. 키 계층 구조의 암호화 루트 키는 보안 세계에서 고유하며 FIPS 140-2 수준 3 이상에 대해 유효성을 검사하는 모듈로 보호됩니다.

비밀 특성

비밀 데이터 외에도 지정할 수 있는 특성은 다음과 같습니다.

• exp: IntDate, 선택 사항, 기본값은 영원히 유지됩니다. exp(만료 시간) 특성은 특정 상황을 제외하고 비밀 데이터를 검색해서는 안 되는 만료 시간을 식별합니다. 이 필드는 특정 비밀이 사용되지 않을 수 있음을 키 자격 증명 모음 서비스의 사용자에게 알리는 정보 제공 용도로만 사용됩니다. 이 값은 IntDate 값이 포함된 숫자여야 합니다.
• nbf: IntDate, 선택 사항, 기본값은 지금입니다. nbf(이전이 아님) 특성은 특정 상황을 제외하고 비밀 데이터를 검색하지 않아야 하는 시간을 식별합니다. 이 필드는 정보 제공 용도로 만 사용됩니다. 이 값은 IntDate 값이 포함된 숫자여야 합니다.
• enabled: 부울, 선택 사항, 기본값은 true입니다. 이 특성은 비밀 데이터이 검색 가능 여부를 지정합니다. 활성화된 특성은 nbf 와 exp 간에 작업이 발생할 때 nbf 및 exp와 함께 사용되며, 사용이 true로 설정된 경우에만 허용됩니다. nbf 및 exp 창 외부의 작업은 특정 상황을 제외하고 자동으로 허용되지 않습니다.

비밀 특성을 포함하는 모든 응답에 포함되는 더 많은 읽기 전용 특성이 있습니다.

• created: IntDate, 선택 사항입니다. created 특성은 이 버전의 비밀을 만든 시점을 나타냅니다. 이 특성을 추가하기 전에 만든 비밀에 대한 값은 null입니다. 이 값은 IntDate 값이 포함된 숫자여야 합니다.
• updated: IntDate, 선택 사항입니다. updated 특성은 이 버전의 비밀을 업데이트한 시점을 나타냅니다. 이 특성을 추가하기 전에 마지막으로 업데이트한 비밀에 대한 값은 null입니다. 이 값은 IntDate 값이 포함된 숫자여야 합니다.

각 키 자격 증명 모음 개체 유형에 대한 일반적인 특성에 대한 자세한 내용은 Azure Key Vault 키, 비밀 및 인증서 개요를 참조하세요.

날짜 및 시간 제어 작업

비밀의 가져오기 작업은 nbf / exp 창 외부에서 아직 유효하지 않고 만료된 비밀에 대해 작동합니다. 테스트 목적으로 아직 유효하지 않은 비밀에 대한 가져오기 작업을 호출할 수 있습니다. 만료된 비밀을 가져오기하는 것은 복구 작업에 사용할 수 있습니다.

비밀 액세스 제어

Key Vault에서 관리되는 비밀에 대한 액세스 제어는 해당 비밀을 포함하는 Key Vault 수준에서 제공됩니다. 비밀에 대한 액세스 제어 정책은 동일한 Key Vault의 키에 대한 액세스 제어 정책과 다릅니다. 사용자는 비밀을 보관할 하나 이상의 자격 증명 모음을 만들 수 있으며, 시나리오에 따라 비밀을 적절하게 세분화하고 관리해야 합니다.

자격 증명 모음의 비밀 액세스 제어 항목에서 보안 주체별로 사용할 수 있고 비밀 개체에 허용되는 작업과 매우 비슷한 권한은 다음과 같습니다.

• 비밀 관리 작업에 필요한 권한

  • get: 비밀 읽기
  • 목록: Key Vault에 저장된 비밀의 비밀 또는 버전 나열
  • set: 비밀 만들기
  • 삭제: 비밀 삭제
  • 복구: 삭제된 비밀 복구
  • 백업: 키 보관소에 비밀 백업하기
  • 복원: 백업된 비밀 정보를 키 자격 증명 모음으로 복원

• 권한 있는 작업에 필요한 권한

  • 제거: 삭제된 비밀 제거(영구적으로 삭제)

비밀 작업에 대한 자세한 내용은 Key Vault REST API 참조의 비밀 작업을 참조하세요. 사용 권한 설정에 대한 자세한 내용은 자격 증명 모음 - 만들기 또는 업데이트 및 자격 증명 모음 - 액세스 정책 업데이트를 참조하세요.

Key Vault에서 액세스를 제어하는 방법 가이드:

• CLI를 사용하여 Key Vault 액세스 정책 할당
• PowerShell을 사용하여 Key Vault 액세스 정책 할당
• Azure Portal을 사용하여 Key Vault 액세스 정책 할당
• Azure 역할 기반 액세스 제어를 사용하여 Key Vault 키, 인증서 및 비밀에 대한 액세스 제공

비밀 태그

태그 형식으로 더 많은 애플리케이션별 메타데이터를 지정할 수 있습니다. Key Vault는 최대 15개의 태그를 지원하며, 각 태그는 512자 이름과 512자 값을 가질 수 있습니다.

비고

태그는 list 또는 get 권한이 있는 경우 호출자가 읽을 수 있습니다.

사용 시나리오

사용 시기	예시
암호, 액세스 키, 서비스 주체 클라이언트 비밀과 같은 서비스 간 통신에 대한 자격 증명을 안전하게 저장, 관리 및 모니터링합니다.	- Virtual Machine에서 Azure Key Vault 사용 - Azure Web App에서 Azure Key Vault 사용

다음 단계

• Azure의 키 관리
• Key Vault의 비밀 관리에 대한 모범 사례
• Key Vault 정보
• 키, 비밀 및 인증서 정보
• Key Vault 액세스 정책 할당
• Azure 역할 기반 액세스 제어를 사용하여 Key Vault 키, 인증서 및 비밀에 대한 액세스 제공
• Key Vault에 대한 보안 액세스
• Key Vault 개발자 가이드