참고
제로 트러스트는 "명시적으로 확인", "최소 권한 액세스 사용" 및 '위반 가정'의 세 가지 원칙으로 구성된 보안 전략입니다. 키 관리를 포함한 데이터 보호는 "최소 권한 액세스 사용" 원칙을 지원합니다. 자세한 내용은 제로 트러스트란?을 참조하세요.
Azure에서 암호화 키는 플랫폼 관리형 또는 고객 관리형이 될 수 있습니다.
PMK(플랫폼 관리형 키)는 Azure에서 완전히 생성, 저장 및 관리되는 암호화 키입니다. 고객은 PMK와 상호 작용하지 않습니다. 예를 들어 Azure 미사용 데이터 암호화에 사용되는 키는 기본적으로 PMK입니다.
반면에 CMK(고객 관리형 키)는 한 명 이상의 고객이 읽고, 만들고, 삭제하고, 업데이트 및/또는 관리하는 키입니다. 고객 소유의 키 보관소 또는 하드웨어 보안 모듈(HSM)에 저장된 키는 고객 관리 키(CMK)입니다. BYOK(Bring Your Own Key)는 고객이 외부 스토리지 위치에서 Azure 키 관리 서비스로 키를 가져오는 CMK 시나리오입니다(Azure Key Vault: Bring Your Own Key 사양 참조).
특정 종류의 고객 관리형 키가 KEK("키 암호화 키")입니다. KEK는 자체적으로 암호화된 하나 이상의 암호화 키에 대한 액세스를 제어하는 기본 키입니다.
고객 관리형 키는 온-프레미스 또는 더 일반적으로 클라우드 키 관리 서비스에 저장할 수 있습니다.
Azure 키 관리 서비스
Azure는 Azure Key Vault, Azure Managed HSM, Azure Cloud HSM 미리 보기, Azure Dedicated HSM 및 Azure Payment HSM을 포함하여 클라우드에 키를 저장하고 관리하기 위한 몇 가지 옵션을 제공합니다. 이러한 옵션은 FIPS 준수 수준, 관리 오버헤드 및 의도된 애플리케이션 측면에서 다릅니다.
각 키 관리 서비스에 대한 개요와 적합한 키 관리 솔루션을 선택하는 포괄적인 가이드는 올바른 키 관리 솔루션 선택 방법을 참조하세요.
가격 책정
Azure Key Vault 표준 및 프리미엄 계층은 트랜잭션 기준으로 청구되며 프리미엄 하드웨어 지원 키에 대한 추가 월별 키당 요금이 청구됩니다. 관리형 HSM, 클라우드 HSM 미리 보기, 전용 HSM 및 결제 HSM은 트랜잭션 기준으로 청구되지 않습니다. 대신 고정 시간당 요금으로 청구되는 항상 사용 중인 디바이스입니다. 자세한 가격 책정 정보는 Key Vault 가격 책정, Dedicated HSM 가격 책정 및 Payment HSM 가격 책정을 참조하세요.
서비스 제한
관리형 HSM, 클라우드 HSM 미리 보기, 전용 HSM 및 결제 HSM은 전용 용량을 제공합니다. Key Vault 표준 및 프리미엄은 다중 테넌트 제품이며 제한 제한이 있습니다. 서비스 한도는 Key Vault 서비스 한도를 참조하세요.
미사용 암호화
Azure Key Vault 및 Azure Key Vault 관리형 HSM은 Azure 서비스 및 고객 관리형 키용 Microsoft 365와 통합되어 있으므로 고객은 Azure Key Vault 및 Azure Managed HSM에서 자체 키를 사용하여 이러한 서비스에 저장된 데이터의 미사용 데이터를 암호화할 수 있습니다. 클라우드 HSM 미리 보기, 전용 HSM 및 Payments HSM은 서비스 제공 인프라이며 Azure 서비스와의 통합을 제공하지 않습니다. Azure Key Vault 및 관리 HSM을 사용한 정지 데이터 암호화에 대한 개요는 Azure 정지 데이터 암호화를 참조하세요.
API들
클라우드 HSM 미리 보기, 전용 HSM 및 결제 HSM은 PKCS#11, JCE/JCA 및 KSP/CNG API를 지원하지만 Azure Key Vault 및 관리형 HSM은 지원하지 않습니다. Azure Key Vault 및 Managed HSM은 Azure Key Vault REST API를 사용하고 SDK 지원을 제공합니다. Azure Key Vault API에 대한 자세한 내용은 Azure Key Vault REST API 참조를 참조하세요.