Blob Storage의 암호화 범위
암호화 범위를 사용하면 컨테이너 또는 개별 Blob으로 범위가 지정된 키로 암호화를 관리할 수 있습니다. 암호화 범위를 사용하여 같은 스토리지 계정에 있지만 다른 고객에 속한 데이터 간에 보안 경계를 만들 수 있습니다.
암호화 범위 작업에 관한 자세한 내용은 암호화 범위 만들기 및 관리를 참조하세요.
암호화 범위 작동 방식
기본적으로 스토리지 계정은 전체 스토리지 계정으로 범위가 지정된 키로 암호화됩니다. 암호화 범위를 정의할 때 컨테이너 또는 개별 Blob으로 범위가 지정될 수 있는 키를 지정합니다. 암호화 범위가 Blob에 적용되면 해당 키로 Blob이 암호화됩니다. 암호화 범위가 컨테이너에 적용되면 해당 컨테이너에 있는 Blob의 기본 범위 역할을 하므로 해당 컨테이너에 업로드되는 모든 Blob이 같은 키로 암호화될 수 있습니다. 컨테이너는 컨테이너의 모든 Blob에 기본 암호화 범위를 적용하거나 기본값이 아닌 암호화 범위를 사용하여 개별 Blob을 컨테이너에 업로드할 수 있도록 구성할 수 있습니다.
암호화 범위를 사용하여 만든 Blob에 대한 읽기 작업은 암호화 범위를 사용하지 않게 설정하지 않는 경우 투명하게 수행됩니다.
키 관리
암호화 범위를 정의할 때 범위가 Microsoft 관리형 키로 보호되는지 아니면 Azure Key Vault에 저장된 고객 관리형 키로 보호되는지 지정할 수 있습니다. 같은 스토리지 계정의 서로 다른 암호화 범위에서는 Microsoft 관리형 또는 고객 관리형 키를 사용할 수 있습니다. 또한 암호화 범위를 보호하는 데 사용되는 키 형식을 언제든 고객 관리형 키에서 Microsoft 관리형 키로 전환할 수 있으며, 그 반대도 마찬가지입니다. 고객 관리형 키에 관한 자세한 내용은 Azure Storage 암호화용 고객 관리형 키를 참조하세요. Microsoft 관리형 키에 관한 자세한 내용은 암호화 키 관리 정보를 참조하세요.
고객 관리형 키로 암호화 범위를 정의하는 경우 키 버전을 자동 또는 수동으로 업데이트하도록 선택할 수 있습니다. 키 버전을 자동으로 업데이트하도록 선택하면 Azure Storage는 매일 키 자격 증명 모음 또는 관리형 HSM에서 새 버전의 고객 관리형 키를 확인하고 키를 최신 버전으로 자동 업데이트합니다. 고객 관리형 키의 키 버전 업데이트에 관한 자세한 내용은 키 버전 업데이트를 참조하세요.
Azure Policy는 암호화 범위에서 고객 관리 키를 사용하도록 요구하는 기본 제공 정책을 제공합니다. 자세한 내용은 Azure Policy 기본 제공 정책 정의의 스토리지 섹션을 참조하세요.
스토리지 계정에는 키 버전이 자동으로 업데이트되는 고객 관리형 키로 보호되는 암호화 범위가 최대 10,000개일 수 있습니다. 스토리지 계정에 자동으로 업데이트되는 고객 관리형 키로 보호되는 암호화 범위가 이미 10,000개 있는 경우 고객 관리형 키로 보호되는 추가 암호화 범위에 대해 키 버전을 수동으로 업데이트해야 합니다.
인프라 암호화
Azure Storage의 인프라 암호화를 사 하면 데이터를 이중으로 암호화할 수 있습니다. 인프라 암호화를 사용하면 데이터가 다른 암호화 알고리즘 2개와 다른 키 2개를 사용하여 두 번(서비스 수준에서 한 번, 인프라 수준에서 한 번) 암호화됩니다.
인프라 암호화는 저장소 계정 수준 뿐만 아니라 암호화 범위에도 지원됩니다. 계정에 대해 인프라 암호화를 사용하도록 설정한 경우, 해당 계정에서 만든 암호화 범위가 인프라 암호화를 자동으로 사용합니다. 계정 수준에서 인프라 암호화를 사용하도록 설정하지 않은 경우, 범위를 만들 때 암호화 범위에 대해 사용하도록 설정할 수 있는 옵션이 있습니다. 범위를 만든 후에는 암호화 범위에 대한 인프라 암호화 설정을 변경할 수 없습니다.
인프라 암호화에 대한 자세한 내용은 데이터의 이중 암호화를 위한 인프라 암호화 사용을 참조하세요.
컨테이너와 Blob의 암호화 범위
컨테이너를 만들 때 나중에 해당 컨테이너에 업로드되는 Blob의 기본 암호화 범위를 지정할 수 있습니다. 컨테이너에 대해 기본 암호화 범위를 지정하는 경우 기본 암호화 범위를 적용하는 방법을 결정할 수 있습니다.
- 컨테이너에 업로드된 모든 Blob이 기본 암호화 범위를 사용하도록 요구할 수 있습니다. 이 경우 컨테이너의 모든 Blob은 같은 키를 사용하여 암호화됩니다.
- 클라이언트가 컨테이너의 기본 암호화 범위를 재정의하도록 허용하므로 기본 범위가 아닌 암호화 범위로 Blob을 업로드할 수 있습니다. 이 경우 컨테이너의 Blob은 다른 키로 암호화될 수 있습니다.
다음 표에는 컨테이너의 기본 암호화 범위가 구성되는 방식에 따라 Blob 업로드 작업의 동작이 요약되어 있습니다.
| 컨테이너에 정의된 암호화 범위는... | 기본 암호화 범위를 사용하여 Blob을 업로드하는 중... | 기본 범위 이외의 암호화 범위를 사용하여 Blob을 업로드하는 중... |
|---|---|---|
| 재정의가 허용된 기본 암호화 범위 | 성공 | 성공 |
| 재정의가 허용되지 않는 기본 암호화 범위 | 성공 | 실패 |
컨테이너를 만들 때 컨테이너에 기본 암호화 범위를 지정해야 합니다.
컨테이너에 기본 암호화 범위가 지정되지 않으면 스토리지 계정에 정의한 암호화 범위를 사용하여 Blob을 업로드할 수 있습니다. Blob을 업로드할 때 암호화 범위를 지정해야 합니다.
참고 항목
암호화 범위를 사용하여 새 Blob을 업로드하는 경우 해당 Blob의 기본 액세스 계층을 변경할 수 없습니다. 또한 암호화 범위를 사용하는 기존 Blob의 액세스 계층은 변경할 수 없습니다. 액세스 계층에 대한 자세한 내용은 Blob 데이터에 대한 핫, 쿨 및 보관 액세스 계층을 참조하세요.
암호화 범위를 사용하지 않도록 설정
암호화 범위를 사용하지 않도록 설정하면 암호화 범위를 사용한 후속 읽기 또는 쓰기 작업이 HTTP 오류 코드 403(금지됨)을 표시하며 실패합니다. 암호화 범위를 다시 사용으로 설정하면 읽기 및 쓰기 작업이 정상적으로 다시 진행됩니다.
암호화 범위가 고객 관리형 키로 보호되고 키 자격 증명 모음에서 키를 해지하면 데이터에 액세스할 수 없게 됩니다. 암호화 범위에 대한 요금이 청구되지 않도록 키 자격 증명 모음에서 키를 해지하기 전에 암호화 범위를 사용하지 않도록 설정해야 합니다.
고객 관리형 키는 키 자격 증명 모음의 소프트 삭제 및 제거 방지로 보호되며 삭제된 키는 해당 속성에 정의된 동작의 영향을 받습니다. 자세한 내용은 Azure Key Vault 설명서에서 다음 토픽 중 하나를 참조하세요.
Important
암호화 범위를 삭제할 수 없습니다.
암호화 범위에 대한 청구
암호화 범위를 사용하도록 설정하면 최소 30일 동안 요금이 청구됩니다. 30일이 지나면 암호화 범위에 대한 요금이 시간 단위로 비례 배분됩니다.
암호화 범위를 사용하도록 설정한 후 30일 이내에 사용하지 않도록 설정하면 30일 동안 요금이 청구됩니다. 30일 후에 암호화 범위를 사용하지 않도록 설정하면 해당 30일과 30일 후에 암호화 범위가 적용된 시간 수에 대한 요금이 청구됩니다.
불필요한 요금을 방지할 수 있도록 필요하지 않은 모든 암호화 범위를 사용하지 않도록 설정합니다.
암호화 범위에 대한 가격 책정에 대한 자세한 내용은 Blob Storage 가격 책정을 참조하세요.
기능 지원
이 기능에 대한 지원은 Data Lake Storage Gen2, NFS(네트워크 파일 시스템) 3.0 프로토콜 또는 SSH SFTP(파일 전송 프로토콜)를 사용하도록 설정하면 영향을 받을 수 있습니다. 이러한 기능을 사용하도록 설정한 경우 Azure Storage 계정의 Blob Storage 기능 지원을 참조하여 이 기능에 대한 지원을 평가합니다.