다음을 통해 공유


새 스토리지 계정에 대해 동일한 테넌트에서 고객 관리형 키 구성

Azure Storage는 미사용 스토리지 계정의 모든 데이터를 암호화합니다. 기본적으로 데이터는 Microsoft 관리형 키로 암호화됩니다. 암호화 키에 대한 추가 제어를 위해 사용자 고유의 키를 관리할 수 있습니다. 고객 관리형 키는 Azure Key Vault 또는 Azure Key Vault 관리형 HSM(하드웨어 보안 모델)에 저장해야 합니다.

이 문서에서는 새 스토리지 계정을 만들 때 고객 관리형 키를 사용하는 암호화를 구성하는 방법을 보여 줍니다. 고객 관리형 키는 키 자격 증명 모음에 저장됩니다.

기존 스토리지 계정에 대해 고객 관리형 키를 구성하는 방법을 알아보려면 Azure 키 자격 증명 모음에서 기존 스토리지 계정에 대한 고객 관리형 키 구성을 참조하세요.

참고 항목

Azure Key Vault 및 Azure Key Vault 관리되는 HSM은 고객 관리형 키 구성 시 동일한 API 및 관리 인터페이스를 지원합니다. Azure Key Vault에 지원되는 모든 작업은 Azure Key Vault 관리되는 HSM에도 지원됩니다.

키 자격 증명 모음 구성

신규 또는 기존 키 자격 증명 모음을 사용하여 고객 관리형 키를 저장할 수 있습니다. 스토리지 계정 및 키 자격 증명 모음은 동일한 테넌트의 다른 지역 또는 구독에 있을 수 있습니다. Azure Key Vault에 대한 자세한 내용을 보려면 Azure Key Vault 개요Azure Key Vault란?을 참조하세요.

Azure Storage 암호화에서 고객 관리형 키를 사용하려면 키 자격 증명 모음에 대해 일시 삭제 및 제거 보호를 모두 사용하도록 설정해야 합니다. 일시 삭제는 새 키 자격 증명 모음을 만들 때 기본적으로 사용하도록 설정되며 해제할 수 없습니다. 키 자격 증명 모음을 만들 때 또는 만든 후에 제거 보호를 사용하도록 설정할 수 있습니다.

Azure Key Vault는 Azure RBAC 권한 모델을 통해 Azure RBAC 권한 부여를 지원합니다. Microsoft는 키 자격 증명 모음 액세스 정책보다 Azure RBAC 권한 모델을 사용하는 것을 권장합니다. 자세한 내용은 Azure RBAC를 사용하여 Azure Key Vault에 액세스할 수 있도록 애플리케이션에 권한 부여를 참조하세요.

Azure Portal을 사용하여 키 자격 증명 모음을 만드는 방법은 빠른 시작: Azure Portal을 사용하여 키 자격 증명 모음 만들기를 참조하세요. 키 자격 증명 모음을 만들 때 다음 그림에 표시된 것처럼 보호 제거 사용을 선택합니다.

키 자격 증명 모음을 만들 때 제거 보호를 사용하도록 설정하는 방법을 보여 주는 스크린샷.

기존 키 자격 증명 모음에 보호 제거를 사용하도록 설정하려면 다음 단계를 수행합니다.

  1. Azure Portal에서 키 자격 증명 모음으로 이동합니다.
  2. 설정 아래에서 속성을 선택합니다.
  3. 보호 제거 섹션에서 보호 제거 사용을 선택합니다.

키 추가

다음으로 키 자격 증명 모음에 키를 추가합니다. 키를 추가하기 전에 Key Vault 암호화 책임자 역할을 자신에게 할당했는지 확인합니다.

Azure Storage 암호화는 2048, 3072, 4096 크기의 RSA 및 RSA HSM 키를 지원합니다. 지원되는 키 유형에 대한 자세한 내용은 키 정보를 참조하세요.

Azure Portal을 사용하여 키를 추가하는 방법은 빠른 시작: Azure Portal을 사용하여 Azure Key Vault에서 키 설정 및 검색을 참조하세요.

사용자가 할당한 관리 ID를 사용하여 키 자격 증명 모음에 대한 액세스 권한 부여

고객 관리형 키를 새 스토리지 계정에 사용하도록 설정하는 경우 사용자가 할당한 관리 ID를 지정해야 합니다. 기존 스토리지 계정은 사용자가 할당한 관리 ID 또는 시스템이 할당한 관리 ID를 사용하여 고객 관리형 키를 구성하도록 지원합니다.

사용자가 할당한 관리 ID를 사용하여 고객 관리형 키를 구성하는 경우 사용자가 할당한 관리 ID를 사용하여 키가 포함된 키 자격 증명 모음에 대한 액세스 권한을 부여합니다. 고객 관리형 키를 구성하기 전에 사용자 할당 ID를 만들어야 합니다.

사용자 할당 관리 ID는 독립 실행형 Azure 리소스입니다. 사용자가 할당한 관리 ID에 대한 자세한 내용은 관리 ID 유형을 참조하세요. 사용자가 할당한 관리 ID를 만들고 관리하는 방법에 대해 자세히 알아보려면 사용자 할당 관리 ID 관리를 참조하세요.

사용자가 할당한 관리 ID에는 키 자격 증명 모음의 키에 액세스할 수 있는 권한이 있어야 합니다. Key Vault 암호화 서비스 암호화 사용자 역할을 키 자격 증명 모음 범위가 있는 사용자가 할당한 관리 ID에 할당하여 이러한 권한을 부여합니다.

사용자가 할당한 관리 ID로 고객 관리형 키를 구성하려면 먼저 Key Vault 암호화 서비스 암호화 사용자 역할을 키 자격 증명 모음으로 범위가 할당된 사용자가 할당한 관리 ID에 할당해야 합니다. 이 역할은 키 자격 증명 모음의 키에 액세스할 수 있는 사용자가 할당한 관리 ID 권한을 부여합니다. Azure Portal에서 Azure RBAC 역할 할당에 대한 자세한 내용은 Azure Portal을 사용하여 Azure 역할 할당을 참조하세요.

Azure Portal을 사용하여 고객 관리형 키를 구성하는 경우 포털 사용자 인터페이스를 통해 기존 사용자 할당 ID를 선택할 수 있습니다.

새 스토리지 계정에 대한 고객 관리형 키 구성

새 스토리지 계정에 대해 고객 관리형 키를 사용하여 암호화를 구성하는 경우 연결된 키 자격 증명 모음에서 새 버전을 사용할 수 있을 때마다 Azure Storage 암호화에 사용되는 키 버전을 자동으로 업데이트하도록 선택할 수 있습니다. 또는, 키 버전이 수동으로 업데이트될 때까지 암호화에 사용할 키 버전을 명시적으로 지정할 수 있습니다.

스토리지 계정을 만드는 동안 고객 관리형 키를 구성할 경우 기존의 사용자가 할당한 관리 ID를 사용하여 키 자격 증명 모음에 대한 액세스 권한을 부여해야 합니다. 사용자가 할당한 관리 ID에는 키 자격 증명 모음에 액세스할 수 있는 적절한 권한이 있어야 합니다. 자세한 내용은 Azure Key Vault에 인증을 참조하세요.

암호화에서 키 버전 자동 업데이트 구성

Azure Storage는 키 자격 증명 모음의 최신 키 버전을 사용하도록 암호화에 사용되는 고객 관리형 키를 자동으로 업데이트할 수 있습니다. Azure Storage는 매일 키 자격 증명 모음에서 새 키 버전을 확인합니다. 새 버전을 사용할 수 있게 되면 Azure Storage에서 자동으로 최신 버전의 암호화 키를 사용하기 시작합니다.

Important

Azure Storage는 키 자격 증명 모음에서 새 키 버전을 매일 한 번만 확인합니다. 키를 회전하는 경우 이전 버전을 사용하지 않도록 설정할 때까지 24시간 동안 기다려야 합니다.

키 버전 자동 업데이트를 통해 새 스토리지 계정에 대한 고객 관리형 키를 구성하려면 다음 단계를 수행합니다.

  1. Azure Portal에서 스토리지 계정 페이지로 이동하고 만들기 단추를 선택하여 새 계정을 만듭니다.

  2. 스토리지 계정 만들기에 설명된 단계를 수행하여 기본, 고급, 네트워킹데이터 보호 탭의 필드를 채웁니다.

  3. 암호화 탭의 고객 관리형 키에 대한 지원을 사용하도록 설정 필드에서 고객 관리형 키에 대한 지원을 사용하도록 설정하려는 서비스를 나타냅니다.

  4. 암호화 유형 필드에서 CMK(고객 관리형 키)를 선택합니다.

  5. 암호화 키 필드에서 키 자격 증명 모음 및 키 선택을 선택하고 키 자격 증명 모음과 키를 지정합니다.

  6. 사용자 할당 ID 필드의 경우 기존의 사용자가 할당한 관리 ID를 선택합니다.

    Azure Portal에서 새 스토리지 계정에 대한 고객 관리형 키를 구성하는 방법을 보여 주는 스크린샷.

  7. 검토 단추를 선택하여 유효성을 검사하고 계정을 만듭니다.

새 스토리지 계정을 만들 때 키 버전의 수동 업데이트를 사용하여 고객 관리형 키를 구성할 수도 있습니다. 암호화에서 키 버전 수동 업데이트 구성에 설명된 단계를 따릅니다.

암호화에서 키 버전 수동 업데이트 구성

키 버전을 수동으로 업데이트하려는 경우 스토리지 계정을 만드는 동안 고객 관리형 키를 사용하는 암호화를 구성할 때 버전을 명시적으로 지정합니다. 이 경우 Azure Storage는 자격 증명 모음에서 새 버전을 만들 때 키 버전을 자동으로 업데이트하지 않습니다. 새 키 버전을 사용하려면 Azure Storage 암호화에 사용되는 버전을 수동으로 업데이트해야 합니다.

스토리지 계정을 만드는 동안 고객 관리형 키를 구성할 경우 기존의 사용자가 할당한 관리 ID를 사용하여 키 자격 증명 모음에 대한 액세스 권한을 부여해야 합니다. 사용자가 할당한 관리 ID에는 키 자격 증명 모음에 액세스할 수 있는 적절한 권한이 있어야 합니다. 자세한 내용은 Azure Key Vault에 인증을 참조하세요.

Azure Portal에서 키 버전을 수동으로 업데이트하도록 고객 관리형 키를 구성하려면 스토리지 계정을 만드는 동안 버전을 포함하여 키 URI를 지정합니다. 키를 URI로 지정하려면 다음 단계를 수행합니다.

  1. Azure Portal에서 스토리지 계정 페이지로 이동하고 만들기 단추를 선택하여 새 계정을 만듭니다.

  2. 스토리지 계정 만들기에 설명된 단계를 수행하여 기본, 고급, 네트워킹데이터 보호 탭의 필드를 채웁니다.

  3. 암호화 탭의 고객 관리형 키에 대한 지원을 사용하도록 설정 필드에서 고객 관리형 키에 대한 지원을 사용하도록 설정하려는 서비스를 나타냅니다.

  4. 암호화 유형 필드에서 CMK(고객 관리형 키)를 선택합니다.

  5. Azure Portal에서 키 URI을 찾으려면 키 자격 증명 모음으로 이동하여 설정을 선택합니다. 원하는 키를 선택한 다음, 키를 선택하여 해당 버전을 봅니다. 키 버전을 선택하여 해당 버전의 설정을 봅니다.

  6. URI를 제공하는 키 식별자 필드의 값을 복사합니다.

    Azure Portal에서 키 자격 증명 모음 키 URI를 보여 주는 스크린샷.

  7. 스토리지 계정에 대한 암호화 키 설정에서 키 URI 입력 옵션을 선택합니다.

  8. 복사한 URI를 키 URI 필드에 붙여넣습니다. 키 버전의 수동 업데이트를 구성하려면 키 버전을 URI에 포함합니다.

  9. ID 선택 링크를 선택하여 사용자가 할당한 관리 ID를 지정합니다.

    Azure Portal에서 키 URI를 입력하는 방법을 보여 주는 스크린샷.

  10. 검토 단추를 선택하여 유효성을 검사하고 계정을 만듭니다.

키 변경

Azure Storage 암호화에 사용하는 키는 언제든지 변경할 수 있습니다.

참고 항목

키 또는 키 버전을 변경하면 루트 암호화 키의 보호 상태가 변경되지만, Azure Storage 계정의 데이터는 항상 암호화된 상태로 유지됩니다. 데이터를 보호하기 위해 취해야 할 추가 조치는 없습니다. 키를 변경하거나 키 버전을 회전해도 성능에 영향을 주지는 않습니다. 키 변경 또는 키 버전 회전과 관련된 가동 중지 시간은 없습니다.

Azure Portal을 사용하여 키를 변경하려면 다음 단계를 수행합니다.

  1. 스토리지 계정으로 이동하여 암호화 설정을 표시합니다.
  2. 키 자격 증명 모음을 선택하고 새 키를 선택합니다.
  3. 변경 내용을 저장합니다.

새 키가 다른 키 자격 증명 모음에 있는 경우 관리 ID에 새 자격 증명 모음의 키에 대한 액세스 권한을 부여해야 합니다. 키 버전의 수동 업데이트를 선택하는 경우 Key Vault URI도 업데이트해야 합니다.

고객 관리형 키를 사용하는 스토리지 계정에 대한 액세스 해지

고객 관리형 키를 사용하는 스토리지 계정에 대한 액세스 권한을 일시적으로 철회하려면 키 자격 증명 모음에서 현재 사용되는 키를 사용하지 않도록 설정합니다. 키를 사용하지 않도록 설정했다가 다시 사용하도록 설정하는 일과 관련하여 나타나는 성능상의 영향이나 가동 중지 시간은 없습니다.

키를 사용하지 않도록 설정하면 클라이언트가 Blob 또는 해당 메타데이터에서 읽거나 쓰는 작업을 호출할 수 없습니다. 실패할 작업에 대한 자세한 내용은 고객 관리형 키를 사용하는 스토리지 계정에 대한 액세스 권한 철회를 참조하세요.

주의

Key Vault에서 키를 사용하지 않도록 설정하면 Azure Storage 계정의 데이터가 암호화된 상태로 유지되지만, 키를 다시 사용하도록 설정할 때까지 액세스할 수 없게 됩니다.

Azure Portal에서 고객 관리형 키를 사용하지 않도록 설정하려면 다음 단계를 따릅니다.

  1. 키가 포함된 키 자격 증명 모음으로 이동합니다.

  2. 개체에서 를 선택합니다.

  3. 키를 마우스 오른쪽 단추로 클릭하고 사용 안 함을 선택합니다.

    키 자격 증명 모음에서 고객 관리형 키를 사용하지 않도록 설정하는 방법을 보여 주는 스크린샷.

키를 사용하지 않도록 설정하면 스토리지 계정의 데이터에 액세스하려는 시도가 오류 코드 403(사용할 수 없음)을 나타내며 실패합니다. 키를 사용하지 않도록 설정할 때 영향을 받는 스토리지 계정 작업 목록은 고객 관리형 키를 사용하는 스토리지 계정에 대한 액세스 해지를 참조하세요.

Microsoft 관리형 키로 다시 전환

Azure Portal, PowerShell 또는 Azure CLI를 사용하여 언제든지 고객 관리형 키에서 Microsoft 관리형 키로 다시 전환할 수 있습니다.

Azure Portal을 통해 고객 관리형 키에서 Microsoft 관리형 키로 다시 전환하려면 다음 단계를 따릅니다.

  1. 본인의 저장소 계정으로 이동합니다.

  2. 보안 + 네트워킹에서 암호화를 선택합니다.

  3. 암호화 유형Microsoft 관리형 키로 변경합니다.

    스토리지 계정에 대해 Microsoft 관리형 키로 전환하는 방법을 보여 주는 스크린샷.

다음 단계