Azure Portal을 사용하여 관리 디스크에 고객 관리형 키를 사용하여 서버 쪽 암호화를 사용하도록 설정

  • 아티클

적용 대상: ✔️ Linux VM ✔️ Windows VM ✔️

Azure Disk Storage를 사용하면 관리 디스크에 대해 SSE(서버 쪽 암호화)를 사용하도록 선택하는 경우 자체 키를 관리할 수 있습니다. 고객 관리형 키 및 기타 관리 디스크 암호화 유형을 사용하는 SSE에 대한 개념 정보는 디스크 암호화 문서 고객 관리형 키고객 관리형 키 섹션을 참조하세요

제한 사항

현재 고객 관리형 키에는 다음과 같은 제한 사항이 있습니다.

  • 증분 스냅샷이 있는 디스크에 대해 이 기능이 사용하도록 설정된 경우 해당 디스크 또는 해당 스냅샷에서 사용하지 않도록 설정할 수 없습니다. 이 문제를 해결하려면 고객 관리형 키를 사용하지 않는 완전히 다른 관리 디스크로 모든 데이터를 복사합니다. Azure CLI 또는 Azure PowerShell 모듈을 사용하여 이 작업을 수행할 수 있습니다.
  • 2,048비트, 3,072비트 및 4,096비트 크기의 소프트웨어 및 HSM RSA 키만 지원되며 다른 키나 크기는 지원되지 않습니다.
    • HSM 키에는 Azure Key Vault의 프리미엄 계층이 필요합니다.
  • Ultra Disks 및 프리미엄 SSD v2 디스크만 해당: 서버 측 암호화 및 고객 관리형 키로 암호화된 디스크에서 만든 스냅샷은 동일한 고객 관리형 키를 사용하여 암호화해야 합니다.
  • 고객 관리형 키와 관련된 대부분의 리소스(디스크 암호화 집합, VM, 디스크 및 스냅샷)는 동일한 구독 및 지역에 있어야 합니다.
    • Azure Key Vault는 다른 구독에서 사용할 수 있지만 디스크 암호화 집합과 동일한 지역에 있어야 합니다. 미리 보기로 다른 Microsoft Entra 테넌트에서 Azure Key Vault를 사용할 수 있습니다.
  • 고객 관리형 키로 암호화된 디스크는 연결된 VM의 할당이 취소된 경우에만 다른 리소스 그룹으로 이동할 수 있습니다.
  • 고객 관리형 키를 사용하여 암호화된 디스크, 스냅샷 및 이미지는 다른 구독으로 이동할 수 없습니다.
  • 현재 또는 이전에 Azure Disk Encryption을 통해 암호화된 관리 디스크는 고객 관리형 키를 사용하여 암호화할 수 없습니다.
  • 구독당 지역당 최대 5,000개의 디스크 암호화 집합을 만들 수 있습니다.
  • 공유 이미지 갤러리에서 고객 관리형 키를 사용하는 방법에 대한 자세한 내용은 미리 보기: 이미지 암호화에 고객 관리형 키 사용

다음 섹션에서는 관리 디스크에 고객 관리형 키를 사용하도록 설정하고 사용하는 방법을 설명합니다.

디스크에 대한 고객 관리형 키를 설정하려면 처음으로 수행하는 경우 특정 순서로 리소스를 만들어야 합니다. 먼저 Azure Key Vault를 만들고 설정해야 합니다.

Azure Key Vault 설정

  1. Azure Portal에 로그인합니다.

  2. Key Vault를 검색하고 선택합니다.

    Screenshot of the Azure portal with the search dialog box expanded.

    Important

    배포가 성공하려면 디스크 암호화 집합, VM, 디스크 및 스냅샷이 모두 동일한 지역과 구독에 있어야 합니다. Azure Key Vault는 다른 구독에서 사용할 수 있지만 디스크 암호화 집합과 동일한 지역 및 테넌트에 있어야 합니다.

  3. +만들기를 선택하여 새 Key Vault를 만듭니다.

  4. 새 리소스 그룹 만들기

  5. 키 자격 증명 모음 이름을 입력하고, 지역을 선택하고, 가격 책정 계층을 선택합니다.

    참고 항목

    Key Vault 인스턴스를 만들 때 일시 삭제 및 제거 보호를 사용하도록 설정해야 합니다. 일시 삭제를 사용하면 지정된 보존 기간(기본적으로 90일) 동안 Key Vault에 삭제된 키를 보관하게 됩니다. 제거 보호를 사용하면 보존 기간이 경과할 때까지 삭제된 키를 영구적으로 삭제할 수 없습니다. 이러한 설정은 실수로 인한 삭제로 인한 데이터 손실을 방지합니다. 이러한 설정은 관리 디스크를 암호화하기 위해 Key Vault를 사용하는 경우 필수입니다.

  6. 검토 + 만들기를 선택하고, 선택 사항을 확인한 다음, 만들기를 선택합니다.

    Screenshot of the Azure Key Vault creation experience, showing the particular values you create.

  7. 키 자격 증명 모음 배포가 완료되면 선택합니다.

  8. 개체 아래에서 를 선택합니다.

  9. 생성/가져오기를 선택합니다.

    Screenshot of the Key Vault resource settings pane, shows the generate/import button inside settings.

  10. 키 형식을 모두 RSA설정하고 RSA 키 크기를 2048설정합니다.

  11. 원하는 대로 다시 기본 선택 항목을 입력한 다음 만들기를 선택합니다.

    Screenshot of the create a key pane that appears once generate/import button is selected.

Azure RBAC 역할 추가

이제 Azure 키 자격 증명 모음 및 키를 만들었으므로 Azure RBAC 역할을 추가해야 디스크 암호화 집합과 함께 Azure Key Vault를 사용할 수 있습니다.

  1. 액세스 제어(IAM)를 선택하고 역할을 추가합니다.
  2. Key Vault 관리istrator, Owner 또는 Contributor 역할을 추가합니다.

디스크 암호화 집합 설정

  1. 디스크 암호화 집합을 검색하고 선택합니다.

  2. 디스크 암호화 집합 창에서 +만들기를 선택합니다.

  3. 리소스 그룹을 선택하고, 암호화 집합의 이름을 지정하고, 키 자격 증명 모음과 동일한 지역을 선택합니다.

  4. 암호화 유형의 경우 고객 관리형 키를 사용하여 미사용 데이터 암호화를 선택합니다.

    참고 항목

    특정 암호화 형식의 디스크 암호화 집합을 만든 후에는 변경할 수 없습니다. 다른 암호화 유형을 사용하려면 새 디스크 암호화 집합을 만들어야 합니다.

  5. Azure Key Vault 및 키 선택이 선택되어 있는지 확인합니다.

  6. 이전에 만든 키 자격 증명 모음 및 키와 버전을 선택합니다.

  7. 고객 관리형 키의 자동 회전을 사용하려면 자동 키 회전을 선택합니다.

  8. 검토 + 만들기, 만들기를 차례로 선택합니다.

    Screenshot of the disk encryption creation pane. Showing the subscription, resource group, disk encryption set name, region, and key vault + key selector.

  9. 배포되면 디스크 암호화 집합으로 이동하고 표시된 경고를 선택합니다.

    Screenshot of user selecting the 'To associate a disk, image, or snapshot with this disk encryption set, you must grant permissions to the key vault' alert.

  10. 그러면 키 자격 증명 모음 권한이 디스크 암호화 집합에 부여됩니다.

    Screenshot of confirmation that permissions have been granted.

VM 배포

이제 키 자격 증명 모음 및 디스크 암호화 집합을 만들고 설정했으므로 암호화를 사용하여 VM을 배포할 수 있습니다. VM 배포 프로세스는 표준 배포 프로세스와 유사합니다. 유일한 차이점은 다른 리소스와 동일한 지역에 VM을 배포하고 고객 관리형 키를 사용하도록 선택해야 한다는 점 뿐입니다.

  1. 가상 머신을 검색하고 + 만들기를 선택하여 VM을 만듭니다.

  2. 기본 창에서 디스크 암호화 집합과 동일한 지역 및 Azure Key Vault를 선택합니다.

  3. 원하는 값을 기본 창에 입력합니다.

    Screenshot of the VM creation experience, with the region value highlighted.

  4. 디스크 창의 키 관리의 드롭다운에서 디스크 암호화 집합, 키 자격 증명 모음 및 키를 선택합니다.

  5. 원하는 대로 나머지 항목을 선택합니다.

    Screenshot of the VM creation experience, the disks pane, customer-managed key selected.

기존 디스크에서 사용

주의

VM에 연결된 모든 디스크에서 디스크 암호화를 사용하도록 설정하려면 VM을 중지해야 합니다.

  1. 디스크 암호화 집합 중 하나와 동일한 지역에 있는 VM으로 이동합니다.

  2. VM을 열고 중지를 선택합니다.

    Screenshot of the main overlay for your example VM, with the Stop button highlighted.

  3. VM이 중지되면 디스크를 선택한 후 암호화하려는 디스크를 선택합니다.

    Screenshot of your example VM, with the Disks pane open, the OS disk is highlighted, as an example disk for you to select.

  4. 암호화를 선택하고 키 관리 아래에서 고객 관리형 키 아래의 드롭다운 목록에서 키 자격 증명 모음 및 키를 선택합니다.

  5. 저장을 선택합니다.

    Screenshot of your example OS disk, the encryption pane is open, encryption at rest with a customer-managed key is selected, as well as your example Azure Key Vault.

  6. 암호화하려는 VM에 연결된 다른 디스크에 대해 이 프로세스를 반복합니다.

  7. 디스크가 고객 관리형 키로 전환되면 암호화하려는 다른 연결된 디스크가 없는 경우 VM을 시작합니다.

Important

고객 관리형 키는 Microsoft Entra ID의 기능인 Azure 리소스에 대한 관리 ID를 사용합니다. 고객 관리형 키를 구성하면 관리 ID가 아래의 리소스에 자동으로 할당됩니다. 이후에 구독, 리소스 그룹 또는 관리 디스크를 한 Microsoft Entra 디렉터리에서 다른 디렉터리로 이동하면 관리 디스크와 연결된 관리 ID가 새 테넌트로 전송되지 않으므로 고객 관리형 키가 더 이상 작동하지 않을 수 있습니다. 자세한 내용은 Microsoft Entra 디렉터리 간에 구독 전송을 참조 하세요.

기존 디스크 암호화 집합에서 자동 키 회전 사용

  1. 자동 키 회전을 사용하도록 설정하려는 디스크 암호화 집합으로 이동합니다.
  2. 설정 키를 선택합니다.
  3. 자동 키 회전을 선택하고 저장을 선택합니다.

다음 단계