관리 디스크에 대해 휴면 상태에서 이중 암호화를 사용하도록 설정합니다.

적용 대상: ✔️ Linux VM ✔️ Windows VM ✔️

Azure Disk Storage는 관리 디스크에 대해 미사용 데이터 이중 암호화를 지원합니다. 미사용 데이터 이중 암호화 및 기타 관리 디스크 암호화 유형에 대한 개념 정보는 디스크 암호화 문서의 미사용 데이터 이중 암호화 섹션을 참조하세요.

제한 사항

미사용 이중 암호화는 현재 Ultra Disks 또는 프리미엄 SSD v2 디스크에서 지원되지 않습니다.

필수 조건

Azure CLI를 사용하려면 최신 Azure CLI를 설치하고 az login으로 Azure 계정에 로그인합니다.

Azure PowerShell 모듈을 사용하려면 최신 Azure PowerShell 버전을 설치하고 Connect-AzAccount를 사용하여 Azure 계정에 로그인합니다.

시작

Azure Portal

1. Azure Portal에 로그인합니다.

2. 디스크 암호화 집합을 검색하고 선택합니다.

   

3. + 만들기를 선택합니다.

4. 지원되는 영역 중 하나를 선택합니다.

5. 암호화 유형에서 플랫폼 관리형 키 및 고객 관리형 키를 사용한 이중 암호화를 선택합니다.

   참고 항목

   특정 암호화 유형을 사용하여 디스크 암호화 집합을 만든 후에는 변경할 수 없습니다. 다른 암호화 유형을 사용하려면 새 디스크 암호화 집합을 만들어야 합니다.

6. 나머지 정보를 입력합니다.

   

7. Azure Key Vault 및 키를 선택하거나 필요한 경우 새로 만듭니다.

   참고 항목

   Key Vault 인스턴스를 만드는 경우 일시 삭제 및 제거 방지를 사용하도록 설정해야 합니다. 해당 설정은 관리 디스크를 암호화하는 데 Key Vault를 사용하는 경우 필수이며 실수로 인한 삭제로 인해 데이터가 손실되지 않도록 보호합니다.

   

8. 만들기를 실행합니다.

9. 만든 디스크 암호화 집합으로 이동하여 표시되는 오류를 선택합니다. 이렇게 하면 디스크 암호화 집합이 작동하도록 구성됩니다.

   

   알림이 표시되고 성공해야 합니다. 이렇게 하면 디스크 암호화 집합을 Key Vault와 함께 사용할 수 있습니다.

   

10. 디스크로 이동합니다.

11. 암호화를 선택합니다.

12. 키 관리의 경우 플랫폼 관리형 및 고객 관리형 키 아래에서 키 중 하나를 선택합니다.

13. 저장을 선택합니다.

    

이제 관리 디스크에서 미사용 데이터 이중 암호화를 사용하도록 설정했습니다.

Azure CLI

1. Azure Key Vault 및 암호화 키의 인스턴스를 만듭니다.

   Key Vault 인스턴스를 만드는 경우 일시 삭제 및 제거 보호를 사용하도록 설정해야 합니다. 일시 삭제를 사용하면 지정된 보존 기간(기본적으로 90일) 동안 Key Vault에 삭제된 키를 보관하게 됩니다. 제거 보호를 사용하면 보존 기간이 지날 때까지 삭제된 키를 영구 삭제할 수 없습니다. 이러한 설정은 실수로 삭제하여 데이터가 손실되지 않도록 보호합니다. 이러한 설정은 관리 디스크를 암호화하기 위해 Key Vault를 사용하는 경우 필수입니다.

   subscriptionId=yourSubscriptionID
   rgName=yourResourceGroupName
   location=westcentralus
   keyVaultName=yourKeyVaultName
   keyName=yourKeyName
   diskEncryptionSetName=yourDiskEncryptionSetName
   diskName=yourDiskName
   
   az account set --subscription $subscriptionId
   
   az keyvault create -n $keyVaultName -g $rgName -l $location --enable-purge-protection true --enable-soft-delete true
   
   az keyvault key create --vault-name $keyVaultName -n $keyName --protection software
   

2. az keyvault key show를 사용하여 만든 키의 키 URL을 가져옵니다.

   az keyvault key show --name $keyName --vault-name $keyVaultName
   

3. encryptionType을 EncryptionAtRestWithPlatformAndCustomerKeys로 설정하여 DiskEncryptionSet를 만듭니다. yourKeyURL을 az keyvault key show에서 받은 URL로 바꿉니다.

   az disk-encryption-set create --resource-group $rgName --name $diskEncryptionSetName --key-url yourKeyURL --source-vault $keyVaultName --encryption-type EncryptionAtRestWithPlatformAndCustomerKeys
   

4. Key Vault에 대해 DiskEncryptionSet 리소스 액세스 권한을 부여합니다.

참고 항목

Azure가 Microsoft Entra ID에 DiskEncryptionSet의 ID를 만드는 데 몇 분 정도 걸릴 수 있습니다. 다음 명령을 실행할 때 "Active Directory 개체를 찾을 수 없습니다"와 같은 오류가 발생하면 몇 분 정도 기다린 후 다시 시도하세요.

desIdentity=$(az disk-encryption-set show -n $diskEncryptionSetName -g $rgName --query [identity.principalId] -o tsv)

az keyvault set-policy -n $keyVaultName -g $rgName --object-id $desIdentity --key-permissions wrapkey unwrapkey get

Azure PowerShell

1. Azure Key Vault 및 암호화 키의 인스턴스를 만듭니다.

   Key Vault 인스턴스를 만드는 경우 일시 삭제 및 제거 보호를 사용하도록 설정해야 합니다. 일시 삭제를 사용하면 지정된 보존 기간(기본적으로 90일) 동안 Key Vault에 삭제된 키를 보관하게 됩니다. 제거 보호를 사용하면 보존 기간이 지날 때까지 삭제된 키를 영구 삭제할 수 없습니다. 이러한 설정은 실수로 삭제하여 데이터가 손실되지 않도록 보호합니다. 이러한 설정은 관리 디스크를 암호화하기 위해 Key Vault를 사용하는 경우 필수입니다.

   $ResourceGroupName="yourResourceGroupName"
   $LocationName="westus2"
   $keyVaultName="yourKeyVaultName"
   $keyName="yourKeyName"
   $keyDestination="Software"
   $diskEncryptionSetName="yourDiskEncryptionSetName"
   
   $keyVault = New-AzKeyVault -Name $keyVaultName -ResourceGroupName $ResourceGroupName -Location $LocationName -EnableSoftDelete -EnablePurgeProtection
   
   $key = Add-AzKeyVaultKey -VaultName $keyVaultName -Name $keyName -Destination $keyDestination  
   

2. 만든 키의 URL을 검색합니다. 후속 명령에 필요합니다. Get-AzKeyVaultKey의 ID 출력은 키 URL입니다.

   Get-AzKeyVaultKey -VaultName $keyVaultName -KeyName $keyName
   

3. 만든 Key Vault instance 대한 리소스 ID를 가져오면 후속 명령에 필요합니다.

   Get-AzKeyVault -VaultName $keyVaultName
   

4. encryptionType을 EncryptionAtRestWithPlatformAndCustomerKeys로 설정하여 DiskEncryptionSet를 만듭니다. yourKeyURL 및 yourKeyVaultURL를 이전에 검색한 IP 주소로 바꿉니다.

   $config = New-AzDiskEncryptionSetConfig -Location $locationName -KeyUrl "yourKeyURL" -SourceVaultId 'yourKeyVaultURL' -IdentityType 'SystemAssigned'
   
   $config | New-AzDiskEncryptionSet -ResourceGroupName $ResourceGroupName -Name $diskEncryptionSetName -EncryptionType EncryptionAtRestWithPlatformAndCustomerKeys
   

5. Key Vault에 대해 DiskEncryptionSet 리소스 액세스 권한을 부여합니다.

   참고 항목

   Azure가 Microsoft Entra ID에 DiskEncryptionSet의 ID를 만드는 데 몇 분 정도 걸릴 수 있습니다. 다음 명령을 실행할 때 "Active Directory 개체를 찾을 수 없습니다"와 같은 오류가 발생하면 몇 분 정도 기다린 후 다시 시도하세요.

   $des=Get-AzDiskEncryptionSet -name $diskEncryptionSetName -ResourceGroupName $ResourceGroupName
   Set-AzKeyVaultAccessPolicy -VaultName $keyVaultName -ObjectId $des.Identity.PrincipalId -PermissionsToKeys wrapkey,unwrapkey,get
   

다음 단계

• Azure PowerShell - 서버 측 암호화를 사용하여 고객 관리형 키 사용 - 관리 디스크
• Azure Resource Manager 템플릿 샘플
• 서버 측 암호화를 사용하여 고객 관리형 키 사용 - 예