빠른 시작: Azure 포털을 사용하여 관리형 HSM 프로비전 및 활성화

이 빠른 시작에서는 Azure 포털을 사용하여 Azure Key Vault 관리형 HSM(하드웨어 보안 모듈)을 만들고 활성화합니다. 관리형 HSM은 FIPS 140-3 수준 3 유효성이 검사된 HSM을 사용하여 클라우드 애플리케이션에 대한 암호화 키를 보호할 수 있는 완전 관리형 고가용성 단일 테넌트 표준 규격 클라우드 서비스입니다. 관리형 HSM에 대한 자세한 내용은 개요를 검토 하세요.

사전 요구 사항

Azure 구독이 필요합니다. 계정이 없으면 시작하기 전에 무료 계정을 만드세요.

관리형 HSM 만들기

관리형 HSM 만들기는 2단계 프로세스입니다.

  1. 관리형 HSM 리소스를 프로비저닝합니다.
  2. 보안 도메인이라는 아티팩트를 다운로드하여 관리형 HSM을 활성화합니다.

관리형 HSM 설정

  1. Azure Portal에 로그인합니다.

  2. 검색 상자에 관리형 HSM 을 입력하고 결과에서 관리형 HSM 풀 을 선택합니다.

  3. 만들기를 선택합니다.

  4. 기본 탭에서 다음 정보를 제공합니다.

    • 구독: 사용할 구독을 선택합니다.

    • 리소스 그룹: 새로 만들기 를 선택하고 myResourceGroup을 입력합니다.

    • 관리형 HSM 이름: 관리형 HSM의 이름을 입력합니다.

      Important

      각 관리형 HSM에는 고유한 이름이 있어야 합니다.

    • 지역: 미국 동부 (또는 선호하는 지역)를 선택합니다.

    • 이니티얼 관리자 : 초기 관리자로 지정할 Microsoft Entra 사용자 또는 그룹을 검색하여 선택합니다.

    Azure 포털의 'Azure Key Vault 관리형 HSM 기본 사항 만들기' 탭의 스크린샷.

  5. 필요에 따라 고급, 네트워킹태그 탭에서 설정을 조정합니다.

  6. 검토 + 생성를 선택한 다음, 생성를 선택합니다.

    배포를 완료하는 데 몇 분이 걸립니다. 완료되면 리소스로 이동하여 개요 페이지를 확인합니다.

    Azure 포털의 관리형 HSM 개요 페이지 스크린샷

Note

프로비전 프로세스는 몇 분 정도 걸릴 수 있습니다. 성공적으로 완료되면 HSM을 활성화할 준비가 된 것입니다.

경고

관리형 HSM 인스턴스는 항상 사용됩니다. 플래그를 사용하여 --enable-purge-protection 제거 보호를 사용하도록 설정하면 전체 보존 기간에 대한 비용을 지불합니다.

관리형 HSM 활성화

HSM을 활성화할 때까지 모든 데이터 평면 명령을 사용할 수 없습니다. 키를 만들거나 역할을 할당할 수 없습니다. create 명령 중에 할당한 지정된 관리자만 HSM을 활성화할 수 있습니다. HSM을 활성화하려면 보안 도메인을 다운로드해야 합니다.

HSM을 활성화하려면 다음이 필요합니다.

  • 최소 3개의 RSA 키 쌍(최대 10개)
  • 보안 도메인의 암호를 해독하는 데 필요한 최소 키 수( 쿼럼이라고 함)

최소 3개(최대 10개) RSA 공개 키를 HSM에 보냅니다. HSM은 이러한 키를 사용하여 보안 도메인을 암호화하고 다시 보냅니다. 보안 도메인 다운로드가 성공적으로 완료되면 HSM을 사용할 준비가 됩니다. 또한 보안 도메인의 암호를 해독하는 데 필요한 최소 개인 키 수인 쿼럼을 지정해야 합니다.

다음 예제에서는 3개의 자체 서명된 인증서를 생성하는 데 사용하는 openssl 방법을 보여 줍니다.

openssl req -newkey rsa:2048 -nodes -keyout cert_0.key -x509 -days 365 -out cert_0.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_1.key -x509 -days 365 -out cert_1.cer
openssl req -newkey rsa:2048 -nodes -keyout cert_2.key -x509 -days 365 -out cert_2.cer

인증서 만료 날짜는 보안 도메인 작업에 영향을 주지 않습니다. "만료된" 인증서도 보안 도메인을 복원하는 데 계속 사용할 수 있습니다.

Important

이러한 RSA 프라이빗 키는 관리형 HSM에 대한 신뢰의 루트입니다. 프로덕션 환경의 경우 공극 시스템 또는 온-프레미스 HSM을 사용하여 이러한 키를 생성하고 안전하게 저장합니다. 자세한 지침 은 보안 도메인 모범 사례를 참조하세요.

  1. Azure 포털에서 관리형 HSM 리소스로 이동합니다.

  2. 왼쪽 메뉴의 설정에서 보안 도메인을 선택합니다.

  3. 포털 프롬프트에 따라 RSA 공개 키 인증서(최소 3개)를 업로드하고 쿼럼 값을 설정합니다.

  4. 암호화된 보안 도메인 파일을 다운로드합니다.

Important

보안 도메인 파일 및 RSA 프라이빗 키를 별도의 안전한 위치에 저장합니다. 재해 복구 시나리오에서 관리형 HSM을 복구하는 데 필요합니다. 보안 도메인이 손실되면 영구적으로 액세스가 손실될 수 있습니다.

보안 도메인 파일 및 RSA 키 쌍을 안전하게 저장합니다. 두 사용자가 키를 공유할 수 있도록 재해 복구 또는 동일한 보안 도메인을 공유하는 다른 관리형 HSM을 만드는 데 필요합니다.

보안 도메인을 성공적으로 다운로드한 후 HSM이 활성 상태이며 사용할 준비가 된 것입니다.

자원을 정리하세요

더 이상 필요하지 않은 경우 관리형 HSM 및 모든 관련 리소스를 삭제하는 리소스 그룹을 삭제할 수 있습니다.

  1. Azure Portal에서 리소스 그룹을 검색하고 선택합니다.
  2. 리소스 그룹(예: myResourceGroup)을 선택합니다.
  3. 리소스 그룹 삭제를 선택합니다.
  4. 리소스 그룹 이름을 입력하고, 삭제를 선택합니다.

경고

리소스 그룹을 삭제하면 관리형 HSM이 일시 삭제된 상태로 전환됩니다. 관리형 HSM은 제거될 때까지 계속 청구됩니다. 관리형 HSM 일시 삭제. 및 제거 보호 참조

다음 단계

이 빠른 시작에서는 관리되는 HSM을 프로비저닝하고 활성화했습니다. 관리되는 HSM에 대한 자세한 내용 및 이를 애플리케이션과 통합하는 방법을 알아보려면 다음 문서를 계속 진행하세요.

  • Last updated on