Azure Key Vault 키, 암호, 인증서 및 기타 비밀과 같은 비밀에 대한 보안 저장소를 제공하는 클라우드 서비스입니다. 이 빠른 시작에서는 ARM 템플릿(Azure Resource Manager 템플릿)을 배포하여 키 자격 증명 모음 및 비밀을 만드는 프로세스에 중점을 둡니다.
Azure Resource Manager 템플릿 프로젝트의 인프라 및 구성을 정의하는 JSON(JavaScript Object Notation) 파일입니다. 템플릿은 선언적 구문을 사용합니다. 배포를 만들기 위한 프로그래밍 명령의 시퀀스를 작성하지 않고 의도하는 배포를 설명합니다.
환경이 필수 조건을 충족하고 ARM 템플릿을 사용하는 데 익숙한 경우 Deploy to Azure 단추를 선택합니다. 템플릿이 Azure 포털에서 열립니다.
필수 조건
이 문서를 완료하려면 다음을 수행합니다.
- Azure 구독이 없는 경우 시작하기 전에 free 계정 만듭니다.
템플릿 검토
이 빠른 시작에서 사용되는 템플릿은 Azure 빠른 시작 템플릿.
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"metadata": {
"_generator": {
"name": "bicep",
"version": "0.42.1.51946",
"templateHash": "10998800669048245550"
}
},
"parameters": {
"keyVaultName": {
"type": "string",
"metadata": {
"description": "Specifies the name of the key vault."
}
},
"location": {
"type": "string",
"defaultValue": "[resourceGroup().location]",
"metadata": {
"description": "Specifies the Azure location where the key vault should be created."
}
},
"enabledForDeployment": {
"type": "bool",
"defaultValue": false,
"metadata": {
"description": "Specifies whether Azure Virtual Machines are permitted to retrieve certificates stored as secrets from the key vault."
}
},
"enabledForDiskEncryption": {
"type": "bool",
"defaultValue": false,
"metadata": {
"description": "Specifies whether Azure Disk Encryption is permitted to retrieve secrets from the vault and unwrap keys."
}
},
"enabledForTemplateDeployment": {
"type": "bool",
"defaultValue": false,
"metadata": {
"description": "Specifies whether Azure Resource Manager is permitted to retrieve secrets from the key vault."
}
},
"tenantId": {
"type": "string",
"defaultValue": "[subscription().tenantId]",
"metadata": {
"description": "Specifies the Azure Active Directory tenant ID that should be used for authenticating requests to the key vault. Get it by using Get-AzSubscription cmdlet."
}
},
"skuName": {
"type": "string",
"defaultValue": "standard",
"allowedValues": [
"standard",
"premium"
],
"metadata": {
"description": "Specifies whether the key vault is a standard vault or a premium vault."
}
},
"secretsObject": {
"type": "secureObject",
"metadata": {
"description": "Specifies all secrets {\"secretName\":\"\",\"secretValue\":\"\"} wrapped in a secure object."
}
}
},
"resources": [
{
"type": "Microsoft.KeyVault/vaults",
"apiVersion": "2023-07-01",
"name": "[parameters('keyVaultName')]",
"location": "[parameters('location')]",
"properties": {
"enabledForDeployment": "[parameters('enabledForDeployment')]",
"enabledForTemplateDeployment": "[parameters('enabledForTemplateDeployment')]",
"enabledForDiskEncryption": "[parameters('enabledForDiskEncryption')]",
"enableRbacAuthorization": true,
"tenantId": "[parameters('tenantId')]",
"enableSoftDelete": true,
"softDeleteRetentionInDays": 90,
"enablePurgeProtection": true,
"sku": {
"name": "[parameters('skuName')]",
"family": "A"
},
"networkAcls": {
"defaultAction": "Allow",
"bypass": "AzureServices"
}
}
},
{
"copy": {
"name": "secrets",
"count": "[length(parameters('secretsObject').secrets)]"
},
"type": "Microsoft.KeyVault/vaults/secrets",
"apiVersion": "2023-07-01",
"name": "[format('{0}/{1}', parameters('keyVaultName'), parameters('secretsObject').secrets[copyIndex()].secretName)]",
"properties": {
"value": "[parameters('secretsObject').secrets[copyIndex()].secretValue]"
},
"dependsOn": [
"[resourceId('Microsoft.KeyVault/vaults', parameters('keyVaultName'))]"
]
}
],
"outputs": {
"location": {
"type": "string",
"value": "[parameters('location')]"
},
"name": {
"type": "string",
"value": "[parameters('keyVaultName')]"
},
"resourceGroupName": {
"type": "string",
"value": "[resourceGroup().name]"
},
"resourceId": {
"type": "string",
"value": "[resourceId('Microsoft.KeyVault/vaults', parameters('keyVaultName'))]"
}
}
}
두 Azure 리소스가 템플릿에 정의됩니다.
-
Microsoft.KeyVault/vaults: Azure RBAC 권한 부여가 사용되도록 설정되고(
enableRbacAuthorization: true), 일시 삭제가 사용되도록 설정되며 영구 삭제 보호가 사용되도록 설정된 Azure 키 자격 증명 모음 만들기 -
Microsoft.KeyVault/vaults/secrets: 템플릿에 전달된
secretsObject.secrets배열을 반복하여 하나 이상의 Key Vault 비밀을 만듭니다.
자격 증명 모음은 데이터 평면 권한 부여에 Azure RBAC를 사용하므로, 액세스 정책을 구성하는 대신 Azure 역할을 할당하여 비밀 정보에 대한 액세스 권한을 부여할 수 있습니다.
Azure Key Vault 템플릿 샘플은 Azure 빠른 시작 템플릿에서 찾을 수 있습니다.
템플릿 배포
다음 이미지를 선택하여 Azure 로그인하고 템플릿을 엽니다. 템플릿이 키 보관소와 비밀을 생성합니다.
다음 값을 선택하거나 입력합니다. 지정하지 않는 한 기본값을 사용합니다.
구독: Azure 구독을 선택합니다.
리소스 그룹: 새로 만들기를 선택하고 리소스 그룹에 고유한 이름을 입력한 다음, 확인을 선택합니다.
지역: 위치를 선택합니다. 예: 미국 중부
Key Vault 이름:
vault.azure.net네임스페이스 내에서 전역적으로 고유해야 하는 key vault 이름을 입력합니다. 배포의 유효성을 검사할 때 다음 섹션에서 이 이름이 필요합니다.Sku 이름: 표준 또는 프리미엄을 선택합니다. 기본값은 표준입니다.
Secrets 객체:
secrets배열이 포함된 JSON 객체로 생성할 시크릿을 제공합니다. 다음은 그 예입니다.{ "secrets": [ { "secretName": "adminpassword", "secretValue": "<your-secret-value>" } ] }Secrets 개체는 매개 변수이므로
secureObject해당 값은 배포 후에 기록되거나 다시 에코되지 않습니다.
검토 + 생성를 선택한 다음, 생성를 선택합니다. 키 자격 증명 모음 및 비밀이 성공적으로 배포되면 알림이 표시됩니다.
Azure PowerShell, Azure CLI 또는 REST API를 사용하여 템플릿을 배포할 수도 있습니다. 다른 배포 방법을 알아보려면 템플릿 배포를 참조하세요.
Key Vault RBAC 역할 할당하기
이 템플릿에서 만든 키 자격 증명 모음은 권한 부여에 Azure RBAC를 사용합니다. 데이터 평면을 통해 비밀에 액세스하려면(예: Azure CLI 또는 Azure PowerShell 사용) 자신에게 적절한 역할을 할당해야 합니다.
Microsoft Entra 사용자 개체 ID를 가져옵니다.
az ad signed-in-user show --query id -o tsvkey vault Key Vault 비밀 책임자 역할을 자신에게 할당합니다.
echo "Enter your key vault name:" && read keyVaultName && az role assignment create --role "Key Vault Secrets Officer" \ --assignee-object-id $(az ad signed-in-user show --query id -o tsv) \ --scope $(az keyvault show --name $keyVaultName --query id -o tsv)메모
역할 할당이 전파되는 데 1~2분 정도 걸릴 수 있습니다.
배포된 리소스 검토
Azure 포털을 사용하여 키 자격 증명 모음 및 비밀을 확인하거나 다음 Azure CLI 또는 Azure PowerShell 스크립트를 사용하여 만든 비밀을 나열할 수 있습니다.
echo "Enter your key vault name:" &&
read keyVaultName &&
az keyvault secret list --vault-name $keyVaultName &&
echo "Press [ENTER] to continue ..."
자원을 정리하세요
다른 Key Vault 빠른 시작 및 자습서는 이 빠른 시작을 기반으로 합니다. 이후의 빠른 시작 및 자습서를 계속 진행하려는 경우 이러한 리소스를 유지하는 것이 좋습니다. 더 이상 필요하지 않은 경우 Key Vault 및 관련 리소스를 삭제하는 리소스 그룹을 삭제합니다. Azure CLI 또는 Azure PowerShell 사용하여 리소스 그룹을 삭제하려면 다음을 수행합니다.
echo "Enter the Resource Group name:" &&
read resourceGroupName &&
az group delete --name $resourceGroupName &&
echo "Press [ENTER] to continue ..."
메모
리소스 그룹을 삭제하면 키 자격 증명 모음도 삭제되지만, 자격 증명 모음은 일시 삭제 상태가 되어 보존 기간(기본값: 90일) 동안 복구할 수 있는 상태로 유지됩니다. 자격 증명 모음 이름은 해당 기간 동안 전역에서 예약된 상태로 유지되며, 영구 삭제 방지가 사용하도록 설정되어 있으므로 기간이 끝나기 전에 자격 증명 모음을 영구 삭제할 수 없습니다. 표준 키 자격 증명 모음의 경우 일시 삭제된 자격 증명 모음에는 요금이 청구되지 않습니다. 자세한 내용은 Key Vault 일시 삭제 개요 참조하세요.
다음 단계
이 빠른 시작에서는 ARM 템플릿을 사용하여 키 자격 증명 모음 및 비밀을 만들고 배포의 유효성을 검사했습니다. Key Vault 및 Azure Resource Manager 대해 자세히 알아보려면 아래 문서를 계속 진행하세요.
- Azure Key Vault 개요를 읽어보세요.
- Azure Resource Manager에 대해 자세히 알아보세요>
- Key Vault 보안 개요 검토합니다.