Microsoft Foundry용 CMK(고객 관리형 키)

Microsoft Foundry CMK(고객 관리형 키) 암호화를 사용하면 데이터 암호화를 제어할 수 있습니다. CMK를 사용하여 추가 보호 계층을 추가하고 Azure Key Vault 또는 Azure 관리형 HSM 통합을 통해 규정 준수 요구 사항을 충족할 수 있습니다.

Microsoft Foundry는 중요한 데이터를 보호하기 위해 Key Vault 또는 관리형 HSM에 저장된 CMK를 사용하는 기능을 포함하여 강력한 암호화 기능을 제공합니다. CMK 암호화는 프로젝트 아티팩트, 업로드된 파일 및 평가 데이터를 포함하여 Foundry 리소스의 연결된 스토리지 계정에 저장된 미사용 데이터에 적용됩니다.

이 문서에서는 Foundry 리소스에 Key Vault 또는 관리형 HSM을 사용하여 CMK 암호화를 구성하는 방법을 설명합니다.

참고

기본 Azure AI 검색 인프라의 용량 제약 조건으로 인해 CMK(고객 관리형 키) 암호화는 현재 일부 지역에서만 사용할 수 있습니다. 지원되는 지역 목록은 Azure AI 검색 지역 가용성 참조하세요.

CMK의 이점

  • 사용자의 고유한 키를 통해 저장된 데이터를 암호화할 수 있는 기능입니다.
  • 조직 보안 및 규정 준수 정책과 통합
  • 암호화된 데이터에 대한 액세스를 제어하기 위해 키를 회전하거나 해지하는 기능입니다.

필수 구성 요소

Foundry용 CMK를 구성하려면 다음이 필요합니다.

  • Azure 리소스를 만들고 관리하는 활성 Azure 구독입니다.

  • 기존의 키 저장소 또는 관리형 HSM에 키를 저장합니다. 이러한 요구 사항도 적용됩니다.

    • 키 저장소 및 Foundry 리소스를 동일한 Azure 지역에 배포합니다.
    • 키 저장소에서 일시 삭제 및 영구 삭제 방지를 활성화하여 고객이 관리하는 키가 실수로 또는 악의적인 삭제로부터 보호되도록 합니다(Azure에서 필요).

    키 자격 증명 모음을 만들려면 Quickstart: Azure Portal 사용하여 키 자격 증명 모음 만들기를 참조하세요. 관리형 HSM을 만들려면 Quickstart: Azure Portal 사용하여 관리형 HSM 프로비전 및 활성화를 참조하세요.

  • 관리 ID 구성:

  • 키 저장소 권한:

    • Azure RBAC를 사용한 Key Vault 경우 Key Vault Crypto 사용자 역할을 관리 ID에 할당합니다.
    • 키 볼트 액세스 정책이 있는 Key Vault에 대해, unwrapKeywrapKey과 같은 관리되는 ID에 키별 권한을 부여합니다.
    • 관리형 HSM의 경우 적절한 범위의 관리 ID에 관리형 HSM 암호화 사용자 역할을 할당합니다. 자세한 내용은 관리형 HSM 로컬 RBAC 기본 역할을 참조하세요.

  • 충분한 Azure 권한:

    • RBAC 역할을 할당하려면 키 볼트에서 소유자 또는 사용자 액세스 관리자 역할이 필요합니다. 관리형 HSM의 경우 관리형 HSM 관리자 역할을 사용하여 로컬 RBAC 역할을 할당합니다.
    • 암호화 설정을 구성하는 Foundry 리소스의 기여자 또는 소유자 역할입니다.

CMK를 구성하기 전에 지원되는 지역에 리소스를 배포해야 합니다. Foundry 기능에 대한 지역별 지원에 대한 자세한 내용은 클라우드 지역 간 Microsoft Foundry 기능 가용성 참조하세요.

키 저장소 네트워킹 구성

Foundry 리소스와 함께 프라이빗 네트워킹을 사용하는 경우 CMK를 호스트하는 고객이 제공한 Azure Key Vault 또는 관리형 HSM은 다음 구성을 지원합니다.

  • "신뢰할 수 있는 Microsoft 서비스 허용"을 사용하도록 설정된 링크 엔드포인트 사용: 키 저장소는 연결에 프라이빗 엔드포인트를 사용하고 신뢰할 수 있는 Microsoft 서비스 액세스를 허용합니다. 프라이빗 연결이 필요한 환경에 권장되는 구성입니다.
  • "신뢰할 수 있는 Microsoft 서비스 허용" 사용(프라이빗 엔드포인트 제외) : 키 저장소를 사용하면 퍼블릭 엔드포인트를 통해 신뢰할 수 있는 Microsoft 서비스 액세스할 수 있습니다. 이 설정을 사용하도록 설정하여 Foundry 리소스가 암호화 작업을 위해 키 저장소에 액세스할 수 있는지 확인합니다.

신뢰할 수 있는 서비스 액세스를 구성하려면 Azure Key Vault 방화벽 및 가상 네트워크 구성 또는 관리형 HSM 네트워크 보안을 참조하세요.

CMK를 구성하는 단계

1단계: 키 저장소에서 키 만들기 또는 가져오기

Azure Key Vault 키를 생성하려면 다음을 수행합니다.

  1. Azure 포털에서 키 볼트로 이동합니다.

  2. 설정에서 키를 선택합니다.

  3. + 생성/가져오기를 선택합니다.

  4. 키 이름을 입력하고, 키 유형(예: RSA 또는 HSM 지원)을 선택하고, 키 크기(최소 2048비트) 및 만료 세부 정보를 구성합니다.

  5. 만들기를 선택하여 새 키를 저장합니다.

    새 키가 목록에 나타납니다.

Azure 관리형 HSM에서 키를 생성하려면 HSM 키 만들기 참조하세요.

다음 사항에 유의하세요.

  • 프로젝트를 Microsoft 관리형 키에서 CMK로 업데이트할 수 있지만 되돌릴 수는 없습니다.
  • Project CMK는 동일한 키 저장소의 키로만 업데이트할 수 있습니다.
  • 일시 삭제된 보존 기간에는 CMK 암호화 스토리지에 대한 요금이 계속 부과됩니다.

자세한 내용은 키 정보를 참조하세요.

키를 Key Vault 가져오려면 다음을 수행합니다.

  1. 키 자격 증명 모음에서 섹션으로 이동합니다.

  2. + 생성/가져오기를 선택한 다음 가져오기 옵션을 선택합니다.

  3. 키 자료를 업로드하고 키 구성에 필요한 세부 정보를 제공합니다.

  4. 프롬프트에 따라 가져오기 프로세스를 완료합니다.

키를 관리형 HSM으로 가져오려면 HSM으로 보호된 키를 관리형 HSM으로 가져오기를 참조하세요.

2단계: 관리 ID에 키 저장소 권한 부여

시스템 할당 또는 사용자가 할당한 관리 ID에 대한 적절한 권한을 구성하여 키 저장소에 액세스합니다.

키 저장소

  1. Azure 포털에서 키 볼트로 이동합니다.

  2. Access Control(IAM) 선택합니다.

  3. + 역할 할당 추가를 선택합니다.

  4. Key Vault Crypto 사용자 역할을 Foundry 리소스의 시스템 할당 관리 ID 또는 사용자 할당 관리 ID에 할당합니다.

    관리형 ID가 주요 자격 증명의 역할 할당 목록에 표시됩니다.

관리형 HSM

관리형 HSM은 Azure RBAC와 별도의 로컬 RBAC 시스템을 사용합니다. az keyvault role assignment create 또는 관리형 HSM 데이터 평면을 사용하여 역할을 할당합니다.

  1. 관리형 HSM 관리자로서 Managed HSM Crypto User 역할을 Foundry 리소스의 시스템 할당 또는 사용자 할당 관리 ID에 할당합니다. 할당 범위를 키 또는 시나리오에 적합한 범위로 지정합니다.

  2. az keyvault role assignment list를 사용하여 할당을 확인합니다.

자세한 내용은 관리형 HSM 액세스 제어를 참조하세요.

3단계: Foundry에서 CMK 사용

Foundry 리소스를 만드는 동안 또는 기존 리소스를 업데이트하여 CMK를 사용하도록 설정할 수 있습니다. 리소스를 만드는 동안 마법사는 사용자 할당 또는 시스템 할당 관리 ID를 사용하도록 안내합니다. 또한 키가 저장된 키 자격 증명 모음 또는 관리되는 HSM을 선택하도록 안내합니다.

기존 Foundry 리소스를 업데이트하는 경우 다음 단계를 사용하여 CMK를 사용하도록 설정합니다.

  1. Azure 포털에서 Foundry 리소스를 엽니다.

  2. 리소스 관리>암호화로 이동합니다.

  3. 암호화 유형으로 Customer-Managed 키를 선택합니다.

  4. 키 저장소 URL(키 자격 증명 모음 URL 또는 관리형 HSM URL) 및 키 이름을 입력합니다.

  5. 저장을 선택합니다.

구성을 확인하려면 리소스 관리>암호화 로 이동하여 Customer-Managed 키가 키 저장소 및 키 이름이 표시된 활성 암호화 유형으로 표시되는지 확인합니다.

자격 증명 모음 액세스: Azure RBAC 및 자격 증명 모음 액세스 정책

Azure Key Vault 액세스 권한을 관리하기 위한 두 가지 모델을 지원합니다.

  • Azure RBAC(권장):

    • Microsoft Entra 역할을 사용하여 중앙 집중식 액세스 제어를 제공합니다.
    • Azure 리소스에 대한 권한 관리를 간소화합니다.
    • Key Vault Crypto 사용자 역할이 필요합니다.

  • 키 보관소 액세스 정책:

    • Key Vault 리소스와 관련된 세분화된 액세스 제어를 허용합니다.
    • 레거시 또는 격리된 권한 설정이 필요한 구성에 적합합니다.

조직의 요구 사항에 맞는 모델을 선택합니다. 새 배포의 경우 Azure RBAC를 사용합니다. 기존 조직 요구 사항에서 꼭 필요할 경우에만 볼트 액세스 정책을 사용합니다.

Azure 관리형 HSM은 Azure RBAC와 별도로 자체 로컬 RBAC 시스템을 사용합니다. 관리형 HSM의 경우 관리형 HSM 암호화 사용자 역할을 관리 ID에 할당합니다. 자세한 내용은 관리형 HSM 로컬 RBAC 기본 역할을 참조하세요.

키 모니터링 및 회전

최적의 보안 및 규정 준수를 유지하려면 다음 사례를 구현합니다.

  • Enable diagnostics: 키 자격 증명 모음 또는 관리형 HSM에 대한 Azure Monitor 또는 Log Analytics 진단 로깅을 사용하도록 설정하여 키 사용 및 액세스 활동을 모니터링합니다.
  • 정기적으로 키 회전: 키 저장소에 새 버전의 키를 주기적으로 만듭니다. 암호화 설정에서 최신 키 버전을 참조하도록 Foundry 리소스를 업데이트합니다.
  • 키 해지 영향 이해: CMK를 해지하거나 삭제하는 경우 키가 복원될 때까지 해당 키로 암호화된 데이터에 액세스할 수 없게 됩니다. 먼저 데이터가 더 이상 필요하지 않은지 확인하지 않고 키 저장소 또는 키 버전을 제거하지 마세요.

문제 해결

문제 해결 방법
403 CMK를 사용하도록 설정하는 경우 사용할 수 없음 Key Vault의 경우, 관리형 ID에 Key Vault Crypto User 역할(RBAC) 또는 unwrapKeywrapKey 권한(자격 증명 모음 액세스 정책)이 있는지 확인합니다. 관리형 HSM의 경우 관리 ID에 적절한 범위에서 관리형 HSM 암호화 사용자 역할이 있는지 확인합니다.
키 저장소를 찾을 수 없음 Key Vault 또는 관리형 HSM이 Foundry 리소스와 동일한 Azure 지역에 있는지 확인합니다.
키 버전이 지원되지 않음 최소 크기가 2048비트인 RSA 키를 사용합니다.
키 해지 후 데이터에 액세스할 수 없음 키 저장소에서 키 버전을 복원합니다. 키가 복원될 때까지 데이터에 액세스할 수 없습니다. 키 저장소가 제거되었으면 Azure 지원 문의하세요.

관련 콘텐츠

  • Last updated on