Azure Files 암호화에 대한 고객 관리형 키 구성

✔️ 적용 대상: Microsoft.Storage 리소스 공급자를 사용하여 만든 클래식 SMB 및 NFS 파일 공유

✖️ 적용되지 않음: Microsoft.FileShares 리소스 공급자를 사용하여 만든 파일 공유(미리 보기)

Azure AES-256 암호화를 사용하여 Azure Files 데이터를 포함하여 미사용 스토리지 계정의 모든 데이터를 암호화합니다. 기본적으로 Microsoft 스토리지 계정에 대한 암호화 키를 관리합니다. 암호화 키에 대한 더 많은 제어를 위해 Microsoft 관리형 키 대신 cmK(커스터 관리형 키)를 사용하여 데이터를 암호화하는 암호화 키에 대한 액세스를 보호하고 제어할 수 있습니다. 이 문서에서는 Azure Files 워크로드에 대해 고객 관리형 키를 구성하는 방법을 설명합니다.

스토리지 계정에 대해 고객 관리형 키를 구성하면 해당 스토리지 계정의 Azure Files 데이터가 고객 키를 사용하여 자동으로 암호화됩니다. 주식 한 주당 옵트인이 필요 없습니다.

이러한 지침은 고객 관리형 키를 Azure Key Vault 저장하기 위한 것입니다. Azure Key Vault 관리형 HSM(하드웨어 보안 모듈)에 대한 일부 단계와 명령은 약간 다를 수 있습니다.

다음 단계에 따라 스토리지 계정에 대한 고객 관리형 키를 구성합니다.

1단계: 키 볼트 만들기 또는 구성하기

고객 관리형 키를 사용하도록 설정하려면 제거 보호가 사용 설정된 Azure Key Vault와 함께 Azure 스토리지 계정이 필요합니다. 기존 키 자격 증명을 사용하거나 새로 만들 수 있습니다. 스토리지 계정 및 키 볼트는 동일한 Microsoft Entra 테넌트 내의 다른 지역 또는 구독에 있을 수 있습니다. 테넌트 간 시나리오의 경우 기존 스토리지 계정에 대한 테넌트 간 고객 관리형 키 구성을 참조하세요.

Azure 포털을 사용하여 새 키 볼트를 만들려면 다음 단계를 수행합니다.

  1. Azure 포털에서 Key Vault를 검색한 후 만들기를 선택합니다.
  2. 필수 필드(구독, 리소스 그룹, 이름, 지역)를 입력합니다.
  3. 복구 옵션에서 제거 보호 사용을 선택합니다.
  4. 검토 및 생성를 선택한 후 생성를 선택합니다.

기존 키 자격 증명 모음을 사용하려는 경우, 다음 단계를 수행하세요.

  1. Azure Portal에서 키 자격 증명 모음으로 이동합니다.
  2. 서비스 메뉴의 설정에서 속성을 선택합니다.
  3. 제거 보호 섹션에서 제거 보호 사용을 선택한 다음 저장을 선택합니다.
  4. 키 자격 증명 모음에서 소프트 삭제가 사용하도록 설정되어 있는지 확인합니다. 이는 새로운 키 자격 증명 모음에서 기본적으로 활성화되어 있습니다.

Key Vault Crypto Officer 역할 할당

key vault에서 키를 만들고 관리하려면 key vault의 Key Vault Crypto Officer 역할이 필요합니다. Azure 포털, PowerShell 또는 Azure CLI 사용하여 이 역할을 자신에게 할당할 수 있습니다. Key Vault 이 역할이 이미 있는 경우 이 섹션을 건너뛰고 2단계로 진행할 수 있습니다.

key vault 범위에서 Owner 또는 사용자 액세스 관리자 RBAC 역할이 있어야 Key Vault Crypto Officer 역할을 할당할 수 있습니다. 필요한 경우 관리자에게 문의하세요.

Azure 포털을 사용하여 Key Vault Crypto Officer 역할을 자신에게 할당하려면 다음 단계를 수행합니다.

  1. 키 보관소로 이동하세요.
  2. 서비스 메뉴에서 액세스 제어(IAM)를 선택합니다.
  3. 이 리소스에 대한 액세스 권한 부여에서 역할 할당 추가를 선택합니다.
  4. Key Vault Crypto Officer 검색하여 선택한 다음, Next 선택합니다.
  5. 액세스 권한 할당에서 사용자, 그룹 또는 서비스 주체를 선택합니다.
  6. 구성원 아래에서 +구성원 선택을 선택합니다.
  7. 본인의 계정을 검색하고 선택한 다음 선택을 클릭합니다.
  8. 검토 + 할당을 선택한 다음, 검토 + 할당을 다시 선택합니다.

2단계: 암호화 키 만들기 또는 가져오기

2048, 3072 또는 4096 크기의 RSA 또는 RSA-HSM 키가 필요합니다. 키 자격 증명 모음에서 RSA 키를 생성하거나 가져옵니다. 키를 생성하기 전에 Key Vault Crypto Officer 역할이 키 볼트에 있는지 확인합니다.

Azure 포털을 사용하여 새 RSA 암호화 키를 생성하려면 다음 단계를 수행합니다.

  1. Azure Portal에서 키 자격 증명 모음으로 이동합니다.
  2. 서비스 메뉴의 개체 아래에서 키를 선택합니다.
  3. 생성/가져오기를 선택합니다. 옵션에서 생성을 선택합니다.
  4. 키의 이름을 입력합니다. 키 이름에는 영숫자 문자와 대시만 포함될 수 있습니다.
  5. 키 유형을RSARSA 키 크기로 2048(또는 3072/4096)으로 설정합니다.
  6. 선택하고생성합니다.

Azure 포털을 사용하여 기존 RSA 암호화 키를 가져오려면 다음 단계를 수행합니다.

  1. Azure Portal에서 키 자격 증명 모음으로 이동합니다.
  2. 서비스 메뉴의 개체 아래에서 키를 선택합니다.
  3. 생성/가져오기를 선택합니다. 옵션에서 가져오기를 선택합니다.
  4. 업로드할 키를 선택합니다.
  5. 키의 이름을 입력합니다. 키 이름에는 영숫자 문자와 대시만 포함될 수 있습니다.
  6. 키 유형RSA로 설정합니다.
  7. 선택하고생성합니다.

3단계: 관리 ID 만들기 및 권한 할당

스토리지 계정에는 키 볼트에 인증하기 위한 관리 ID가 필요합니다. 관리 ID를 사용하면 스토리지 계정은 자격 증명을 저장하지 않고 키 자격 증명 모음의 암호화 키에 안전하게 액세스할 수 있습니다.

사용자 할당 관리 ID를 만들고 해당 ID에 key vault Key Vault Crypto Service Encryption User 역할을 부여합니다.

사용자 할당 관리 ID 만들기

Azure 포털, Azure PowerShell 또는 Azure CLI 사용하여 사용자 할당 관리 ID를 만듭니다.

Azure 포털을 사용하여 사용자 할당 관리 ID를 만들려면 다음 단계를 수행합니다.

  1. 관리 ID를 검색하고 만들기를 선택합니다.
  2. 구독, 리소스 그룹, 지역 및 이름을 선택합니다.
  3. 검토 및 생성를 선택한 후 생성를 선택합니다.

관리 ID에 Key Vault Crypto Service Encryption 사용자 역할 할당

Azure 포털, PowerShell 또는 Azure CLI 사용하여 만든 관리 ID에 Key Vault Crypto Service Encryption User 역할을 할당합니다.

Azure 포털을 사용하여 Key Vault Crypto Service Encryption User 역할을 관리 ID에 할당하려면 다음 단계를 수행합니다.

  1. Azure Portal에서 키 자격 증명 모음으로 이동합니다.
  2. 서비스 메뉴에서 액세스 제어(IAM)를 선택합니다.
  3. 이 리소스에 대한 액세스 권한 부여에서 역할 할당 추가를 선택합니다.
  4. Key Vault Crypto Service Encryption User 검색하여 선택한 다음, Next 선택합니다.
  5. 다음에 대한 액세스 할당에서 관리 ID를 선택합니다.
  6. 구성원 아래에서 +구성원 선택을 선택합니다.
  7. 관리 ID 선택 창이 열립니다. 관리 ID에서 사용자 할당 관리 ID를 선택합니다.
  8. 만든 관리 ID를 선택한 다음 선택을 클릭합니다.
  9. 검토 + 할당을 선택한 다음, 검토 + 할당을 다시 선택합니다.

4단계: 스토리지 계정에서 고객 관리형 키 구성

키 볼트, 키 및 관리 ID가 준비되면 스토리지 계정에서 고객 관리형 키를 사용할 수 있도록 설정할 수 있습니다.

암호화에 키를 사용하도록 스토리지 계정을 구성하려면 다음 단계를 수행합니다. Azure 포털은 항상 자동 키 버전 업데이트를 사용합니다. 대신 수동 키 버전 관리를 사용하려면 Azure PowerShell 또는 Azure CLI 사용하고 키 버전을 지정합니다.

Important

네트워크 보안 경계와 연결된 스토리지 계정에서 이상적으로 키 자격 증명 모음은 동일한 네트워크 보안 경계 내에 있어야 합니다. 그렇지 않다면, 네트워크 보안 경계 프로필이 스토리지 계정이 키 자격 증명 모음과 통신할 수 있도록 구성해야 합니다.

기존 스토리지 계정에 대한 고객 관리형 키 구성

Azure 포털, Azure PowerShell 또는 Azure CLI 사용하여 기존 스토리지 계정에서 고객 관리형 키를 구성할 수 있습니다.

Azure 포털을 사용하여 기존 스토리지 계정에서 고객 관리형 키를 구성하려면 다음 단계를 수행합니다. 포털은 기본적으로 자동 키 버전 업데이트를 사용합니다. 키 버전은 지정할 수 없습니다.

  1. 스토리지 계정으로 이동합니다.
  2. 서비스 메뉴의 보안 + 네트워킹 아래에서 암호화를 선택합니다.
  3. 암호화 유형으로 사용자 관리 키를 선택합니다. 스토리지 계정이 CMK에 대해 이미 구성된 경우 키 변경을 선택합니다.
  4. 암호화 키의 경우 키 자격 증명 모음에서 선택을 선택합니다.
  5. 키 자격 증명 모음 및 키 선택을 선택한 다음, 사용 중인 키 자격 증명 모음 및 키를 선택하세요.
  6. ID 유형으로 사용자 할당을 선택하여 이전에 생성한 사용자 할당 관리 ID를 사용합니다.
  7. 사용자 할당 관리 ID를 검색하여 선택한 다음 추가를 선택합니다.
  8. 저장을 선택합니다.

고객 관리형 키를 구성하기 위한 암호화 선택 및 키 선택을 보여 주는 스크린샷

새 스토리지 계정에 대한 고객 관리형 키 구성

Azure 포털, Azure PowerShell 또는 Azure CLI 사용하여 새 스토리지 계정을 만들 때 고객 관리형 키를 구성할 수 있습니다.

스토리지 계정을 만들 때까지 ID가 존재하지 않으므로 스토리지 계정을 만드는 동안에는 시스템 할당 ID를 사용할 수 없습니다. 사용자 할당 관리 ID를 사용해야 합니다.

Azure 포털을 사용하여 새 스토리지 계정에 대한 고객 관리형 키를 구성하려면 다음 단계를 수행합니다. 포털은 기본적으로 자동 키 버전 업데이트를 사용합니다. 키 버전은 지정할 수 없습니다.

  1. 스토리지 계정을 만드는 동안 암호화 탭에서 암호화 유형에 대한 CMK(고객 관리형 키)를 선택합니다.
  2. 암호화 키에서 키 자격 증명 모음 및 키 선택을 선택한 다음, 키 자격 증명 모음 및 키를 선택합니다.
  3. 사용자 할당 ID에서 ID 선택을 선택합니다. 사용자 할당 관리 ID 선택 창이 열립니다.
  4. 미리 만든 사용자 할당 관리 ID를 검색하고 선택합니다. 새 스토리지 계정은 시스템 할당 관리 ID를 사용할 수 없습니다.
  5. 추가를 선택합니다.
  6. 나머지 탭을 완료하고 검토 + 만들기를 선택합니다.

5단계: 구성 확인

고객 관리형 키를 사용하도록 설정한 후 스토리지 계정에서 암호화가 제대로 구성되었는지 확인합니다. Azure 포털, Azure PowerShell 또는 Azure CLI 사용하여 이 작업을 수행할 수 있습니다.

Azure 포털을 사용하여 스토리지 계정 구성을 확인하려면 다음 단계를 수행합니다.

  1. Azure Portal에 있는 스토리지 계정으로 이동합니다.
  2. 서비스 메뉴의 보안 + 네트워킹 아래에서 암호화를 선택합니다.
  3. 암호화 유형Customer-Managed 키가 표시되는지 확인합니다.
  4. 키 선택 아래의 정보가 올바른지 확인합니다.

키 회전

암호화 키를 정기적으로 회전하면 키가 손상된 경우 노출이 제한됩니다. 고객 관리형 키를 사용하는 스토리지 계정에 대한 암호화를 회전하는 방법에는 두 가지가 있습니다.

  • 키 버전 순환 - 키 자격 증명 모음에서 동일한 키의 신규 버전을 만드세요. 키 이름은 동일하게 유지되지만 버전이 변경됩니다.
  • 키 변경 - 동일하거나 다른 키 자격 증명 모음에서 완전히 다른 키(다른 이름 포함)를 사용하도록 스토리지 계정을 전환합니다.

Important

Azure는 키 저장소에서 새 키 버전을 매일 한 번만 확인합니다. 키를 회전한 후 이전 키 버전을 사용하지 않도록 설정하기 전에 24시간을 기다립니다.

키 버전 회전

보안 모범 사례의 경우 키 버전을 2년마다 한 번 이상 회전합니다.

키 버전을 지정하지 않고 고객 관리형 키를 구성한 경우(Azure 포털을 사용하는 경우 기본값) Azure 매일 새 키 버전을 자동으로 확인합니다. 키 자격 증명 모음에 새 버전의 키를 만드는 경우, Azure는 24시간 이내에 이를 인식합니다. Azure Key Vault 자체 키 회전을 구성하여 일정에 따라 새 키 버전을 생성할 수도 있습니다.

수동 키 버전 회전

PowerShell 또는 Azure CLI 사용하여 고객 관리형 키를 구성할 때 키 버전을 지정한 경우 Azure 해당 특정 버전을 사용하고 새 버전을 자동으로 확인하지 않습니다. 새 키 버전을 가리키도록 스토리지 계정 구성을 수동으로 업데이트해야 합니다.

수동 키 버전 회전은 Azure 포털에서 지원되지 않습니다. 키 버전을 수동으로 회전하려면 Azure PowerShell 또는 Azure CLI 사용합니다.

키 변경

완전히 다른 키를 사용하도록 스토리지 계정을 전환하려면 키 자격 증명 모음에서 새 키를 만들거나 가져오고( 암호화 키 만들기 또는 가져오기 참조) 새 키를 사용하도록 스토리지 계정 암호화 구성을 업데이트합니다.

Azure 포털을 사용하여 키를 변경하려면 다음 단계를 수행합니다.

  1. 스토리지 계정으로 이동합니다.
  2. 서비스 메뉴의 보안 + 네트워킹 아래에서 암호화를 선택합니다.
  3. 키 변경을 선택합니다.
  4. 키 자격 증명 모음 및 키 선택을 선택한 다음, 사용 중인 키 자격 증명 모음과 새로운 키를 선택하세요.
  5. 저장을 선택합니다.

키를 사용하지 않도록 설정하여 파일 공유 데이터에 대한 액세스 취소

고객 관리형 키를 사용하지 않도록 설정하거나 삭제하여 암호화된 파일 공유 데이터에 대한 액세스를 즉시 차단할 수 있습니다. 키를 사용하지 않도록 설정하면 다음을 포함하여 모든 Azure Files 데이터 평면 작업이 HTTP 403(금지됨)으로 실패합니다.

  • 디렉터리 및 파일 나열
  • 디렉터리 또는 파일 만들기/가져오기/설정
  • 파일 메타데이터 가져오기/설정
  • 범위 배치, 파일 복사, 파일 이름 바꾸기

파일 공유 데이터에 대한 액세스를 취소하려면 Azure 포털, Azure PowerShell 또는 Azure CLI 사용하여 키 자격 증명 모음에서 키를 사용하지 않도록 설정합니다. 키를 다시 사용하도록 설정하여 액세스를 복원합니다.

Azure 포털을 사용하여 키를 사용하지 않도록 설정하려면 다음 단계를 수행합니다.

  1. Azure Portal에서 키 자격 증명 모음으로 이동합니다.
  2. 서비스 메뉴의 개체 아래에서 키를 선택합니다.
  3. 키를 마우스 오른쪽 단추로 클릭하고 사용 안 함을 선택합니다.

Microsoft 관리형 키로 다시 전환

고객 관리형 키가 더 이상 필요하지 않은 경우 Azure 포털, Azure PowerShell 또는 Azure CLI 사용하여 스토리지 계정을 암호화에 Microsoft 관리형 키를 사용하도록 다시 전환할 수 있습니다.

Azure 포털을 사용하여 Microsoft 관리형 키로 다시 전환하려면 다음 단계를 수행합니다.

  1. Azure Portal에 있는 스토리지 계정으로 이동합니다.
  2. 서비스 메뉴의 보안 + 네트워킹 아래에서 암호화를 선택합니다.
  3. Encryption 형식Microsoft 관리 키로 변경합니다.
  4. 저장을 선택합니다.

관련 콘텐츠

암호화 및 키 관리에 대한 자세한 내용은 다음 문서를 참조하세요.

  • Last updated on