테넌트 간 고객 관리형 키를 사용하여 관리 디스크 암호화
이 문서에서는 서로 다른 Microsoft Entra 테넌트에 저장된 Azure Key Vault에서 고객 관리형 키를 사용하여 관리 디스크를 암호화하는 솔루션을 빌드하는 방법에 대해 설명합니다. 이 구성은 서비스 공급자 테넌트의 리소스가 고객 테넌트의 키를 사용하여 암호화되는 고객에게 고유한 암호화 키 가져오기를 제공하려는 서비스 공급자에 대한 Azure 지원과 같은 여러 시나리오에 적합할 수 있습니다.
테넌트 간 CMK 워크플로에서 페더레이션 ID를 사용하는 디스크 암호화 집합은 서비스 공급자/ISV 테넌트 리소스(디스크 암호화 집합, 관리 ID 및 앱 등록)와 고객 테넌트 리소스(엔터프라이즈 앱, 사용자 역할 할당 및 키 자격 증명 모음)에 걸쳐 있습니다. 이 경우 원본 Azure 리소스는 서비스 공급자의 디스크 암호화 집합입니다.
관리 디스크를 사용하는 테넌트 간 고객 관리형 키에 대해 질문이 있는 경우 메일을 crosstenantcmkvteam@service.microsoft.com으로 보내주세요.
제한 사항
- Managed Disks 및 고객의 Key Vault는 동일한 Azure 지역에 있어야 하지만 다른 구독에 있을 수 있습니다.
- 이 기능은 Ultra Disks 또는 Azure 프리미엄 SSD v2 관리 디스크를 지원하지 않습니다.
- 이 기능은 21Vianet 또는 Government 클라우드에서 운영하는 Microsoft Azure에서는 사용할 수 없습니다.
테넌트 간 고객 관리형 키 정보
Azure에서 SaaS(Software as a Service) 제품을 빌드하는 많은 서비스 공급자는 고객에게 자체 암호화 키를 관리하는 옵션을 제공하고자 합니다. 고객 관리형 키를 사용하면 서비스 공급자는 서비스 공급자의 고객이 관리하고 서비스 공급자가 액세스할 수 없는 암호화 키를 사용하여 고객의 데이터를 암호화할 수 있습니다. Azure에서 서비스 공급자의 고객은 Azure Key Vault를 사용하여 자체 Microsoft Entra 테넌트 및 구독에서 암호화 키를 관리할 수 있습니다.
서비스 공급자의 소유이며 서비스 공급자의 테넌트에 상주하는 Azure 플랫폼 서비스 및 리소스는 암호화/암호 해독 작업을 수행하려면 고객의 테넌트에서 키에 액세스해야 합니다.
아래 이미지에서는 서비스 공급자와 해당 고객을 포괄하는 테넌트 간 CMK 워크플로에서 페더레이션 ID를 사용하는 미사용 데이터 암호화를 보여 줍니다.
위의 예제에는 독립 서비스 공급자의 테넌트(Tenant 1)와 고객의 테넌트(Tenant 2)라는 두 개의 Microsoft Entra 테넌트가 있습니다. Tenant 1은 Azure 플랫폼 서비스를 호스트하고 Tenant 2는 고객의 키 자격 증명 모음을 호스트합니다.
다중 테넌트 애플리케이션 등록은 Tenant 1의 서비스 공급자가 만듭니다. 페더레이션 ID 자격 증명은 이 애플리케이션에서 사용자가 할당한 관리 ID를 사용하여 만들어집니다. 그런 다음, 앱의 이름과 애플리케이션 ID가 고객과 공유됩니다.
적절한 권한이 있는 사용자가 서비스 공급자의 애플리케이션을 고객 테넌트, Tenant 2에 설치합니다. 그러면 사용자는 설치된 애플리케이션과 연결된 서비스 주체에게 고객의 키 자격 증명 모음에 대한 액세스 권한을 부여합니다. 또한 고객이 암호화 키 또는 고객 관리형 키를 키 자격 증명 모음에 저장합니다. 고객이 키 위치(키의 URL)를 서비스 공급자와 공유합니다.
이제 서비스 공급자는 다음 정보를 갖고 있습니다.
- 고객 관리형 키에 대한 액세스 권한이 부여된 고객의 테넌트에 설치된 다중 테넌트 애플리케이션의 애플리케이션 ID입니다.
- 다중 테넌트 애플리케이션에서 자격 증명으로 구성된 관리 ID입니다.
- 고객의 키 자격 증명 모음에 있는 키의 위치
이러한 세 가지 매개 변수를 사용하여 서비스 공급자는 Tenant 2에서 고객 관리형 키로 암호화할 수 있는 Azure 리소스를 Tenant 1에 프로비전합니다.
위의 엔드투엔드 솔루션을 세 단계로 나눌 수 있습니다.
- 서비스 공급자가 ID를 구성합니다.
- 고객은 서비스 공급자의 다중 테넌트 앱에 Azure Key Vault의 암호화 키에 대한 액세스 권한을 부여합니다.
- 서비스 공급자는 CMK를 사용하여 Azure 리소스의 데이터를 암호화합니다.
1단계의 작업은 대부분의 서비스 공급자 애플리케이션에서 한 번만 수행하는 일회성 설정입니다. 2단계와 3단계의 작업은 고객마다 반복됩니다.
1단계 - 서비스 공급자가 Microsoft Entra 애플리케이션 구성
| 단계 | 설명 | Azure RBAC의 최소 역할 | Microsoft Entra RBAC의 최소 역할 |
|---|---|---|---|
| 1. | 새 다중 테넌트 Microsoft Entra 애플리케이션 등록을 만들거나 기존 애플리케이션 등록을 시작합니다. Azure Portal, Microsoft Graph API, Azure PowerShell 또는 Azure CLI를 사용하여 애플리케이션 등록의 애플리케이션 ID(클라이언트 ID)를 확인합니다. | 없음 | 애플리케이션 개발자 |
| 2. | 사용자가 할당한 관리 ID(페더레이션 ID 자격 증명으로 사용됨)를 만듭니다. Azure Portal / Azure CLI / Azure PowerShell/ Azure Resource Manager 템플릿 |
관리 ID 기여자 | 없음 |
| 3. | 애플리케이션의 ID를 가장할 수 있도록 애플리케이션에서 사용자가 할당한 관리 ID를 페더레이션 ID 자격 증명으로 구성합니다. Graph API 참조/ Azure Portal/ Azure CLI/ Azure PowerShell |
없음 | 애플리케이션 소유자 |
| 4. | 고객이 애플리케이션을 설치하고 권한을 부여할 수 있도록 애플리케이션 이름과 애플리케이션 ID를 고객과 공유합니다. | 없음 | 없음 |
서비스 공급자에 대한 고려 사항
- ARM(Azure Resource Manager) 템플릿은 Microsoft Entra 애플리케이션 만들기에 권장하지 않습니다.
- 동일한 다중 테넌트 애플리케이션을 사용하여 Tenant 2, Tenant 3, Tenant 4처럼 원하는 수의 테넌트에서 키에 액세스할 수 있습니다. 각 테넌트에서 애플리케이션 ID는 동일하지만 개체 ID가 다른 애플리케이션의 독립 인스턴스가 만들어집니다. 따라서 이 애플리케이션의 각 인스턴스에는 독립적으로 권한이 부여됩니다. 이 기능에 사용되는 애플리케이션 개체를 사용하여 모든 고객의 애플리케이션을 분할하는 방법을 고려해 보세요.
- 애플리케이션에는 최대 20개의 페더레이션 ID 자격 증명이 있을 수 있으며, 이를 위해서는 서비스 공급자가 고객 간에 페더레이션 ID를 공유해야 합니다. 페더레이션 ID 디자인 고려 사항 및 제한 사항에 대한 자세한 내용은 외부 ID 공급자를 신뢰하도록 앱 구성을 참조하세요.
- 드문 시나리오에서 서비스 공급자는 고객마다 단일 Application 개체를 사용할 수 있지만 모든 고객을 대상으로 대규모로 애플리케이션을 관리하려면 상당한 유지 관리 비용이 필요합니다.
- 서비스 공급자 테넌트에서는 게시자 확인을 자동화할 수 없습니다.
2단계 - 고객이 키 자격 증명 모음에 대한 액세스 권한 부여
| 단계 | 설명 | 최소 권한 Azure RBAC 역할 | 최소 권한의 Microsoft Entra 역할 |
|---|---|---|---|
| 1. | 없음 | 애플리케이션 설치 권한이 있는 사용자 | |
| 2. | Azure Key Vault 및 고객 관리형 키로 사용할 키를 만듭니다. | 키 자격 증명 모음을 만들려면 사용자에게 Key Vault 기여자 역할이 할당되어야 합니다. 사용자는 키 자격 증명 모음에 키를 추가하려면 Key Vault 암호화 책임자 역할이 할당되어야 합니다. |
없음 |
| 3. | Key Vault 암호화 서비스 암호화 책임자 역할을 할당하여 동의된 애플리케이션 ID에 Azure Key Vault에 대한 액세스 권한을 부여합니다. | 애플리케이션에 Key Vault 암호화 서비스 암호화 사용자 역할을 할당하려면 사용자 액세스 관리자 역할이 할당되어 있어야 합니다. | 없음 |
| 4. | 키 자격 증명 모음 URL 및 키 이름을 SaaS 제품의 고객 관리형 키 구성에 복사합니다. | 없음 | 없음 |
참고 항목
CMK를 사용하여 암호화를 위해 관리형 HSM에 대한 액세스 권한을 부여하려면 여기에 있는 스토리지 계정 예제를 참조하세요. 관리형 HSM을 사용하여 키를 관리하는 방법에 대한 자세한 내용은 Azure CLI를 사용하여 관리형 HSM 관리를 참조하세요.
서비스 공급자의 고객에 대한 고려 사항
- 고객 테넌트, Tenant 2에서 관리자는 관리자가 아닌 사용자가 애플리케이션을 설치하지 못하도록 차단하는 정책을 설정할 수 있습니다. 이러한 정책은 관리자가 아닌 사용자가 서비스 주체를 만들지 못하도록 방지할 수 있습니다. 이러한 정책이 구성된 경우 서비스 주체를 만들 수 있는 권한이 있는 사용자가 개입해야 합니다.
- Azure RBAC 또는 액세스 정책을 사용하여 Azure Key Vault에 대한 액세스 권한을 부여할 수 있습니다. 키 자격 증명 모음에 대한 액세스 권한을 부여할 때, 키 자격 증명 모음에 활성 메커니즘을 사용해야 합니다.
- Microsoft Entra 애플리케이션 등록에는 애플리케이션 ID(클라이언트 ID)가 있습니다. 애플리케이션이 테넌트에 설치되면 서비스 주체가 만들어집니다. 서비스 주체는 앱 등록과 동일한 애플리케이션 ID를 공유하지만, 자체 개체 ID를 생성합니다. 애플리케이션에 리소스에 대한 액세스 권한을 부여할 때, 서비스 주체
Name또는ObjectID속성을 사용해야 할 수 있습니다.
3단계 - 서비스 공급자가 고객 관리형 키를 사용하여 Azure 리소스의 데이터를 암호화합니다.
1단계와 2단계가 완료되면 서비스 공급자가 고객 테넌트의 키 및 키 자격 증명 모음과 ISV 테넌트의 Azure 리소스를 사용하여 Azure 리소스에 대한 암호화를 구성할 수 있습니다. 서비스 공급자는 해당 Azure 리소스에서 지원하는 클라이언트 도구, ARM 템플릿 또는 REST API를 사용하여 테넌트 간 고객 관리형 키를 구성할 수 있습니다.
테넌트 간 고객 관리형 키 구성
이 섹션에서는 테넌트 간 CMK(고객 관리형 키)를 구성하고 고객 데이터를 암호화하는 방법을 설명합니다. Tenant2의 키 자격 증명 모음에 저장된 CMK를 사용하여 Tenant1의 리소스에서 고객 데이터를 암호화하는 방법을 알아봅니다. Azure Portal, PowerShell 또는 Azure CLI를 사용할 수 있습니다.
Azure Portal에 로그인하고 다음 단계를 따릅니다.
서비스 공급자가 ID 구성
다음 단계는 서비스 공급자의 테넌트 Tenant1에서 서비스 공급자가 수행합니다.
서비스 공급자가 다중 테넌트 애플리케이션 등록을 새로 생성
새 다중 테넌트 Microsoft Entra 애플리케이션 등록을 만들어도 되고 기존 다중 테넌트 애플리케이션 등록을 시작해도 됩니다. 기존 애플리케이션 등록을 시작하는 경우 애플리케이션의 애플리케이션 ID(클라이언트 ID)를 적어 둡니다.
새 등록을 만들려면 다음을 수행합니다.
검색 상자에서 Microsoft Entra ID를 검색합니다. Microsoft Entra ID 확장을 찾아 선택합니다.
왼쪽 창에서 관리 > 앱 등록을 선택합니다.
+ 새 등록을 선택합니다.
애플리케이션 등록의 이름을 입력하고 모든 조직 디렉터리의 계정(모든 Azure Microsoft Entra 디렉터리 – 다중 테넌트)을 선택합니다.
등록을 선택합니다.
애플리케이션의 ApplicationId/ClientId를 확인합니다.
서비스 공급자는 사용자가 할당한 관리 ID 생성
페더레이션 ID 자격 증명으로 사용할 사용자가 할당한 관리 ID를 만듭니다.
검색창에서 관리 ID를 검색합니다. 관리 ID 확장을 찾아 선택합니다.
+ 만들기를 선택합니다.
관리 ID의 리소스 그룹, 지역 및 이름을 입력합니다.
검토 + 만들기를 선택합니다.
배포가 성공하면 사용자가 할당한 관리 ID의 Azure ResourceId를 확인합니다. 속성에서 확인할 수 있습니다. 예시:
/subscriptions/tttttttt-0000-tttt-0000-tttt0000tttt/resourcegroups/XTCMKDemo/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ConsotoCMKDemoUA
서비스 공급자는 사용자가 할당한 관리 ID를 애플리케이션의 페더레이션 자격 증명으로 구성
애플리케이션의 ID를 가장할 수 있도록 애플리케이션에서 사용자가 할당한 관리 ID를 페더레이션 ID 자격 증명으로 구성합니다.
Microsoft Entra ID > 앱 등록 > 애플리케이션으로 이동합니다.
인증서 및 비밀을 선택합니다.
페더레이션 자격 증명을 선택합니다.
+ 자격 증명 추가를 선택합니다.
페더레이션 자격 증명 시나리오에서 고객 관리형 키를 선택합니다.
관리 ID 선택을 클릭합니다. 창에서 구독을 선택합니다. 관리 ID에서 사용자가 할당한 관리 ID를 선택합니다. 선택 상자에서 이전에 만든 관리 ID를 검색한 다음, 창 아래쪽에서 선택을 클릭합니다.
자격 증명 세부 정보에서 자격 증명의 이름과 설명(선택 사항)을 입력하고 추가를 선택합니다.
서비스 공급자가 고객과 애플리케이션 ID 공유
다중 테넌트 애플리케이션의 애플리케이션 ID(클라이언트 ID)를 찾아서 고객과 공유합니다.
고객이 서비스 공급자의 앱에 키 자격 증명 모음의 키에 대한 액세스 권한 부여
다음 단계는 고객이 고객 테넌트 Tenant2에서 수행합니다. 고객은 Azure Portal, Azure PowerShell 또는 Azure CLI를 사용할 수 있습니다.
단계를 실행하는 사용자는 애플리케이션 관리자, 클라우드 애플리케이션 관리자 또는 전역 관리자와 같은 권한 있는 역할을 가진 관리자여야 합니다.
Azure Portal에 로그인하고 다음 단계를 따릅니다.
고객이 고객 테넌트에 서비스 공급자 애플리케이션 설치
고객의 테넌트에 서비스 공급자의 등록된 애플리케이션을 설치하려면 등록된 앱의 애플리케이션 ID를 사용하여 서비스 주체를 만듭니다. 다음 방법 중 하나를 사용하여 서비스 주체를 만들 수 있습니다.
- Microsoft Graph, Microsoft Graph PowerShell, Azure PowerShell 또는 Azure CLI를 사용하여 수동으로 서비스 주체를 만듭니다.
- 서비스 주체를 만들 수 있도록 관리자 동의 URL을 만들고 테넌트 수준 동의를 부여합니다. AppId를 입력해야 합니다.
고객이 키 자격 증명 모음 생성
키 자격 증명 모음을 만들려면 사용자의 계정에 Key Vault 기여자 역할 또는 키 자격 증명 모음을 만들 수 있는 다른 역할이 할당되어야 합니다.
Azure Portal 메뉴 또는 홈페이지에서 + 리소스 만들기를 선택합니다. 검색창에 키 자격 증명 모음을 입력합니다. 결과 목록에서 키 자격 증명 모음을 선택합니다. 키 자격 증명 모음 페이지에서 만들기를 선택합니다.
기본 사항 탭에서 구독을 선택합니다. 리소스 그룹에서 새로 만들기를 선택하고 리소스 그룹 이름을 입력합니다.
고유한 키 자격 증명 모음 이름을 입력합니다.
지역 및 가격 책정 계층을 선택합니다.
새로운 키 자격 증명 모음에 제거 보호를 사용하도록 설정합니다.
액세스 정책 탭에서 권한 모델로 Azure 역할 기반 액세스 제어를 선택합니다.
검토 + 만들기를 선택한 다음, 만들기를 선택합니다.
Key Vault에 액세스하는 Key Vault 이름 및 URI 애플리케이션은 이 URI를 사용해야 합니다.
자세한 내용은 빠른 시작 - Azure Portal을 사용하여 Azure Key Vault 만들기를 참조하세요.
고객이 Key Vault 암호화 책임자 역할을 사용자 계정에 할당
이 단계에서는 암호화 키를 만들 수 있습니다.
- 키 자격 증명 모음으로 이동하고, 왼쪽 창에서 액세스 제어(IAM)를 선택합니다.
- 이 리소스에 대한 액세스 권한 부여에서 역할 할당 추가를 선택합니다.
- Key Vault 암호화 책임자를 검색하여 선택합니다.
- 구성원 탭에서 사용자, 그룹 또는 서비스 주체를 선택합니다.
- 구성원을 선택하고 사용자 계정을 검색합니다.
- 검토 + 할당을 선택합니다.
고객이 암호화 키 생성
암호화 키를 만들려면 사용자의 계정에 Key Vault 암호화 책임자 역할 또는 키를 만들 수 있는 다른 역할이 할당되어야 합니다.
- Key Vault 속성 페이지에서 키를 선택합니다.
- 생성/가져오기를 선택합니다.
- 키 만들기 화면에서 키의 이름을 지정합니다. 다른 값은 기본값으로 그대로 둡니다.
- 만들기를 실행합니다.
- 키 URI를 복사합니다.
고객이 서비스 공급자의 애플리케이션에 키 자격 증명 모음에 대한 액세스 권한 부여
키 자격 증명 모음에 액세스할 수 있도록 서비스 공급자의 등록된 애플리케이션에 Azure RBAC 역할 Key Vault 암호화 서비스 암호화 사용자를 할당합니다.
- 키 자격 증명 모음으로 이동하고, 왼쪽 창에서 액세스 제어(IAM)를 선택합니다.
- 이 리소스에 대한 액세스 권한 부여에서 역할 할당 추가를 선택합니다.
- Key Vault 암호화 서비스 암호화 사용자를 선택합니다.
- 구성원 탭에서 사용자, 그룹 또는 서비스 주체를 선택합니다.
- 구성원을 선택하고 서비스 공급자에서 설치한 애플리케이션의 이름을 검색합니다.
- 검토 + 할당을 선택합니다.
이제 키 자격 증명 모음 URI와 키를 사용하여 고객 관리형 키를 구성할 수 있습니다.
디스크 암호화 집합 만들기
이제 Azure Key Vault를 만들고 필요한 Microsoft Entra 구성을 수행했으므로 테넌트 간에 작동하도록 구성된 디스크 암호화 집합을 배포하고 키 자격 증명 모음의 키와 연결합니다. Azure Portal, PowerShell 또는 Azure CLI를 사용하여 이 작업을 수행할 수 있습니다. ARM 템플릿 또는 REST API를 사용할 수도 있습니다.
Azure Portal을 사용하려면 포털에 로그인하고 다음 단계를 수행합니다.
+ 리소스 만들기를 선택하고 디스크 암호화 집합을 검색하고 만들기 > 디스크 암호화 집합을 선택합니다.
프로젝트 세부 정보에서 디스크 암호화 집합을 만들 구독 및 리소스 그룹을 선택합니다.
인스턴스 세부 정보에서 디스크 암호화 집합의 이름을 제공합니다.
디스크 암호화 집합을 만들 지역을 선택합니다.
암호화 유형에서 고객 관리형 키로 미사용 데이터 암호화를 선택합니다.
암호화 키에서 URI에서 키 입력 라디오 단추를 선택한 다음, 고객의 테넌트에 생성된 키의 키 URI를 입력합니다.
사용자 할당 ID에서 ID 선택을 선택합니다.
이전에 ISV의 테넌트에서 만든 사용자가 할당한 관리 ID를 선택한 다음 추가를 선택합니다.
다중 테넌트 애플리케이션에서 애플리케이션 선택을 선택합니다.
이전에 ISV의 테넌트에서 만든 다중 테넌트 등록 애플리케이션을 선택하고 선택을 클릭합니다.
검토 + 만들기를 선택합니다.
ARM 템플릿 사용
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"desname": {
"defaultValue": "<Enter ISV disk encryption set name>",
"type": "String"
},
"region": {
"defaultValue": "WestCentralUS",
"type": "String"
},
"userassignedmicmk": {
"defaultValue": "/subscriptions/<Enter ISV Subscription Id>/resourceGroups/<Enter ISV resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<Enter ISV User Assigned Identity Name>",
"type": "String"
},
"cmkfederatedclientId": {
"defaultValue": "<Enter ISV Multi-Tenant App Id>",
"type": "String"
},
"keyVaultURL": {
"defaultValue": "<Enter Client Key URL>",
"type": "String"
},
"encryptionType": {
"defaultValue": "EncryptionAtRestWithCustomerKey",
"type": "String"
}
},
"variables": {},
"resources": [
{
"type": "Microsoft.Compute/diskEncryptionSets",
"apiVersion": "2021-12-01",
"name": "[parameters('desname')]",
"location": "[parameters('region')]",
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
"[parameters('userassignedmicmk')]": {}
}
},
"properties": {
"activeKey": {
"keyUrl": "[parameters('keyVaultURL')]"
},
"federatedClientId": "[parameters('cmkfederatedclientId')]",
"encryptionType": "[parameters('encryptionType')]"
}
}
]
}
REST API 사용
본문에서 전달자 토큰을 권한 부여 헤더로 사용하고, 애플리케이션/JSON을 콘텐츠 형식으로 사용합니다. (네트워크 탭, 포털에서 ARM 요청을 수행하는 동안 management.azure로 필터링)
PUT https://management.azure.com/subscriptions/<Enter ISV Subscription Id>/resourceGroups/<Enter ISV Resource Group Name>/providers/Microsoft.Compute/diskEncryptionSets/<Enter ISV Disk Encryption Set Name>?api-version=2021-12-01
Authorization: Bearer ...
Content-Type: application/json
{
"name": "<Enter ISV disk encryption set name>",
"id": "/subscriptions/<Enter ISV Subscription Id>/resourceGroups/<Enter ISV resource group name>/providers/Microsoft.Compute/diskEncryptionSets/<Enter ISV disk encryption set name>/",
"type": "Microsoft.Compute/diskEncryptionSets",
"location": "westcentralus",
"identity": {
"type": "UserAssigned",
"userAssignedIdentities": {
"/subscriptions/<Enter ISV Subscription Id>/resourceGroups/<Enter ISV resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<Enter ISV User Assigned Identity Name>
": {}
}
},
"properties": {
"activeKey": {
"keyUrl": "<Enter Client Key URL>"
},
"encryptionType": "EncryptionAtRestWithCustomerKey",
"federatedClientId": "<Enter ISV Multi-Tenant App Id>"
}
}
다음 단계
참고 항목: