투명한 데이터 암호화에서 교차 테넌트 고객 관리형 키

적용 대상:Azure SQL DatabaseAzure Synapse Analytics(전용 SQL 풀만 해당)

이제 Azure SQL은 TDE(투명한 데이터 암호화)를 사용하여 교차 테넌트 CMK(고객 관리형 키)에 대한 지원을 제공합니다. 교차 테넌트 CMK는 서버를 보호하는 데 사용되는 고객 관리형 키를 저장하는 Azure Key Vault와 동일한 Microsoft Entra 테넌트에 Azure의 논리 서버를 보유하지 않고도 TDE를 활용하기 위한 BYOK(Bring Your Own Key) 시나리오에서 확장됩니다.

다른 Microsoft Entra 테넌트에 구성된 키 자격 증명 모음에 저장된 키에 대해 Azure SQL Database용 CMK를 사용하여 TDE를 구성할 수 있습니다. Microsoft Entra ID(이전의 Azure Active Directory)는 워크로드 ID 페더레이션이라는 기능을 도입하면서, 한 Microsoft Entra 테넌트의 Azure 리소스가 다른 Microsoft Entra 테넌트의 리소스에 액세스할 수 있도록 지원합니다.

Synapse 작업 영역 내의 전용 SQL 풀을 위한 투명한 데이터 암호화에 관한 설명서는 Azure Synapse Analytics 암호화를 참조하세요.

참고 항목

Microsoft Entra ID는 이전의 Azure Active Directory(Azure AD)입니다.

일반적인 사용 시나리오

교차 테넌트 CMK 기능을 사용하면 서비스 제공자 또는 독립 소프트웨어 공급업체(ISV)가 Azure SQL을 기반으로 서비스를 빌드하여 CMK 기능을 통해 Azure SQL의 TDE를 고객에게 확장할 수 있습니다. ISV 고객은 교차 테넌트 CMK 지원을 통해 자체 구독 및 Microsoft Entra 테넌트에 키 자격 증명 모음 및 암호화 키를 소유할 수 있습니다. 고객은 ISV 테넌트에서 Azure SQL 리소스에 액세스하면서 동시에 키 관리 작업을 완전히 제어할 수 있습니다.

교차 테넌트 상호 작용

Azure SQL과 다른 Microsoft Entra 테넌트의 키 자격 증명 모음 간 교차 테넌트 상호 작용은 Microsoft Entra 기능인 워크로드 ID 페더레이션을 통해 사용합니다.

Azure SQL 서비스를 배포하는 ISV는 Microsoft Entra ID에서 다중 테넌트 애플리케이션을 생성한 후, 사용자가 할당한 관리 ID를 사용하여 이 애플리케이션에 대한 페더레이션 ID 자격 증명을 구성할 수 있습니다. 클라이언트 또는 ISV 고객은 적절한 애플리케이션 이름 및 애플리케이션 ID를 사용하여 자체 테넌트에 ISV에서 생성한 애플리케이션을 설치할 수 있습니다. 그런 다음, 고객은 테넌트의 키 자격 증명 모음에 대한 애플리케이션 권한(Azure SQL에 필요함)을 연결된 서비스 주체를 부여하고 해당 키 위치를 ISV와 공유합니다. ISV가 관리 ID 및 페더레이션된 클라이언트 ID를 Azure SQL 리소스에 할당하면 ISV 테넌트의 Azure SQL 리소스는 고객의 키 자격 증명 모음에 액세스할 수 있습니다.

자세한 내용은 다음을 참조하세요.

• 새 스토리지 계정에 대한 테넌트 간 고객 관리형 키 구성
• 기존 스토리지 계정에 대한 테넌트 간 고객 관리형 키 구성

교차 테넌트 CMK 설정

다음 다이어그램에서는 TDE를 사용하여 사용자가 할당한 관리 ID로 교차 테넌트 CMK를 사용하여 미사용 데이터를 암호화하는 Azure SQL 논리 서버 활용 시나리오의 단계를 나타냅니다.

설정 개요

ISV 테넌트에서

1. 사용자가 할당한 관리 ID 만들기

2. 다중 테넌트 애플리케이션 만들기

   1. 애플리케이션에서 사용자가 할당한 관리 ID를 페더레이션 자격 증명으로 구성

클라이언트 테넌트에서

3. 다중 테넌트 애플리케이션 설치

4. 기존 키 자격 증명 모음 만들기 또는 사용 및 다중 테넌트 애플리케이션에 키 권한 부여

   1. 새 키 만들기 또는 기존 키 사용

   2. 키 자격 증명 모음에서 키 검색 및 키 식별자 기록

ISV 테넌트에서

5. Azure Portal의 Azure SQL 리소스 ID 메뉴에서 기본 ID로 생성한 사용자가 할당한 관리 ID 할당

6. 동일한 ID 메뉴에서 페더레이션된 클라이언트 ID 할당 및 애플리케이션 이름 사용

7. Azure SQL 리소스의 투명한 데이터 암호화 메뉴에서 클라이언트 테넌트로부터 가져온 고객의 키 식별자를 사용하여 키 식별자를 할당합니다.

설명

• TDE 기능 지원 교차 테넌트 CMK는 사용자가 할당한 관리 ID에서만 지원됩니다. TDE 지원 교차 테넌트 CMK에서는 시스템이 할당한 관리 ID를 사용할 수 없습니다.
• TDE 지원 교차 테넌트 CMK 설정은 Azure SQL Database의 서버 수준 및 데이터베이스 수준에서 지원됩니다. 자세한 내용은 데이터베이스 수준에서 고객 관리형 키 기반 TDE(투명한 데이터 암호화)를 참조하세요.

다음 단계

사용자가 할당한 관리 ID 및 TDE용 교차 테넌트 CMK로 구성된 서버 만들기

참고 항목

• 사용자 할당 관리 ID 및 고객 관리형 TDE로 구성된 Azure SQL 데이터베이스 만들기
• 새 스토리지 계정에 대한 테넌트 간 고객 관리형 키 구성
• 기존 스토리지 계정에 대한 테넌트 간 고객 관리형 키 구성
• 데이터베이스 수준에서 고객 관리형 키 기반 TDE(투명한 데이터 암호화)
• 데이터베이스 수준 고객 관리형 키를 사용하는 투명한 데이터 암호화에 대한 지역 복제 및 백업 복원 구성
• 데이터베이스 수준 고객 관리형 키를 사용하는 TDE에 대한 ID 및 키 관리