Batch 계정 인증서를 Azure Key Vault 마이그레이션
2024년 2월 29일에 Azure Batch 계정 인증서 기능이 사용 중지됩니다. 이 문서에서는 Azure Key Vault 사용하여 Azure Batch 계정에서 인증서를 마이그레이션하는 방법을 알아봅니다.
기능 정보
인증서는 비밀 암호 해독, 통신 채널 보안 또는 다른 서비스 액세스와 같은 다양한 시나리오에서 종종 필요합니다. 현재 Azure Batch는 Batch 풀에서 인증서를 관리하는 두 가지 방법을 제공합니다. Batch 계정에 인증서를 추가하거나 Azure Key Vault VM 확장을 사용하여 Batch 풀에서 인증서를 관리할 수 있습니다. Azure Batch 계정의 인증서 기능CertificateReference및 풀 추가, 패치 풀, 업데이트 속성, 풀 API 가져오기 및 나열에 대한 해당 참조를 통한 Batch 풀 기능만 사용 중지됩니다. 또한 Linux 풀의 경우 $AZ_BATCH_CERTIFICATES_DIR 환경 변수가 더 이상 정의되고 채워지지 않습니다.
기능 지원 종료
Azure Key Vault Azure에서 비밀 및 인증서를 안전하게 저장하고 액세스하기 위한 표준 권장 메커니즘입니다. 따라서 2024년 2월 29일에 Azure Batch에서 Batch 계정 인증서 기능을 사용 중지합니다. 대안은 Azure Key Vault VM 확장 및 풀에서 사용자 할당 관리 ID를 사용하여 Batch 풀에 인증서에 안전하게 액세스하고 설치하는 것입니다.
2024년 2월 29일에 Azure Batch 인증서 기능이 사용 중지된 후에는 Batch의 인증서가 예상대로 작동하지 않습니다. 해당 날짜 이후에는 더 이상 Batch 계정에 인증서를 추가하거나 이러한 인증서를 Batch 풀에 연결할 수 없습니다. 이 날짜 이후에 이 기능을 계속 사용하는 풀은 인증서 참조 업데이트 또는 기존 인증서 참조 설치 기능과 같이 예상대로 작동하지 않을 수 있습니다.
대안: 풀 사용자 할당 관리 ID에서 Azure Key Vault VM 확장 사용
Azure Key Vault 비밀, 인증서, 토큰 및 키를 저장하고 관리하는 제어된 액세스를 제공하는 완전 관리형 Azure 서비스입니다. Azure Key Vault는 키 자격 증명 모음에서 클라이언트 애플리케이션으로의 데이터 흐름이 암호화되도록 하여 전송 계층에서 보안을 강화합니다. Azure Key Vault 필수 액세스 정보를 저장하고 세분화된 액세스 제어를 설정하는 안전한 방법을 제공합니다. 하나의 대시보드에서 모든 비밀을 관리할 수 있습니다. 소프트웨어 보호 또는 하드웨어로 보호되는 HSM(하드웨어 보안 모듈)에 키를 저장하도록 선택합니다. 인증서를 자동 갱신하도록 Key Vault를 설정할 수도 있습니다.
풀 사용자 할당 관리 ID를 사용하여 Azure Key Vault VM 확장을 사용하도록 설정하는 방법에 대한 전체 가이드는 Batch 풀에서 자동 인증서 회전 사용을 참조하세요.
FAQ
CloudServiceConfiguration풀에서 Azure Key Vault VM 확장 및 관리 ID를 지원합니까?아니요.
CloudServiceConfiguration풀은 2024년 2월 29일에 Azure Batch 계정 인증서 사용 중지와 동일한 날짜에 사용 중지됩니다. 이러한 솔루션을 사용할 수 있는 해당 날짜 이전에VirtualMachineConfiguration풀로 마이그레이션 하는 것이 좋습니다.사용자 구독 풀 할당 Batch 계정이 Azure Key Vault를 지원합니까?
예. 풀에서 Batch 계정에 지정된 것과 동일한 Key Vault를 사용할 수 있지만 Batch 풀의 인증서에 사용되는 Key Vault는 완전히 다를 수도 있습니다.
Key Vault VM 확장에서 Linux 및 Windows Batch 풀이 모두 지원되나요?
Key Vault VM 확장을 사용하여 기존 풀을 업데이트할 수 있나요?
아니요, 이러한 속성은 풀에서 업데이트할 수 없습니다. 풀을 다시 만들어야 합니다.
$AZ_BATCH_CERTIFICATES_DIR이 제거되므로 Linux Batch 풀의 인증서에 대한 참조를 가져오려면 어떻게 하나요?Linux용 Key Vault VM 확장을 사용하면 인증서를 저장할 절대 경로인
certificateStoreLocation을 지정할 수 있습니다. Key Vault VM 확장은 슈퍼 사용자(루트) 권한만 사용하여 지정된 위치에 설치된 인증서의 범위를 지정합니다. 기본적으로 이러한 인증서에 액세스하기 위해 작업이 관리자 권한으로 실행되는지 확인하거나 인증서를 직접 액세스할 수 있는 인증서에 복사하거나 적절한 파일 모드로 인증서 파일을 조정해야 합니다. 관리자 권한 시작 작업 또는 작업 준비 작업의 일부로 이러한 명령을 실행할 수 있습니다.프라이빗 키가 포함되지 않은
.cer파일을 설치하려면 어떻게 해야 하나요?Key Vault는 프라이빗 키 정보를 포함하지 않으므로 이러한 파일을 권한으로 간주하지 않습니다. 다음 방법 중 하나를 사용하여
.cer파일을 설치할 수 있습니다. 연결된 사용자가 할당한 관리 ID에 대한 적절한 액세스 권한으로 Key Vault 비밀을 사용하고 설치할 시작 작업의 일부로.cer파일을 가져옵니다. 또는.cer파일을 Azure Storage Blob으로 저장하고 설치할 시작 작업에서 Batch 리소스 파일로 참조합니다.작업 수준 nonadmin 자동 사용자 풀 ID에 대한 Key Vault 확장 설치 인증서에 액세스하려면 어떻게 해야 하나요?
작업 수준 자동 사용자는 요청 시 생성되며 Key Vault VM 확장의
accounts속성에 지정하기 위해 미리 정의할 수 없습니다. 작업 수준 자동 사용자에 의해 액세스하기 위해 필요한 인증서를 일반적으로 액세스할 수 있는 저장소 또는 ACL로 내보내는 사용자 지정 프로세스가 필요합니다.Azure Key Vault 사용 모범 사례는 어디에서 찾을 수 있나요?
Azure Key Vault 모범 사례를 참조하세요.
다음 단계
자세한 내용은 Key Vault 인증서 액세스 제어를 참조하세요. 이 마이그레이션과 관련된 Batch 기능에 대한 자세한 내용은 Azure Batch 풀 확장 및 Azure Batch 풀 관리 ID를 참조하세요.