미사용 데이터의 Personalizer 서비스 암호화Personalizer service encryption of data at rest

Personalizer 서비스는 데이터를 클라우드에 저장할 때 데이터를 자동으로 암호화합니다.The Personalizer service automatically encrypts your data when persisted it to the cloud. Personalizer 서비스 암호화는 데이터를 보호하고 조직의 보안 및 규정 준수 약정에 부합하는 데 도움이 됩니다.The Personalizer service encryption protects your data and to help you to meet your organizational security and compliance commitments.

Cognitive Services 암호화 정보About Cognitive Services encryption

데이터는 FIPS 140-2 규격 256비트 AES 암호화를 사용하여 암호화 및 해독됩니다.Data is encrypted and decrypted using FIPS 140-2 compliant 256-bit AES encryption. 암호화 및 암호 해독은 투명하므로 암호화 및 액세스가 자동으로 관리됩니다.Encryption and decryption are transparent, meaning encryption and access are managed for you. 데이터는 기본적으로 안전하며 암호화를 활용하기 위해 코드 또는 애플리케이션을 수정할 필요가 없습니다.Your data is secure by default and you don't need to modify your code or applications to take advantage of encryption.

암호화 키 관리 정보About encryption key management

기본적으로 구독은 Microsoft에서 관리하는 암호화 키를 사용합니다.By default, your subscription uses Microsoft-managed encryption keys. CMK(고객 관리형 키)라고 하는 자체 키를 사용하여 구독을 관리하는 옵션도 있습니다.There is also the option to manage your subscription with your own keys called customer-managed keys (CMK). CMK를 사용하면 훨씬 더 유연하게 액세스 제어를 만들고, 순환하고, 사용하지 않도록 설정하고, 철회할 수 있습니다.CMK offer greater flexibility to create, rotate, disable, and revoke access controls. 데이터를 보호하는 데 사용되는 암호화 키를 감사할 수도 있습니다.You can also audit the encryption keys used to protect your data. CMK가 구독에 대해 구성된 경우 이중 암호화가 제공되어 두 번째 보안 계층을 제공하는 동시에 Azure Key Vault를 통해 암호화 키를 제어할 수 있습니다.If CMK is configured for your subscription, double encryption is provided, which offers a second layer of protection, while allowing you to control the encryption key through your Azure Key Vault.

중요

고객 관리형 키는 E0 가격 책정 계층에서만 사용할 수 있습니다.Customer-managed keys are only available on the E0 pricing tier. 고객 관리형 키를 사용하는 기능을 요청하려면 Personalizer Service 고객 관리형 키 요청 양식을 작성하여 제출합니다.To request the ability to use customer-managed keys, fill out and submit the Personalizer Service Customer-Managed Key Request Form. 요청 상태를 다시 들으려면 영업일 기준 3-5일이 소요됩니다.It will take approximately 3-5 business days to hear back on the status of your request. 요청에 따라 큐에 배치되고 공간이 확보되면 승인될 수 있습니다.Depending on demand, you may be placed in a queue and approved as space becomes available. Personalizer 서비스에서 CMK 사용이 승인되면 새 Personalizer 리소스를 만들고 E0을 가격 책정 계층으로 선택해야 합니다.Once approved for using CMK with the Personalizer service, you will need to create a new Personalizer resource and select E0 as the Pricing Tier. E0 가격 계층을 사용하여 Personalizer 리소스가 만들어지면 Azure Key Vault를 사용하여 관리 ID를 설정할 수 있습니다.Once your Personalizer resource with the E0 pricing tier is created, you can use Azure Key Vault to set up your managed identity.

Azure Key Vault를 사용하는 고객 관리형 키Customer-managed keys with Azure Key Vault

고객 관리형 키를 저장하려면 Azure Key Vault를 사용해야 합니다.You must use Azure Key Vault to store customer-managed keys. 사용자 고유의 키를 만들어 키 자격 증명 모음에 저장할 수도 있고, Azure Key Vault API를 사용하여 키를 생성할 수도 있습니다.You can either create your own keys and store them in a key vault, or you can use the Azure Key Vault APIs to generate keys. Cognitive Services 리소스 및 키 자격 증명 모음은 동일한 지역 및 동일한 Azure AD(Azure Active Directory) 테넌트에 있어야 하지만 서로 다른 구독에 있을 수 있습니다.The Cognitive Services resource and the key vault must be in the same region and in the same Azure Active Directory (Azure AD) tenant, but they can be in different subscriptions. Azure Key Vault에 대한 자세한 내용은 Azure Key Vault란?을 참조하세요.For more information about Azure Key Vault, see What is Azure Key Vault?.

새 Cognitive Services 리소스가 생성되면 항상 Microsoft 관리형 키를 사용하여 암호화됩니다.When a new Cognitive Services resource is created it is always encrypted using Microsoft-managed keys. 리소스를 만들 때는 고객 관리형 키를 사용하도록 설정할 수 없습니다.It's not possible to enable customer-managed keys at the time that the resource is created. 고객 관리형 키는 Azure Key Vault에 저장되며, 키 자격 증명 모음은 Cognitive Services 리소스와 연결된 관리 ID에 키 권한을 부여하는 액세스 정책을 사용하여 프로비전되어야 합니다.Customer-managed keys are stored in Azure Key Vault, and the key vault must be provisioned with access policies that grant key permissions to the managed identity that is associated with the Cognitive Services resource. 관리 ID는 CMK에 필요한 가격 책정 계층을 사용하여 리소스를 만든 후에만 사용할 수 있습니다.The managed identity is available only after the resource is created using the Pricing Tier required for CMK.

고객 관리형 키를 사용하도록 설정하면 Azure AD의 기능인 시스템 할당 관리 ID도 사용할 수 있습니다.Enabling customer managed keys will also enable a system assigned managed identity, a feature of Azure AD. 시스템 할당 관리 ID를 사용하도록 설정하면 이 리소스가 Azure Active Directory에 등록됩니다.Once the system assigned managed identity is enabled, this resource will be registered with Azure Active Directory. 등록 후 관리 ID에는 고객 관리형 키를 설정하는 동안 선택된 키 자격 증명 모음에 대한 액세스 권한이 부여됩니다.After being registered, the managed identity will be given access to the Key Vault selected during customer managed key setup.

중요

시스템 할당 관리 ID를 사용하지 않도록 설정하면 키 자격 증명 모음에 대한 액세스 권한이 제거되고 고객 키로 암호화된 데이터에 더 이상 액세스할 수 없게 됩니다.If you disable system assigned managed identities, access to the key vault will be removed and any data encrypted with the customer keys will no longer be accessible. 이 데이터에 의존하는 기능은 작동하지 않습니다.Any features depended on this data will stop working.

중요

관리 ID는 현재 교차 디렉터리 시나리오를 지원하지 않습니다.Managed identities do not currently support cross-directory scenarios. Azure Portal에 고객 관리형 키를 구성하는 경우 관리 ID가 내부적으로 자동 할당됩니다.When you configure customer-managed keys in the Azure portal, a managed identity is automatically assigned under the covers. 이후에 구독, 리소스 그룹 또는 리소스를 Azure AD 디렉터리 간에 이동하는 경우, 리소스와 연결된 관리 ID가 새로운 테넌트로 전송되지 않으므로 고객 관리형 키가 더 이상 작동하지 않을 수 있습니다.If you subsequently move the subscription, resource group, or resource from one Azure AD directory to another, the managed identity associated with the resource is not transferred to the new tenant, so customer-managed keys may no longer work. 자세한 내용은 FAQ에서 Azure AD 디렉터리 간 구독 전송Azure 리소스에 대한 관리 ID의 알려진 문제를 참조하세요.For more information, see Transferring a subscription between Azure AD directories in FAQs and known issues with managed identities for Azure resources.

Azure Key Vault 구성Configure Azure Key Vault

고객 관리형 키를 사용하려면 Key Vault에서 일시 삭제삭제 안 함 속성을 설정해야 합니다.Using customer-managed keys requires that two properties be set in the key vault, Soft Delete and Do Not Purge. 두 속성은 기본적으로 설정되어 있지 않지만 새로운 또는 기존 키 자격 증명 모음에서 PowerShell 또는 Azure CLI를 사용하여 설정할 수 있습니다.These properties are not enabled by default, but can be enabled using either PowerShell or Azure CLI on a new or existing key vault.

중요

일시 삭제삭제 안 함 속성이 설정되어 있지 않은 상태에서 키를 삭제하면 Cognitive Service 리소스의 데이터를 복구할 수 없습니다.If you do not have the Soft Delete and Do Not Purge properties enabled and you delete your key, you won't be able to recover the data in your Cognitive Service resource.

기존 키 자격 증명 모음에서 이러한 속성을 사용하려면 다음 문서 중 하나에서 일시 삭제를 사용하도록 설정제거 보호 활성화 섹션을 참조하세요.To learn how to enable these properties on an existing key vault, see the sections titled Enabling soft-delete and Enabling Purge Protection in one of the following articles:

Azure Storage 암호화에는 2048 크기의 RSA 키만 지원됩니다.Only RSA keys of size 2048 are supported with Azure Storage encryption. 키에 대한 자세한 내용은 Azure Key Vault 키, 비밀 및 인증서 정보Key Vault 키 를 참조하세요.For more information about keys, see Key Vault keys in About Azure Key Vault keys, secrets and certificates.

리소스에 고객 관리형 키 사용Enable customer-managed keys for your resource

Azure Portal에서 고객 관리형 키를 사용하도록 설정하려면 다음 단계를 수행합니다.To enable customer-managed keys in the Azure portal, follow these steps:

  1. Cognitive Services 리소스로 이동합니다.Navigate to your Cognitive Services resource.

  2. Cognitive Services 리소스에 대한 설정 블레이드에서 암호화 를 클릭합니다.On the Settings blade for your Cognitive Services resource, click Encryption. 다음 그림에 표시된 것처럼 고객 관리형 키 옵션을 선택합니다.Select the Customer Managed Keys option, as shown in the following figure.

    고객 관리형 키를 선택하는 방법을 보여 주는 스크린샷

키 지정Specify a key

고객 관리형 키를 사용하도록 설정하면 Cognitive Services 리소스와 연결할 키를 지정할 수 있습니다.After you enable customer-managed keys, you'll have the opportunity to specify a key to associate with the Cognitive Services resource.

키를 URI로 지정Specify a key as a URI

키를 URI로 지정하려면 다음 단계를 수행합니다.To specify a key as a URI, follow these steps:

  1. Azure Portal에서 키 URI를 찾으려면 키 자격 증명 모음으로 이동하여 설정을 선택합니다.To locate the key URI in the Azure portal, navigate to your key vault, and select the Keys setting. 원하는 키를 선택한 다음, 키를 클릭하여 버전을 확인합니다.Select the desired key, then click the key to view its versions. 키 버전을 선택하여 해당 버전의 설정을 봅니다.Select a key version to view the settings for that version.

  2. URI를 제공하는 키 식별자 필드의 값을 복사합니다.Copy the value of the Key Identifier field, which provides the URI.

    키 자격 증명 모음 키 URI를 보여 주는 스크린샷

  3. 스토리지 계정에 대한 암호화 설정에서 키 URI 입력 옵션을 선택합니다.In the Encryption settings for your storage account, choose the Enter key URI option.

  4. 복사한 URI를 키 URI 필드에 붙여넣습니다.Paste the URI that you copied into the Key URI field.

    키 URI를 입력하는 방법을 보여 주는 스크린샷

  5. 키 자격 증명 모음을 포함하는 구독을 지정합니다.Specify the subscription that contains the key vault.

  6. 변경 내용을 저장합니다.Save your changes.

Key Vault에서 키 지정Specify a key from a key vault

키 자격 증명 모음의 키를 지정하려면 먼저 키가 포함된 키 자격 증명 모음이 있는지 확인합니다.To specify a key from a key vault, first make sure that you have a key vault that contains a key. 키 자격 증명 모음의 키를 지정하려면 다음 단계를 수행합니다.To specify a key from a key vault, follow these steps:

  1. Key Vault에서 선택 옵션을 선택합니다.Choose the Select from Key Vault option.

  2. 사용하려는 키가 포함된 키 자격 증명 모음을 선택합니다.Select the key vault containing the key you want to use.

  3. 키 자격 증명 모음의 키를 선택합니다.Select the key from the key vault.

    고객 관리형 키 옵션을 보여 주는 스크린샷

  4. 변경 내용을 저장합니다.Save your changes.

키 버전 업데이트Update the key version

새 버전의 키를 만들 때는 새 버전을 사용하도록 Cognitive Services를 업데이트합니다.When you create a new version of a key, update the Cognitive Services resource to use the new version. 다음 단계를 수행합니다.Follow these steps:

  1. Cognitive Services 리소스로 이동하여 암호화 설정을 표시합니다.Navigate to your Cognitive Services resource and display the Encryption settings.
  2. 새 키 버전의 URI를 입력합니다.Enter the URI for the new key version. 또는 키 자격 증명 모음을 선택하고 키를 다시 선택하여 버전을 업데이트할 수 있습니다.Alternately, you can select the key vault and the key again to update the version.
  3. 변경 내용을 저장합니다.Save your changes.

다른 키 사용Use a different key

암호화에 사용되는 키를 변경하려면 다음 단계를 수행합니다.To change the key used for encryption, follow these steps:

  1. Cognitive Services 리소스로 이동하여 암호화 설정을 표시합니다.Navigate to your Cognitive Services resource and display the Encryption settings.
  2. 새 키의 URI를 입력합니다.Enter the URI for the new key. 또는 키 자격 증명 모음을 선택하고 새 키를 선택할 수 있습니다.Alternately, you can select the key vault and choose a new key.
  3. 변경 내용을 저장합니다.Save your changes.

고객 관리형 키 순환Rotate customer-managed keys

규정 준수 정책에 따라 Azure Key Vault에서 고객 관리형 키를 순환할 수 있습니다.You can rotate a customer-managed key in Azure Key Vault according to your compliance policies. 키를 순환하는 경우 새 키 URI를 사용하도록 Cognitive Services 리소스를 업데이트해야 합니다.When the key is rotated, you must update the Cognitive Services resource to use the new key URI. Azure Portal에서 새 버전의 키를 사용하도록 리소스를 업데이트하는 방법을 알아보려면 키 버전 업데이트를 참조하세요.To learn how to update the resource to use a new version of the key in the Azure portal, see Update the key version.

키를 순환해도 리소스에서 데이터의 재암호화가 트리거되지 않습니다.Rotating the key does not trigger re-encryption of data in the resource. 사용자의 추가 작업은 필요하지 않습니다.There is no further action required from the user.

고객 관리형 키에 대한 액세스 권한 철회Revoke access to customer-managed keys

고객 관리형 키에 대한 액세스 권한을 철회하려면 PowerShell 또는 Azure CLI를 사용합니다.To revoke access to customer-managed keys, use PowerShell or Azure CLI. 자세한 내용은 Azure Key Vault PowerShell 또는 Azure Key Vault CLI를 참조하세요.For more information, see Azure Key Vault PowerShell or Azure Key Vault CLI. 액세스 권한을 철회하면 Cognitive Services에서 암호화 키에 액세스할 수 없으므로 Cognitive Services 계정의 모든 데이터에 대한 액세스가 효과적으로 차단됩니다.Revoking access effectively blocks access to all data in the Cognitive Services resource, as the encryption key is inaccessible by Cognitive Services.

고객 관리형 키 사용 안 함Disable customer-managed keys

고객 관리형 키를 사용하지 않도록 설정하면 Cognitive Services 리소스가 Microsoft 관리형 키를 사용하여 암호화됩니다.When you disable customer-managed keys, your Cognitive Services resource is then encrypted with Microsoft-managed keys. 고객 관리형 키를 사용하지 않도록 설정하려면 다음 단계를 수행합니다.To disable customer-managed keys, follow these steps:

  1. Cognitive Services 리소스로 이동하여 암호화 설정을 표시합니다.Navigate to your Cognitive Services resource and display the Encryption settings.
  2. 사용자 자신의 키 사용 설정 옆에 있는 확인란의 선택을 취소합니다.Deselect the checkbox next to the Use your own key setting.

다음 단계Next steps