Azure Key Vault를 사용하여 Azure Stack Edge 비밀 관리

적용 대상:Azure Stack Edge Pro - GPUAzure Stack Edge Pro 2Azure Stack Edge Pro RAzure Stack Edge Mini R

Azure Key Vault는 비밀 관리를 위해 Azure Stack Edge 리소스와 통합됩니다. 이 문서에서는 디바이스를 활성화하는 동안 Azure Stack Edge 리소스에 대해 Azure Key Vault를 만든 다음 비밀 관리에 사용되는 방법에 대해 자세히 설명합니다.

키 자격 증명 모음 및 Azure Stack Edge 정보

Azure Key Vault 클라우드 서비스는 토큰, 암호, 인증서, API 키 및 기타 비밀에 대한 액세스를 안전하게 저장하고 제어하는 데 사용할 수 있습니다. 또한 Key Vault를 사용하면 데이터를 암호화하는 데 사용되는 암호화 키를 쉽게 만들고 제어할 수 있습니다.

Azure Stack Edge 서비스의 경우 키 자격 증명 모음과 통합하면 다음과 같은 이점이 제공됩니다.

• 고객 비밀을 저장합니다. Azure Stack Edge 서비스에 사용되는 비밀 중 하나는 CIK(채널 무결성 키)입니다. 이 키를 사용하면 비밀을 암호화할 수 있으며 키 자격 증명 모음에 안전하게 저장됩니다. BitLocker 복구 키 및 BMC(베이스보드 관리 컨트롤러) 사용자 암호와 같은 디바이스 비밀도 키 자격 증명 모음에 저장됩니다.

  자세한 내용은 비밀 및 키 안전하게 저장을 참조하세요.

• 암호화된 고객 비밀을 디바이스에 전달합니다.

• 디바이스가 다운된 경우 쉽게 액세스할 수 있도록 디바이스 비밀을 표시합니다.

활성화 키 생성 및 키 자격 증명 모음 만들기

키 자격 증명 모음은 활성화 키 생성 프로세스 중에 Azure Stack Edge 리소스에 대해 만들어집니다. 키 자격 증명 모음은 Azure Stack Edge 리소스가 있는 동일한 리소스 그룹에 만들어집니다. 키 자격 증명 모음에 대한 기여자 권한이 필요합니다.

키 자격 증명 모음을 위한 사전 요구 사항

활성화하는 동안 키 자격 증명 모음을 만들기 전에 다음 필수 구성 요소를 충족해야 합니다.

• Azure Stack Edge 리소스를 만들기 전에 Microsoft.KeyVault 리소스 공급자를 등록합니다. 구독에 대한 소유자 또는 기여자 액세스 권한이 있는 경우 리소스 공급자가 자동으로 등록됩니다. 키 자격 증명 모음은 Azure Stack Edge 리소스와 동일한 구독 및 리소스 그룹에 만들어집니다.

• Azure Stack Edge 리소스를 만들 때 리소스 수명 동안 유지되고 클라우드의 리소스 공급자와 통신하는 시스템이 할당한 관리 ID도 만들어집니다.

  관리 ID를 사용하도록 설정하면 Azure는 Azure Stack Edge 리소스에 대해 신뢰할 수 있는 ID를 만듭니다.

키 자격 증명 모음 생성

리소스를 만든 후에는 디바이스를 사용하여 리소스를 활성화해야 합니다. 이렇게 하려면 Azure Portal에서 활성화 키를 생성합니다.

활성화 키를 생성하면 다음 이벤트가 발생합니다.

• Azure Portal의 활성화 키를 요청합니다. 그런 다음 요청이 키 자격 증명 모음 리소스 공급자에게 전송됩니다.
• 액세스 정책이 있는 표준 계층 키 자격 증명 모음이 만들어지고 기본적으로 잠겨 있습니다.

  • 이 키 자격 증명 모음은 기본 이름 또는 지정한 3~24자 길이의 사용자 지정 이름을 사용합니다. 이미 사용 중인 키 자격 증명 모음은 사용할 수 없습니다.

  • 키 자격 증명 모음 세부 정보는 서비스에 저장됩니다. 이 키 자격 증명 모음은 비밀 관리에 사용되며 Azure Stack Edge 리소스가 있는 한 유지됩니다.

    

• 실수로 삭제되는 것을 방지하기 위해 키 자격 증명 모음에서 리소스 잠금을 사용하도록 설정합니다. 실수로 삭제된 경우 키 자격 증명 모음을 90일 이내에 복원할 수 있는 키 자격 증명 모음에서도 일시 삭제를 사용할 수도 있습니다. 자세한 내용은 Azure Key Vault 일시 삭제 개요를 참조하세요.
• Azure Stack Edge 리소스를 만들 때 생성된 시스템이 할당한 관리 ID가 이제 사용하도록 설정됩니다.
• CIK(채널 무결성 키)가 생성되어 키 자격 증명 모음에 배치됩니다. CIK 세부 정보가 서비스에 표시됩니다.
• ZRS(영역 중복 스토리지 계정)도 Azure Stack Edge 리소스와 동일한 범위에서 만들어지고 계정에 잠금이 배치됩니다.
  • 이 계정은 감사 로그를 저장하는 데 사용됩니다.
  • 스토리지 계정 만들기는 장기 실행 프로세스이며 이는 몇 분 정도 걸립니다.
  • 스토리지 계정에는 키 자격 증명 모음 이름으로 태그가 지정됩니다.
• 진단 설정이 키 자격 증명 모음에 추가되고 로깅이 사용 설정됩니다.
• 디바이스가 키 자격 증명 모음을 사용하여 비밀을 저장하고 검색할 때 키 자격 증명 모음에 대한 액세스를 허용하기 위해 관리 ID가 키 자격 증명 모음 액세스 정책에 추가됩니다.
• 키 자격 증명 모음은 관리 ID를 사용하여 요청을 인증하고 활성화 키를 생성합니다. 활성화 키가 Azure Portal 반환됩니다. 그런 다음, 이 키를 복사하고 로컬 UI에서 사용하여 디바이스를 활성화할 수 있습니다.

참고 항목

• Azure Key Vault는 Azure Stack Edge 리소스와 통합되기 전에 기존 Azure Stack Edge 리소스가 있는 경우 영향을 받지 않습니다. 기존 Azure Stack Edge 리소스를 계속 사용할 수 있습니다.
• 키 자격 증명 모음 및 스토리지 계정을 만들면 전체 리소스 비용이 추가됩니다. 허용되는 트랜잭션 및 해당 요금에 대한 자세한 내용은 Azure Key Vault에 대한 가격 책정 및 Storage 계정에 대한 가격 책정을 참조하세요.

키 자격 증명 모음 및 디바이스 활성화와 관련된 문제가 발생하면 디바이스 활성화 문제 해결을 참조하세요.

키 자격 증명 모음 속성 보기

활성화 키가 생성되고 키 자격 증명 모음이 만들어지면 키 자격 증명 모음에 액세스하여 비밀, 액세스 정책, 진단 및 인사이트를 볼 수 있습니다. 다음 절차에서는 다음 각 작업에 대해 설명합니다.

비밀 보기

활성화 키가 생성되고 키 자격 증명 모음이 만들어지면 키 자격 증명 모음에 액세스할 수 있습니다.

키 자격 증명 모음에 액세스하고 비밀을 보려면 다음 단계를 수행합니다.

1. Azure Portal에서 Azure Stack Edge 리소스의 보안으로 이동합니다.

2. 오른쪽 창의 보안에서 비밀을 볼 수 있습니다.

3. Azure Stack Edge 리소스와 연결된 키 자격 증명 모음으로 이동할 수도 있습니다. Key Vault 이름을 선택합니다.

   

4. 키 자격 증명 모음에 저장된 비밀을 보려면 비밀로 이동합니다. 채널 무결성 키, BitLocker 복구 키 및 BMC(베이스보드 관리 컨트롤러) 사용자 암호는 키 자격 증명 모음에 저장됩니다. 디바이스가 다운되면 포털에서 BitLocker 복구 키 및 BMC 사용자 암호에 쉽게 액세스할 수 있습니다.

   

관리 ID 액세스 정책 보기

키 자격 증명 모음 및 관리 ID에 대한 액세스 정책에 액세스하려면 다음 단계를 수행합니다.

1. Azure Portal에서 Azure Stack Edge 리소스의 보안으로 이동합니다.

2. Key Vault 이름에 해당하는 링크를 선택하여 Azure Stack Edge 리소스와 연결된 키 자격 증명 모음으로 이동합니다.

   

3. 키 자격 증명 모음과 연결된 액세스 정책을 보려면 액세스 정책으로 이동합니다. 관리 ID에 액세스 권한이 부여된 것을 볼 수 있습니다. 비밀 권한을 선택합니다. 관리 ID 액세스는 비밀의 가져오기 및 설정으로만 제한되는 것을 볼 수 있습니다.

   

감사 로그 보기

키 자격 증명 모음에 액세스하고 진단 설정 및 감사 로그를 보려면 다음 단계를 수행합니다.

1. Azure Portal에서 Azure Stack Edge 리소스의 보안으로 이동합니다.

2. Key Vault 이름에 해당하는 링크를 선택하여 Azure Stack Edge 리소스와 연결된 키 자격 증명 모음으로 이동합니다.

   

3. 키 자격 증명 모음과 연결된 진단 설정을 보려면 진단 설정으로 이동합니다. 이 설정을 사용하면 키 자격 증명 모음에 액세스하는 방법과 시기 및 대상을 모니터링할 수 있습니다. 진단 설정이 만들어진 것을 볼 수 있습니다. 로그도 생성된 스토리지 계정으로 전달됩니다. 감사 이벤트는 키 자격 증명 모음에도 만들어집니다.

   

키 자격 증명 모음의 로그에 대해 다른 스토리지 대상을 구성한 경우 해당 스토리지 계정에서 직접 로그를 볼 수 있습니다.

인사이트 보기

키 자격 증명 모음에서 수행된 작업을 포함하여 키 자격 증명 모음 인사이트에 액세스하려면 다음 단계를 수행합니다.

1. Azure Portal에서 Azure Stack Edge 리소스의 보안으로 이동합니다.

2. Key Vault 진단에 해당하는 링크를 선택합니다.

   

3. 인사이트 블레이드는 키 자격 증명 모음에서 수행되는 작업에 대한 개요를 제공합니다.

   

관리 ID 상태 보기

Azure Stack Edge 리소스와 연결된 시스템이 할당한 관리 ID의 상태를 보려면 다음 단계를 수행합니다.

1. Azure Portal에서 Azure Stack Edge 리소스의 보안으로 이동합니다.

2. 오른쪽 창에서 시스템 할당 관리 ID로 이동하여 시스템이 할당한 관리 ID를 사용하도록 설정하거나 사용하지 않도록 설정했는지 확인합니다.

   

키 자격 증명 모음 잠금 보기

키 자격 증명 모음에 액세스하고 잠금을 보려면 다음 단계를 수행합니다.

1. Azure Portal에서 Azure Stack Edge 리소스의 보안으로 이동합니다.

2. Key Vault 이름에 해당하는 링크를 선택하여 Azure Stack Edge 리소스와 연결된 키 자격 증명 모음으로 이동합니다.

   

3. 키 자격 증명 모음의 잠금을 보려면 잠금으로 이동합니다. 실수로 삭제되는 것을 방지하기 위해 키 자격 증명 모음에서 리소스 잠금을 사용하도록 설정합니다.

   

활성화 키 생성

특정 인스턴스에서는 활성화 키를 다시 생성해야 할 수 있습니다. 활성화 키를 다시 생성하면 다음 이벤트가 발생합니다.

1. Azure Portal에서 활성화 키를 다시 생성하도록 요청합니다.
2. 활성화 키가 Azure Portal 반환됩니다. 그런 다음, 이 키를 복사하여 사용할 수 있습니다.

활성화 키를 다시 생성할 때 키 자격 증명 모음에는 액세스하지 않습니다.

디바이스 비밀 복구

CIK가 실수로 삭제되거나 비밀(예: BMC 사용자 암호)이 키 자격 증명 모음에서 부실해지는 경우 디바이스에서 비밀을 푸시하여 키 자격 증명 모음 비밀을 업데이트해야 합니다.

디바이스 비밀을 동기화하려면 다음 단계를 수행합니다.

1. Azure Portal에서 Azure Stack Edge 리소스로 이동한 다음 보안으로 이동합니다.

2. 오른쪽 창의 위쪽 명령 모음에서 디바이스 비밀 동기화를 선택합니다.

3. 디바이스 비밀은 키 자격 증명 모음에 푸시되어 키 자격 증명 모음의 비밀을 복원하거나 업데이트합니다. 동기화가 완료되면 알림이 표시됩니다.

   

키 자격 증명 모음 삭제

Azure Stack Edge 리소스와 연결된 키 자격 증명 모음을 삭제하는 방법에는 두 가지가 있습니다.

• Azure Stack Edge 리소스를 삭제하고 연결된 키 자격 증명 모음을 동시에 삭제하도록 선택합니다.
• 실수로 키 자격 증명 모음을 직접 삭제했습니다.

Azure Stack Edge 리소스가 삭제되면 키 자격 증명 모음도 리소스와 함께 삭제됩니다. 확인하라는 메시지가 표시됩니다. 이 키 자격 증명 모음에 다른 키를 저장하고 이 키 자격 증명 모음을 삭제하지 않으려는 경우 동의를 제공하지 않도록 선택할 수 있습니다. Azure Stack Edge 리소스만 삭제되고 키 자격 증명 모음은 그대로 유지됩니다.

다음 단계에 따라 Azure Stack Edge 리소스 및 연결된 키 자격 증명 모음을 삭제합니다.

1. Azure Portal에서 Azure Stack Edge 리소스로 이동한 다음, 개요로 이동합니다.

2. 오른쪽 창에서 삭제를 선택합니다. 이 작업은 Azure Stack Edge 리소스를 삭제합니다.

   

3. 확인 블레이드가 표시됩니다. Azure Stack Edge 리소스 이름을 입력합니다. 연결된 키 자격 증명 모음의 삭제를 확인하려면 예를 입력합니다.

   

4. 삭제를 선택합니다.

Azure Stack Edge 리소스 및 키 자격 증명 모음이 삭제됩니다.

Azure Stack Edge 리소스를 사용할 때 키 자격 증명 모음이 실수로 삭제될 수 있습니다. 이 경우 Azure Stack Edge 리소스에 대한 보안 페이지에서 중요한 알림이 발생합니다. 이 페이지로 이동하여 키 자격 증명 모음을 복구할 수 있습니다.

키 자격 증명 모음 복구

실수로 삭제되거나 제거된 경우 Azure Stack Edge 리소스와 연결된 키 자격 증명 모음을 복구할 수 있습니다. 이 키 자격 증명 모음을 사용하여 다른 키를 저장한 경우 키 자격 증명 모음을 복원하여 해당 키를 복구해야 합니다.

• 삭제 후 90일 이내에 삭제된 키 자격 증명 모음을 복원할 수 있습니다.
• 90일의 제거 보호 기간이 이미 경과된 경우 키 자격 증명 모음을 복원할 수 없습니다. 대신 새 키 자격 증명 모음을 만들어야 합니다.

삭제 후 90일 이내에 다음 단계에 따라 키 자격 증명 모음을 복구합니다.

• Azure Portal에서 Azure Stack Edge 리소스의 보안 페이지로 이동합니다. 리소스와 연결된 키 자격 증명 모음이 삭제되었다는 알림이 표시됩니다. 알림을 선택하거나 보안 기본 설정에서 키 자격 증명 모음 이름에 대해 다시 구성을 선택하여 키 자격 증명 모음을 복구할 수 있습니다.

  

• 키 자격 증명 모음 복구 블레이드에서 구성을 선택합니다. 복구의 일부로 다음 작업이 수행됩니다.

  

  • 키 자격 증명 모음은 동일한 이름으로 복구되고 잠금은 키 자격 증명 모음 리소스에 배치됩니다.

    참고 항목

    키 자격 증명 모음이 삭제되고 90일의 제거 보호 기간이 경과하지 않은 경우 해당 기간에 키 자격 증명 모음 이름을 사용하여 새 키 자격 증명 모음을 만들 수 없습니다.

  • 감사 로그를 저장하기 위해 스토리지 계정이 만들어집니다.

  • 시스템이 할당한 관리 ID에 키 자격 증명 모음에 대한 액세스 권한이 부여됩니다.

  • 디바이스 비밀이 키 자격 증명 모음으로 푸시됩니다.

  구성을 선택합니다.

  

  키 자격 증명 모음이 복구되고 복구가 완료되면 해당 효과에 대한 알림이 표시됩니다.

키 자격 증명 모음이 삭제되고 제거 보호 기간 90일이 경과한 경우 위에서 설명한 키 복구 절차를 통해 새 키 자격 증명 모음을 만들 수 있습니다. 이 경우 키 자격 증명 모음에 대한 새 이름을 제공합니다. 새 스토리지 계정이 생성되고, 관리 ID에 이 키 자격 증명 모음에 대한 액세스 권한이 부여되고, 디바이스 비밀이 이 키 자격 증명 모음으로 푸시됩니다.

관리 ID 액세스 복구

시스템이 할당한 관리 ID 액세스 정책이 삭제되면 디바이스가 키 자격 증명 모음 비밀을 다시 동기화할 수 없을 때 경고가 발생합니다. 관리 ID에 키 자격 증명 모음에 대한 액세스 권한이 없는 경우 디바이스 경고가 다시 발생합니다. 각 경우에 경고를 선택하여 키 자격 증명 모음 복구 블레이드를 열고 다시 구성합니다. 이 프로세스는 관리 ID 액세스를 복원해야 합니다.

다음 단계

• 활성화 키를 생성하는 방법에 대해 자세히 알아봅니다.
• Azure Stack Edge 디바이스에서 키 자격 증명 모음 오류를 해결합니다.