Azure Data Box용 Azure Key Vault에서 고객 관리형 키 사용

Azure Data Box는 암호화 키를 통해 장치를 잠그는 데 사용되는 장치 잠금 해제 키(장치 암호라고도 함)를 보호합니다. 기본적으로 이 암호화 키는 Microsoft에서 관리하는 키입니다. 더 많은 제어를 위해 고객 관리형 키를 사용할 수 있습니다.

고객 관리형 키는 장치의 데이터가 암호화되는 방식에 영향을 주지 않습니다. 장치 잠금 해제 키를 암호화하는 방법에만 영향을 줍니다.

순서 프로세스 전체에서 이 제어 수준을 유지하려면 주문을 만들 때 고객 관리형 키를 사용합니다. 자세한 내용은 자습서: Azure Data Box 주문을 참조하세요.

이 문서에서는 Azure Portal에서 기존 Data Box 주문에 대해 고객 관리형 키를 사용하도록 설정 하는 방법을 보여줍니다. 현재 고객 관리형 키에 대한 키 자격 증명 모음, 키, 버전 또는 ID를 변경하거나 Microsoft 관리 키를 사용 하여 다시 전환하는 방법에 대해 알아봅니다.

이 문서는 Azure Data Box 및 Azure Data Box Heavy 장치에 모두 적용됩니다.

요구 사항

Data Box 순서의 고객 관리형 키는 다음 요구 사항을 충족해야 합니다.

• 일시 삭제 를 사용하는 Azure Key Vault에 키를 만들고 저장해야 하며 일시 삭제를 사용 하도록 설정 하지 않아야 합니다. 자세한 내용은 Azure Key Vault란?을 참조하세요. 주문을 만들거나 업데이트하는 동안 키 자격 증명 모음 및 키를 만들 수 있습니다.
• 키는 2048 크기 이상의 RSA 키 여야 합니다.
• Azure Key Vault의 키에 대해 Get, UnwrapKey 및 WrapKey 권한을 사용하도록 설정해야 합니다. 사용 권한은 주문 수명 동안 그대로 유지되어야 합니다. 그렇지 않으면 데이터 복사 단계가 시작될 때 고객 관리형 키에 액세스할 수 없습니다.

키 사용

Azure Portal의 기존 Data Box 주문에 대해 고객 관리형 키를 사용하도록 설정하려면 다음 단계를 수행합니다.

1. Data Box 순서에 대한 개요 화면으로 이동합니다.

   

2. 설정 > 암호화로 이동하고 고객 관리형 키를 선택합니다. 그런 다음, Key Vault 및 키 선택을 선택합니다.

   

   Azure Key Vault에서 키 선택 화면에서 구독이 자동으로 채워집니다.

3. 키 자격 증명 모음의 경우 드롭다운 목록에서 기존 키 자격 증명 모음을 선택하거나 새로 만들기 를 선택하여 새 증명 모음을 만듭니다.

   

   새 키 자격 증명 모음을 만들려면 새 키 자격 증명 모음 만들기 화면에서 구독, 리소스 그룹, 키 자격 증명 모음 이름 및 기타 정보를 입력합니다. 복구 옵션에서 일시 삭제 및 제거 보호가 사용되도록 설정되어 있는지 확인합니다. 그런 다음, 검토 + 만들기를 선택합니다.

   

   키 자격 증명 모음에 대한 정보를 검토하고, 만들기를 선택합니다. 키 자격 증명 모음 만들기가 완료될 때까지 몇 분 정도 기다립니다.

   

4. Azure Key Vault 키 선택 화면에서 키 자격 증명 모음에서 기존 키를 선택하거나 새 키를 만들 수 있습니다.

   

   새 키를 만들려면 새로 만들기를 선택합니다. RSA 키를 사용해야 합니다. 크기는 2048 이상일 수 있습니다.

   

   새 키에 대한 이름을 입력하고, 다른 기본값을 적용한 다음, 만들기를 선택합니다. 키가 키 자격 증명 모음에 만들어지면 알림이 표시됩니다.

   

5. 버전의 경우, 드롭다운 목록에서 기존 키 버전을 선택할 수 있습니다.

   

   새 키 버전을 만들려면 새로 만들기를 선택합니다.

   

   새 키 버전에 대한 설정을 선택하고,만들기를 선택합니다.

   

6. 키 자격 증명 모음, 키 및 키 버전을 선택한 경우 선택을 선택합니다.

   

   암호화 유형 설정은 선택한 키 자격 증명 모음 및 키를 표시합니다.

   

7. 이 리소스에 대한 고객 관리형 키를 관리하는 데 사용할 ID 유형을 선택합니다. 주문 생성 중에 생성된 시스템 할당 ID를 사용하거나 사용자 할당 ID를 선택할 수 있습니다.

   사용자 할당 ID는 리소스에 대한 액세스를 관리하는 데 사용할 수 있는 독립 리소스입니다. 자세한 내용은 관리 ID 유형을 참조하세요.

   

   사용자 ID를 할당하려면 사용자 할당을 선택합니다. 그런 다음, 사용자 ID 선택을 선택하고 사용할 관리 ID를 선택합니다.

   

   여기서는 새 사용자 ID를 만들 수 없습니다. 만드는 방법을 알아보려면 Azure Portal을 사용하여 사용자 할당 관리 ID에 역할 만들기, 나열, 삭제 또는 할당을 참조하세요.

   암호화 유형 설정에 표시된 선택한 사용자 ID

   

8. 저장을 선택하여 업데이트된 암호화 유형 설정을 저장합니다.

   

   키 URL은 암호화 유형아래에 표시됩니다.

   

Important

키에 대한 Get, UnwrapKey 및 WrapKey 권한을 사용하도록 설정해야 합니다. Azure CLI에서 권한을 설정하려면 az keyvault set-policy를 참조하세요.

키 변경

현재 사용 중인 고객 관리형 키의 키 자격 증명 모음, 키 및/또는 키 버전을 변경하려면 다음 단계를 수행합니다.

1. Data Box 주문에 대한 개요 화면에서 설정>암호화 로 이동하고 키 변경을 클릭합니다.

   

2. 다른 키 자격 증명 모음 및 키를 선택합니다.

   

3. 키 자격 증명 모음에서 키 선택 화면은 구독을 표시하지만 주요 자격 증명 모음, 키 또는 키 버전은 표시하지 않습니다. 다음과 같은 변경 작업을 수행할 수 있습니다.

   • 동일한 키 자격 증명 모음에서 다른 키를 선택합니다. 키와 버전을 선택하기 전에 키 자격 증명 모음을 선택해야 합니다.

   • 다른 키 자격 증명 모음을 선택하고 새 키를 할당합니다.

   • 현재 키에 대한 버전을 변경합니다.

   변경을 완료한 후 선택을 선택합니다.

   

4. 저장을 선택합니다.

   

Important

키에 대한 Get, UnwrapKey 및 WrapKey 권한을 사용하도록 설정해야 합니다. Azure CLI에서 권한을 설정하려면 az keyvault set-policy를 참조하세요.

ID 변경

고객 관리형 키 액세스를 관리하는 데 사용되는 ID를 변경하려면 다음 단계를 수행합니다.

1. 완료 된 Data Box 순서의 개요 화면에서 설정>암호화로 이동합니다.

2. 다음 중 하나를 변경합니다.

   • 다른 사용자 ID를 변경하려면 다른 사용자 ID 선택을 클릭합니다. 그런 다음 화면 오른쪽의 패널에서 다른 ID를 선택 하 고 선택을 선택합니다.

     

   • 주문 생성 중에 생성된 시스템 할당 ID로 전환하려면 시스템에 할당 된 ID를 ID 유형 선택을 선택하여 선택합니다.

     

3. 저장을 선택합니다.

   

Microsoft 관리 키 사용

고객 관리형 키 사용에서 주문에 대한 Microsoft 관리형 키로 변경하려면 다음 단계를 수행합니다.

1. 완료 된 Data Box 순서의 개요 화면에서 설정>암호화로 이동합니다.

2. 형식을 선택하여 Microsoft 관리형 키를 선택합니다.

   

3. 저장을 선택합니다.

   

오류 문제 해결

고객 관리형 키와 관련된 오류가 발생하면 다음 표를 사용하여 문제를 해결하세요.

오류 코드	오류 세부 정보	복구 가능한가요?
SsemUserErrorEncryptionKeyDisabled	고객 관리형 키가 사용하지 않도록 설정되었으므로 암호를 가져올 수 없습니다.	예, 키 버전을 사용하도록 설정하여 복구할 수 있습니다.
SsemUserErrorEncryptionKeyExpired	고객 관리형 키가 만료되었으므로 암호를 가져올 수 없습니다.	예, 키 버전을 사용하도록 설정하여 복구할 수 있습니다.
SsemUserErrorKeyDetailsNotFound	고객 관리형 키를 찾을 수 없으므로 암호를 가져올 수 없습니다.	키 자격 증명 모음을 삭제한 경우 고객 관리형 키를 복구할 수 없습니다. 키 자격 증명 모음을 다른 테넌트로 마이그레이션한 경우 구독 이동 후 키 자격 증명 모음 테넌트 ID 변경을 참조하세요. 키 자격 증명 모음을 삭제한 경우: 예, 제거 보호 기간 내에 있는 경우 키 자격 증명 모음 복구의 단계에 따라 복구할 수 있습니다. 아니요, 제거 보호 기간이 지나면 복구할 수 없습니다. 또는 키 자격 증명 모음이 다른 테넌트로 마이그레이션된 경우 아래 단계 중 하나를 사용하여 복구할 수 있습니다. 키 자격 증명 모음을 이전 테넌트로 되돌립니다. Identity = None을 설정한 다음, 값을 다시 Identity = SystemAssigned로 설정합니다. 이렇게 하면 새 ID가 생성될 때 ID가 삭제되고 다시 생성됩니다. 키 자격 증명 모음의 액세스 정책에서 새 ID에 대한 Get, WrapKey 및 UnwrapKey 권한을 사용하도록 설정합니다.
SsemUserErrorKeyVaultBadRequestException	고객 관리형 키를 적용했지만, 키 액세스 권한이 부여되지 않았거나 철회되었거나, 방화벽이 사용하도록 설정되어 있어 키 자격 증명 모음에 액세스할 수 없습니다.	선택한 ID를 키 자격 증명 모음에 추가하여 고객 관리형 키에 액세스할 수 있도록 합니다. 키 자격 증명 모음에서 방화벽을 사용하도록 설정한 경우 시스템 할당 ID로 전환한 다음, 고객 관리형 키를 추가합니다. 자세한 내용은 키를 사용하도록 설정하는 방법을 참조하세요.
SsemUserErrorKeyVaultDetailsNotFound	고객 관리형 키에 연결된 키 자격 증명 모음을 찾을 수 없으므로 암호를 가져올 수 없습니다.	키 자격 증명 모음을 삭제한 경우 고객 관리형 키를 복구할 수 없습니다. 키 자격 증명 모음을 다른 테넌트로 마이그레이션한 경우 구독 이동 후 키 자격 증명 모음 테넌트 ID 변경을 참조하세요. 키 자격 증명 모음을 삭제한 경우: 예, 제거 보호 기간 내에 있는 경우 키 자격 증명 모음 복구의 단계에 따라 복구할 수 있습니다. 아니요, 제거 보호 기간이 지나면 복구할 수 없습니다. 또는 키 자격 증명 모음이 다른 테넌트로 마이그레이션된 경우 아래 단계 중 하나를 사용하여 복구할 수 있습니다. 키 자격 증명 모음을 이전 테넌트로 되돌립니다. Identity = None을 설정한 다음, 값을 다시 Identity = SystemAssigned로 설정합니다. 이렇게 하면 새 ID가 생성될 때 ID가 삭제되고 다시 생성됩니다. 키 자격 증명 모음의 액세스 정책에서 새 ID에 대한 Get, WrapKey 및 UnwrapKey 권한을 사용하도록 설정합니다.
SsemUserErrorSystemAssignedIdentityAbsent	고객 관리형 키를 찾을 수 없으므로 암호를 가져올 수 없습니다.	예, 다음 사항을 확인하세요. 키 자격 증명 모음의 액세스 정책에 여전히 MSI가 있습니다. ID는 시스템 할당 유형입니다. 키 자격 증명 모음의 액세스 정책에서 ID에 대한 Get, WrapKey 및 UnwrapKey 권한을 사용하도록 설정합니다. 사용 권한은 주문 수명 동안 유지되어야 합니다. 주문 생성 중 및 데이터 복사 단계의 시작 부분에서 사용됩니다.
SsemUserErrorUserAssignedLimitReached	추가할 수 있는 사용자 할당 ID의 총 수 제한에 도달하여 새 사용자 할당 ID를 추가하지 못했습니다.	사용자 ID가 적을 때 작업을 다시 시도하거나 리소스에서 일부 사용자 할당 ID를 제거한 후 다시 시도합니다.
SsemUserErrorCrossTenantIdentityAccessForbidden	관리 ID 액세스 작업이 실패했습니다. 참고: 이 오류는 구독이 다른 테넌트로 이동되면 발생할 수 있습니다. 고객은 ID를 새 테넌트로 수동으로 이동해야 합니다.	고객 관리형 키에 액세스할 수 있도록 키 자격 증명 모음에 다른 사용자 할당 ID를 추가해 보세요. 또는 ID를 구독이 있는 새 테넌트로 이동합니다. 자세한 내용은 키를 사용하도록 설정하는 방법을 참조하세요.
SsemUserErrorKekUserIdentityNotFound	고객 관리형 키를 적용했지만 해당 키에 대한 액세스 권한이 있는 사용자 할당 ID를 active directory에서 찾을 수 없습니다. 참고: 이 오류는 Azure에서 사용자 ID를 삭제할 때 발생할 수 있습니다.	고객 관리형 키에 액세스할 수 있도록 키 자격 증명 모음에 다른 사용자 할당 ID를 추가해 보세요. 자세한 내용은 키를 사용하도록 설정하는 방법을 참조하세요.
SsemUserErrorUserAssignedIdentityAbsent	고객 관리형 키를 찾을 수 없으므로 암호를 가져올 수 없습니다.	고객 관리형 키에 액세스할 수 없습니다. 키와 연결된 UAI(사용자 할당 ID)가 삭제되었거나 UAI 유형이 변경되었습니다.
SsemUserErrorKeyVaultBadRequestException	고객 관리형 키를 적용했지만 키 액세스 권한이 부여되지 않았거나 취소되었거나 방화벽이 활성화되어 키 자격 증명 모음에 액세스할 수 없습니다.	선택한 ID를 키 자격 증명 모음에 추가하여 고객 관리형 키에 액세스할 수 있도록 합니다. 키 자격 증명 모음에서 방화벽을 사용하도록 설정한 경우 시스템 할당 ID로 전환한 다음, 고객 관리형 키를 추가합니다. 자세한 내용은 키를 사용하도록 설정하는 방법을 참조하세요.
SsemUserErrorEncryptionKeyTypeNotSupported	작업에 암호화 키 유형이 지원되지 않습니다.	키에서 지원되는 암호화 유형을 사용하도록 설정합니다(예: RSA 또는 RSA-HSM). 자세한 내용은 키 유형, 알고리즘 및 작업을 참조하세요.
SsemUserErrorSoftDeleteAndPurgeProtectionNotEnabled	Key vault가 일시 삭제 또는 제거 보호를 사용하도록 설정되어 있지 않습니다.	키 자격 증명 모음에서 일시 삭제 및 제거 보호를 모두 사용하도록 설정해야 합니다.
SsemUserErrorInvalidKeyVaultUrl (명령줄에만 해당)	잘못된 키 자격 증명 모음 URI가 사용되었습니다.	올바른 키 자격 증명 모음 URI를 가져옵니다. 키 자격 증명 모음 URI를 얻으려면 PowerShell에서 Get-AzKeyVault를 사용합니다.
SsemUserErrorKeyVaultUrlWithInvalidScheme	키 자격 증명 모음 URI를 전달하는 데는 HTTPS만 지원됩니다.	HTTPS를 통해 키 자격 증명 모음 URI를 전달합니다.
SsemUserErrorKeyVaultUrlInvalidHost	키 자격 증명 모음 URI 호스트는 지리적 지역에서 허용되는 호스트가 아닙니다.	퍼블릭 클라우드에서 키 자격 증명 모음 URI는 vault.azure.net으로 끝나야 합니다. Azure Government 클라우드에서 키 자격 증명 모음 URI는 vault.usgovcloudapi.net으로 끝나야 합니다.
일반 오류	암호를 가져올 수 없습니다.	이 오류는 일반적인 오류입니다. Microsoft 지원팀에 문의하여 오류를 해결하고 다음 단계를 확인합니다.

다음 단계

• Azure Key Vault란?
• 빠른 시작: Azure Portal을 사용하여 Azure Key Vault에서 비밀을 설정하고 검색