2단계: HSM 보호 키로의 HSM 보호 키 마이그레이션

  • 아티클

이러한 지침은 AD RMS에서 Azure Information Protection으로의 마이그레이션 경로의 일부이며, AD RMS 키가 HSM으로 보호되고 Azure Key Vault에서 HSM 보호 테넌트 키를 사용하여 Azure Information Protection으로 마이그레이션하려는 경우에만 적용됩니다.

선택한 구성 시나리오가 아닌 경우 4단계. AD RMS에서 구성 데이터 내보내기 및 Azure RMS로 가져오기로 돌아가 다른 구성을 선택합니다.

참고 항목

이러한 지침에서는 AD RMS 키가 모듈로 보호된다고 가정합니다. 가장 일반적인 경우입니다.

HSM 키 및 AD RMS 구성을 Azure Information Protection으로 가져와 BYOK(사용자가 관리하는 Azure Information Protection 테넌트 키)를 만드는 두 부분으로 구성된 절차입니다.

Azure Information Protection 테넌트 키는 Azure Key Vault에서 저장 및 관리되므로 마이그레이션의 이 부분에는 Azure Information Protection 외에도 Azure Key Vault에서 관리해야 합니다. Azure Key Vault가 조직과 다른 관리자가 관리하는 경우 이러한 절차를 완료하려면 해당 관리자와 조정하고 협력해야 합니다.

시작하기 전에 조직에 Azure Key Vault에 만들어진 키 자격 증명 모음이 있고 HSM으로 보호되는 키를 지원하는지 확인합니다. 필수는 아니지만 Azure Information Protection 전용 키 자격 증명 모음을 사용하는 것이 좋습니다. 이 키 자격 증명 모음은 Azure Rights Management 서비스에서 액세스할 수 있도록 구성되므로 이 키 자격 증명 모음이 저장하는 키는 Azure Information Protection 키로만 제한되어야 합니다.

Azure Key Vault에 대한 구성 단계를 수행하고 있고 이 Azure 서비스에 익숙하지 않은 경우 먼저 Azure Key Vault 시작을 검토하는 것이 유용할 수 있습니다.

1부: HSM 키를 Azure Key Vault로 전송

이러한 절차는 관리자가 Azure Key Vault에 대해 수행합니다.

  1. Azure Key Vault에 저장하려는 내보낸 각 SLC 키에 대해 다음 예외를 제외하고 Azure Key Vault에 대한 BYOK(Bring Your Own Key) 구현을 사용하여 Azure Key Vault 설명서의 지침을 따릅니다.

    • AD RMS 배포와 동일한 항목이 이미 있으므로 테넌트 키 생성에 대한 단계를 수행하지 마세요. 대신 nCipher 설치에서 AD RMS 서버에서 사용하는 키를 식별하고 이러한 키를 전송할 준비를 한 후 Azure Key Vault로 전송합니다.

      nCipher용으로 암호화된 키 파일의 이름은 서버에서 로컬로 key_<keyAppName>_<keyIdentifier>입니다. 예: C:\Users\All Users\nCipher\Key Management Data\local\key_mscapi_f829e3d888f6908521fe3d91de51c25d27116a54. keyAppName으로 mscapi 값이 필요하고 KeyTransferRemote 명령을 실행하여 권한이 줄어든 키 복사본을 만들 때 키 식별자에 대한 고유한 값이 필요합니다.

      키가 Azure Key Vault에 업로드되면 키 ID를 포함하는 키의 속성이 표시됩니다. 다음과 유사하게 표시됩니다. https://contosorms-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333. Azure Information Protection 관리자가 테넌트 키에 이 키를 사용하도록 Azure Rights Management 서비스에 알려야 하므로 이 URL을 기록해 둡다.

  2. 인터넷에 연결된 워크스테이션의 PowerShell 세션에서 Set-AzKeyVaultAccessPolicy cmdlet을 사용하여 Azure Rights Management 서비스 사용자가 Azure Information Protection 테넌트 키를 저장할 키 자격 증명 모음에 액세스할 수 있는 권한을 부여합니다. 필요한 권한은 암호 해독, 암호화, 래핑 해제, 랩키, 확인 및 서명입니다.

    예를 들어 Azure Information Protection에 대해 만든 키 자격 증명 모음의 이름이 contoso-byok-ky이고 리소스 그룹의 이름이 contoso-byok-rg인 경우 다음 명령을 실행합니다.

    Set-AzKeyVaultAccessPolicy -VaultName "contoso-byok-kv" -ResourceGroupName "contoso-byok-rg" -ServicePrincipalName 00000012-0000-0000-c000-000000000000 -PermissionsToKeys decrypt,sign,get

Azure Information Protection에서 Azure Rights Management 서비스에 대한 Azure Key Vault에서 HSM 키를 준비했으므로 이제 AD RMS 구성 데이터를 가져올 준비가 되었습니다.

2부: 구성 데이터를 Azure Information Protection으로 가져오기

이러한 절차는 관리자가 Azure Information Protection에 대해 수행합니다.

  1. 인터넷 연결 워크스테이션과 PowerShell 세션에서 Connect-AipService cmdlet을 사용하여 Azure Rights Management 서비스에 연결합니다.

    그런 다음, Import-AipServiceTpd cmdlet을 사용하여 신뢰할 수 있는 각 게시 도메인(.xml) 파일을 업로드합니다. 예를 들어 암호화 모드 2용 AD RMS 클러스터를 업그레이드한 경우 가져올 파일이 하나 이상 있어야 합니다.

    이 cmdlet을 실행하려면 각 구성 데이터 파일에 대해 이전에 지정한 암호와 이전 단계에서 식별된 키의 URL이 필요합니다.

    예를 들어 C:\contoso-tpd1.xml의 구성 데이터 파일과 이전 단계의 키 URL 값을 사용하여 먼저 다음을 실행하여 암호를 저장합니다.

     $TPD_Password = Read-Host -AsSecureString

    구성 데이터 파일을 내보내도록 지정한 암호를 입력합니다. 그런 다음, 다음 명령을 실행하고 이 작업을 수행하려는지 확인합니다.

    Import-AipServiceTpd -TpdFile "C:\contoso-tpd1.xml" -ProtectionPassword $TPD_Password –KeyVaultKeyUrl https://contoso-byok-kv.vault.azure.net/keys/contosorms-byok/aaaabbbbcccc111122223333 -Verbose

    이 가져오기의 일부로 SLC 키를 가져오고 자동으로 보관됨으로 설정합니다.

  2. 각 파일을 업로드했으면 Set-AipServiceKeyProperties를 실행하여 AD RMS 클러스터의 현재 활성 SLC 키와 일치하는 가져온 키를 지정합니다. 이 키는 Azure Rights Management 서비스의 활성 테넌트 키가 됩니다.

  3. Disconnect-AipServiceService cmdlet을 사용하여 Azure Rights Management 서비스에서 연결을 해제합니다.

    Disconnect-AipServiceService

나중에 Azure Information Protection 테넌트 키가 Azure Key Vault에서 사용하는 키를 확인해야 하는 경우 Get-AipServiceKeys Azure RMS cmdlet을 사용합니다.

이제 5단계. Azure Rights Management 서비스 활성화로 이동할 준비가 되었습니다.