Azure Key Vault의 가상 네트워크 서비스 엔드포인트Virtual network service endpoints for Azure Key Vault

Azure Key Vault의 가상 네트워크 서비스 엔드포인트를 사용하면 지정된 가상 네트워크에 대한 액세스를 제한할 수 있습니다.The virtual network service endpoints for Azure Key Vault allow you to restrict access to a specified virtual network. 엔드포인트를 사용하면 IPv4(인터넷 프로토콜 버전 4) 주소 범위 목록에 대한 액세스를 제한할 수도 있습니다.The endpoints also allow you to restrict access to a list of IPv4 (internet protocol version 4) address ranges. 해당 소스 외부에서 키 자격 증명 모음에 연결하는 모든 사용자는 액세스가 거부됩니다.Any user connecting to your key vault from outside those sources is denied access.

이 제한에서 한 가지 중요한 예외가 있습니다.There is one important exception to this restriction. 사용자가 신뢰할 수 있는 Microsoft 서비스를 허용하도록 옵트인한 경우 해당 서비스에서 방화벽을 통해 연결할 수 있습니다.If a user has opted-in to allow trusted Microsoft services, connections from those services are let through the firewall. 예를 들어 이러한 서비스에는 Office 365 Exchange Online, Office 365 SharePoint Online, Azure Compute, Azure Resource Manager 및 Azure Backup 등이 있습니다.For example, these services include Office 365 Exchange Online, Office 365 SharePoint Online, Azure compute, Azure Resource Manager, and Azure Backup. 이러한 사용자는 유효한 Azure Active Directory 토큰을 제공해야 하며, 요청된 작업을 수행하기 위해 사용 권한(액세스 정책으로 구성된)이 있어야 합니다.Such users still need to present a valid Azure Active Directory token, and must have permissions (configured as access policies) to perform the requested operation. 자세한 내용은 가상 네트워크 서비스 엔드포인트를 참조하세요.For more information, see Virtual network service endpoints.

사용 시나리오Usage scenarios

기본적으로 모든 네트워크(인터넷 트래픽 포함)의 트래픽에 대한 액세스를 거부하도록 Key Vault 방화벽 및 가상 네트워크를 구성할 수 있습니다.You can configure Key Vault firewalls and virtual networks to deny access to traffic from all networks (including internet traffic) by default. 특정 Azure 가상 네트워크 및 공용 인터넷 IP 주소 범위의 트래픽에 대한 액세스 권한을 부여하여 애플리케이션에 대한 보안 네트워크 경계를 빌드하도록 할 수 있습니다.You can grant access to traffic from specific Azure virtual networks and public internet IP address ranges, allowing you to build a secure network boundary for your applications.

참고

Key Vault 방화벽 및 가상 네트워크 규칙은 Key Vault의 데이터 평면에만 적용됩니다.Key Vault firewalls and virtual network rules only apply to the data plane of Key Vault. Key Vault 제어 평면 작업(예: 작업 만들기, 삭제 및 수정 그리고 액세스 정책 설정, 방화벽 및 가상 네트워크 규칙 설정)은 방화벽 및 가상 네트워크 규칙의 영향을 받지 않습니다.Key Vault control plane operations (such as create, delete, and modify operations, setting access policies, setting firewalls, and virtual network rules) are not affected by firewalls and virtual network rules.

서비스 엔드포인트를 사용할 수 있는 방법의 몇 가지 예는 다음과 같습니다.Here are some examples of how you might use service endpoints:

  • Key Vault를 사용하여 암호화 키, 애플리케이션 비밀 및 인증서를 저장하고, 공용 인터넷에서 키 자격 증명 모음에 대한 액세스를 차단하려고 합니다.You are using Key Vault to store encryption keys, application secrets, and certificates, and you want to block access to your key vault from the public internet.
  • 사용자 애플리케이션 또는 지정된 호스트의 간단한 목록만 키 자격 증명 모음에 연결할 수 있도록 키 자격 증명 모음에 대한 액세스를 잠그려고 합니다.You want to lock down access to your key vault so that only your application, or a short list of designated hosts, can connect to your key vault.
  • Azure 가상 네트워크에서 실행되는 애플리케이션이 있으며, 이 가상 네트워크는 모든 인바운드 및 아웃바운드 트래픽에 대해 잠겨 있습니다.You have an application running in your Azure virtual network, and this virtual network is locked down for all inbound and outbound traffic. 애플리케이션은 비밀 또는 인증서를 가져오거나 암호화 키를 사용하려면 여전히 Key Vault에 연결해야 합니다.Your application still needs to connect to Key Vault to fetch secrets or certificates, or use cryptographic keys.

Key Vault 방화벽 및 가상 네트워크 구성Configure Key Vault firewalls and virtual networks

방화벽 및 가상 네트워크를 구성하는 데 필요한 단계는 다음과 같습니다.Here are the steps required to configure firewalls and virtual networks. 이러한 단계는 PowerShell, Azure CLI 또는 Azure Portal을 사용하든 관계없이 적용됩니다.These steps apply whether you are using PowerShell, the Azure CLI, or the Azure portal.

  1. Key Vault 로깅을사용 하도록 설정 하 여 자세한 액세스 로그를 확인 합니다.Enable Key Vault logging) to see detailed access logs. 이렇게 하면 방화벽 및 가상 네트워크 규칙이 키 자격 증명 모음에 대한 액세스를 막는 경우 진단하는 데 도움이 됩니다.This helps in diagnostics, when firewalls and virtual network rules prevent access to a key vault. (이 단계는 선택 사항이지만 강력 권장됩니다.)(This step is optional, but highly recommended.)
  2. 대상 가상 네트워크 및 서브넷에 대한 키 자격 증명 모음의 서비스 엔드포인트를 사용하도록 설정합니다.Enable service endpoints for key vault for target virtual networks and subnets.
  3. 특정 가상 네트워크, 서브넷 및 IPv4 주소 범위에서 해당 키 자격 증명 모음에 대한 액세스를 제한하려면 키 자격 증명 모음에 대한 방화벽 및 가상 네트워크 규칙을 설정합니다.Set firewalls and virtual network rules for a key vault to restrict access to that key vault from specific virtual networks, subnets, and IPv4 address ranges.
  4. 이 키 자격 증명 모음을 신뢰할 수 있는 모든 Microsoft 서비스에서 액세스할 수 있게 하려면 신뢰할 수 있는 Azure 서비스가 Key Vault에 연결하도록 허용하는 옵션을 설정합니다.If this key vault needs to be accessible by any trusted Microsoft services, enable the option to allow Trusted Azure Services to connect to Key Vault.

자세한 내용은 Azure Key Vault 방화벽 및 가상 네트워크 구성을 참조하세요.For more information, see Configure Azure Key Vault firewalls and virtual networks.

중요

방화벽 규칙이 적용되면 사용자의 요청이 허용되는 가상 네트워크 또는 IPv4 주소 범위에서 시작되는 경우에만 사용자는 Key Vault 데이터 평면 작업을 수행할 수 있습니다.After firewall rules are in effect, users can only perform Key Vault data plane operations when their requests originate from allowed virtual networks or IPv4 address ranges. Azure Portal에서 Key Vault에 액세스하는 경우도 마찬가지입니다.This also applies to accessing Key Vault from the Azure portal. 사용자가 Azure Portal에서 키 자격 증명 모음으로 이동할 수 있다고 해도 해당 클라이언트 머신이 허용 목록에 없는 경우 키, 비밀 또는 인증서를 나열하지 못할 수 있습니다.Although users can browse to a key vault from the Azure portal, they might not be able to list keys, secrets, or certificates if their client machine is not in the allowed list. 다른 Azure 서비스의 Key Vault 선택기도 마찬가지입니다.This also affects the Key Vault Picker by other Azure services. 방화벽 규칙이 사용자의 클라이언트 머신을 금지하는 경우 해당 사용자는 키 자격 증명 모음 목록을 확인할 수 있지만 키를 나열하지는 못합니다.Users might be able to see list of key vaults, but not list keys, if firewall rules prevent their client machine.

참고

다음과 같은 구성 제한 사항을 고려해야 합니다.Be aware of the following configuration limitations:

  • 최대한 127개 가상 네트워크 규칙 및 127개 IPv4 규칙이 허용됩니다.A maximum of 127 virtual network rules and 127 IPv4 rules are allowed.
  • "/31" 또는 "/32" 접두사 크기를 사용하는 작은 주소 범위는 지원되지 않습니다.Small address ranges that use the "/31" or "/32" prefix sizes are not supported. 대신 개별 IP 주소 규칙을 사용하여 이러한 범위를 구성합니다.Instead, configure these ranges by using individual IP address rules.
  • IP 네트워크 규칙은 공용 IP 주소에 대해서만 허용됩니다.IP network rules are only allowed for public IP addresses. 프라이빗 네트워크용으로 예약된 IP 주소 범위(RFC 1918에 정의)는 IP 규칙에서 허용되지 않습니다.IP address ranges reserved for private networks (as defined in RFC 1918) are not allowed in IP rules. 개인 네트워크는 172.16, 31, 192.168. 로 시작하는 주소를 포함 합니다.Private networks include addresses that start with 10., 172.16-31, and 192.168..
  • 현재 IPv4 주소만 지원됩니다.Only IPv4 addresses are supported at this time.

신뢰할 수 있는 서비스Trusted services

신뢰할 수 있는 서비스 허용 옵션을 사용하도록 설정하는 경우 키 자격 증명 모음에 액세스하도록 허용되는 신뢰할 수 있는 서비스 목록은 다음과 같습니다.Here's a list of trusted services that are allowed to access a key vault if the Allow trusted services option is enabled.

신뢰할 수 있는 서비스Trusted service 지원 되는 사용 시나리오Supported usage scenarios
Azure Virtual Machines 배포 서비스Azure Virtual Machines deployment service 고객 관리 Key Vault에서 VM으로 인증서를 배포합니다.Deploy certificates to VMs from customer-managed Key Vault.
Azure Resource Manager 템플릿 배포 서비스Azure Resource Manager template deployment service 배포 하는 동안 보안 값을 전달합니다.Pass secure values during deployment.
Azure Disk Encryption 볼륨 암호화 서비스Azure Disk Encryption volume encryption service 가상 머신을 배포하는 동안 BitLocker 키(Windows VM) 또는 DM 암호(Linux VM) 및 키 암호화 키에 대한 액세스를 허용합니다.Allow access to BitLocker Key (Windows VM) or DM Passphrase (Linux VM), and Key Encryption Key, during virtual machine deployment. 그러면 Azure Disk Encryption이 설정됩니다.This enables Azure Disk Encryption.
Azure BackupAzure Backup Azure Virtual Machines를 백업하는 동안 Azure Backup을 사용하여 관련 키 및 비밀의 백업 및 복원을 허용합니다.Allow backup and restore of relevant keys and secrets during Azure Virtual Machines backup, by using Azure Backup.
Exchange Online 및 SharePoint OnlineExchange Online & SharePoint Online 고객 키를 사용하여 Azure Storage 서비스 암호화를 위한 고객 키에 대한 액세스를 허용합니다.Allow access to customer key for Azure Storage Service Encryption with Customer Key.
Azure Information ProtectionAzure Information Protection Azure Information Protection을 위해 테넌트 키 액세스 허용Allow access to tenant key for Azure Information Protection.
Azure App ServiceAzure App Service Key Vault를 통해 Azure Web App 인증서를 배포합니다.Deploy Azure Web App Certificate through Key Vault.
Azure SQL DatabaseAzure SQL Database Azure SQL Database 및 Data Warehouse에 대한 BYOK(Bring Your Own Key) 지원을 사용하여 투명한 데이터 암호화.Transparent Data Encryption with Bring Your Own Key support for Azure SQL Database and Data Warehouse.
Azure StorageAzure Storage Azure Key Vault의 고객 관리 키를 사용하여 Storage 서비스 암호화.Storage Service Encryption using customer-managed keys in Azure Key Vault.
Azure Data Lake StoreAzure Data Lake Store 고객 관리 키를 사용하여 Azure Data Lake Store의 데이터 암호화.Encryption of data in Azure Data Lake Store with a customer-managed key.
Azure DatabricksAzure Databricks 빠르고 쉬우며 공동 작업이 가능한 Apache Spark 기반 분석 서비스Fast, easy, and collaborative Apache Spark–based analytics service
Azure API ManagementAzure API Management MSI를 사용 하 여 Key Vault에서 사용자 지정 도메인에 대 한 인증서 배포Deploy certificates for Custom Domain from Key Vault using MSI
Azure 데이터 팩터리Azure Data Factory Data Factory에서 Key Vault의 데이터 저장소 자격 증명 페치Fetch data store credentials in Key Vault from Data Factory
Azure Event HubsAzure Event Hubs 고객이 관리 하는 키 시나리오의 key vault에 대 한 액세스 허용Allow access to a key vault for customer-managed keys scenario
Azure Service BusAzure Service Bus 고객이 관리 하는 키 시나리오의 key vault에 대 한 액세스 허용Allow access to a key vault for customer-managed keys scenario
Azure Import/ExportAzure Import/Export Import/Export 서비스에 대 한 Azure Key Vault에서 고객이 관리 하는 키 사용Use customer-managed keys in Azure Key Vault for Import/Export service
Azure Container RegistryAzure Container Registry 고객 관리 키를 사용 하는 레지스트리 암호화Registry encryption using customer-managed keys

참고

해당 서비스가 Key Vault에 액세스할 수 있도록 하려면 관련 Key Vault 액세스 정책을 설정해야 합니다.You must set up the relevant Key Vault access policies to allow the corresponding services to get access to Key Vault.

다음 단계Next steps