Azure Storage 암호화용 고객 관리형 키

  • 아티클

사용자 고유의 암호화 키를 사용하여 스토리지 계정에서 데이터를 보호할 수 있습니다. 고객 관리형 키를 지정하는 경우 해당 키는 데이터를 암호화하는 키에 대한 액세스를 보호하고 제어하는 데 사용됩니다. 고객 관리형 키를 사용하면 훨씬 더 유연하게 액세스 제어를 관리할 수 있습니다.

다음 Azure 키 저장소 중 하나를 사용하여 고객 관리형 키를 저장해야 합니다.

사용자 고유의 키를 만들어 키 자격 증명 모음 또는 관리되는 HSM에 저장할 수도 있고, Azure Key Vault API를 사용하여 키를 생성할 수도 있습니다. 스토리지 계정 및 키 자격 증명 모음 또는 관리되는 HSM은 서로 다른 Microsoft Entra 테넌트, 지역 및 구독에 있을 수 있습니다.

참고 항목

Azure Key Vault 및 Azure Key Vault 관리되는 HSM은 고객 관리형 키 구성 시 동일한 API 및 관리 인터페이스를 지원합니다. Azure Key Vault에 지원되는 모든 작업은 Azure Key Vault 관리되는 HSM에도 지원됩니다.

고객 관리형 키 정보

다음 다이어그램은 Azure Storage가 고객 관리형 키를 사용하여 요청을 보내기 위해 Microsoft Entra ID 및 키 자격 증명 모음 또는 관리되는 HSM을 사용하는 방법을 보여 줍니다.

Diagram showing how customer-managed keys work in Azure Storage

다음은 다이어그램의 번호가 매겨진 단계에 대해 설명하는 목록입니다.

  1. Azure Key Vault 관리자는 관리 ID에 암호화 키 권한을 부여합니다. 관리 ID는 사용자가 만들고 관리하는 사용자 할당 관리 ID 또는 스토리지 계정과 연결된 시스템 할당 관리 ID일 수 있습니다.
  2. Azure Storage 관리자는 스토리지 계정에 고객 관리형 키를 사용하여 암호화를 구성합니다.
  3. Azure Storage는 Azure Key Vault 관리자가 1단계에서 권한을 부여한 관리 ID를 사용하여 Microsoft Entra ID를 통해 Azure Key Vault에 대한 액세스를 인증합니다.
  4. Azure Storage는 Azure Key Vault의 고객 관리형 키로 계정 암호화 키를 래핑합니다.
  5. 읽기/쓰기 작업의 경우 Azure Storage는 계정 암호화 키를 래핑 해제하라는 요청을 Azure Key Vault에 보내서 암호화 및 암호 해독 작업을 수행합니다.

Azure Key Vault의 고객 관리형 키에 액세스하려면 스토리지 계정과 연결된 관리 ID에 최소한 다음 권한이 있어야 합니다.

  • wrapkey
  • unwrapkey
  • get

키 권한에 대한 자세한 내용은 키 유형, 알고리즘 및 작업을 참조하세요.

Azure Policy는 스토리지 계정이 Blob Storage 및 Azure Files 워크로드에 대해 고객 관리형 키를 사용하도록 요구하는 기본 제공 정책을 제공합니다. 자세한 내용은 Azure Policy 기본 제공 정책 정의스토리지 섹션을 참조하세요.

큐 및 테이블에 대한 고객 관리형 키

스토리지 계정에 고객 관리형 키를 사용하도록 설정한 경우 Queue 및 Table Storage에 저장된 데이터는 고객 관리형 키를 사용하여 자동으로 보호되지 않습니다. 스토리지 계정을 만들 때 이러한 서비스를 이러한 보호에 포함하도록 선택적으로 구성할 수 있습니다.

큐 및 테이블의 고객 관리형 키를 지원하는 스토리지 계정을 만드는 방법에 대한 자세한 내용은 테이블 및 큐의 고객 관리형 키를 지원하는 계정 만들기를 참조하세요.

Blob Storage 및 Azure Files의 데이터는 스토리지 계정에 고객 관리형 키가 구성된 경우 항상 고객 관리형 키로 보호됩니다.

스토리지 계정에 고객 관리형 키를 사용하도록 설정

스토리지 계정에 대한 고객 관리형 키를 구성하면 Azure Storage가 연결된 키 자격 증명 모음 또는 관리되는 HSM의 고객 관리형 키를 사용하여 계정의 루트 데이터 암호화 키를 래핑합니다. 루트 암호화 키의 보호 상태는 변경되지만, Azure Storage 계정의 데이터는 항상 암호화된 상태로 유지됩니다. 데이터가 암호화 상태로 유지되도록 하기 위해 사용자가 취해야 할 추가 작업은 없습니다. 고객 관리형 키에 의한 보호는 즉시 적용됩니다.

언제든지 고객 관리형 키와 Microsoft 관리형 키 간에 전환할 수 있습니다. Microsoft 관리형 키에 관한 자세한 내용은 암호화 키 관리 정보를 참조하세요.

키 자격 증명 모음 요구 사항

키를 저장하는 키 자격 증명 모음 또는 관리되는 HSM은 일시 삭제 및 제거 보호를 모두 사용하도록 설정해야 합니다. Azure Storage 암호화는 2048, 3072, 4096 크기의 RSA 및 RSA HSM 키를 지원합니다. 키에 대한 자세한 내용은 키 정보를 참조하세요.

키 자격 증명 모음 또는 관리되는 HSM 사용 시 관련 비용이 청구됩니다. 자세한 내용은 Key Vault 가격 책정을 참조하세요.

동일한 테넌트에서 키 자격 증명 모음이 있는 고객 관리형 키

동일한 테넌트 또는 다른 Microsoft Entra 테넌트에 있는 키 자격 증명 모음 및 스토리지 계정을 사용하여 고객 관리형 키를 구성할 수 있습니다. 키 자격 증명 모음 및 스토리지 계정이 동일한 테넌트에 있는 경우 고객 관리형 키를 사용하여 Azure Storage 암호화를 구성하는 방법을 알아보려면 다음 문서 중 하나를 참조하세요.

동일한 테넌트에서 키 자격 증명 모음이 있는 고객 관리형 키를 사용하도록 설정하는 경우 해당 키가 포함된 키 자격 증명 모음에 대한 액세스 권한을 부여하는 데 사용할 관리 ID를 지정해야 합니다. 관리 ID는 사용자 할당 또는 시스템이 할당한 관리 ID일 수 있습니다.

  • 스토리지 계정을 만들 때 고객 관리형 키를 구성하는 경우 사용자가 할당한 관리 ID를 사용해야 합니다.
  • 기존 스토리지 계정에서 고객 관리형 키를 구성하는 경우에는 사용자가 할당한 관리 ID 또는 시스템이 할당한 관리 ID를 사용할 수 있습니다.

시스템이 할당한 관리 ID와 사용자가 할당한 관리 ID에 대한 자세한 내용은 Azure 리소스의 관리 ID를 참조하세요. 사용자가 할당한 관리 ID를 만들고 관리하는 방법에 대해 자세히 알아보려면 사용자 할당 관리 ID 관리를 참조하세요.

다른 테넌트에서 키 자격 증명 모음이 있는 고객 관리형 키

키 자격 증명 모음 및 스토리지 계정이 다른 Microsoft Entra 테넌트에 있는 경우 고객 관리형 키를 사용하여 Azure Storage 암호화를 구성하는 방법을 알아보려면 다음 문서 중 하나를 참조하세요.

관리되는 HSM을 사용하는 고객 관리형 키

새 또는 기존 계정에 대해 Azure Key Vault 관리되는 HSM을 사용하여 고객 관리형 키를 구성할 수 있습니다. 또한 스토리지 계정과 동일한 테넌트 또는 다른 테넌트에 있는 관리되는 HSM을 사용하여 고객 관리형 키를 구성할 수 있습니다. 관리되는 HSM에서 고객 관리형 키를 구성하는 프로세스는 키 자격 증명 모음에서 고객 관리형 키를 구성하는 프로세스와 동일하지만 사용 권한은 약간 다릅니다. 자세한 내용은 Azure Key Vault 관리되는 HSM에 저장된 고객 관리형 키를 사용하여 암호화 구성을 참조하세요.

키 버전 업데이트

암호화 모범 사례를 따르는 것은 일반적으로 최소 2년마다 정기적으로 스토리지 계정을 보호하는 키를 회전하는 것을 의미합니다. Azure Storage는 키 자격 증명 모음의 키를 수정하지 않지만 규정 준수 요구 사항에 따라 키를 회전하는 키 회전 정책을 구성할 수 있습니다. 자세한 내용은 Azure Key Vault에서 암호화 키 자동 회전 구성을 참조하세요.

키 자격 증명 모음에서 키를 회전한 후 새 키 버전을 사용하려면 스토리지 계정에 대한 고객 관리형 키 구성을 업데이트해야 합니다. 고객 관리형 키는 계정을 보호하는 키에 대한 키 버전의 자동 및 수동 업데이트를 모두 지원합니다. 고객 관리형 키를 구성할 때 또는 구성을 업데이트할 때 사용할 방법을 결정할 수 있습니다.

키 또는 키 버전을 수정하면 루트 암호화 키의 보호가 변경되지만, Azure Storage 계정의 데이터는 항상 암호화된 상태로 유지됩니다. 데이터를 보호하기 위해 취해야 할 추가 조치는 없습니다. 키 버전을 순환해도 성능에는 영향이 없습니다. 키 버전 순환과 관련된 가동 중지 시간은 없습니다.

Important

키를 회전하려면 규정 준수 요구 사항에 따라 키 자격 증명 모음 또는 관리되는 HSM에 새 버전의 키를 만듭니다. Azure Storage는 키 회전을 처리하지 않으므로 키 자격 증명 모음에서 키 회전을 관리해야 합니다.

고객 관리형 키에 사용되는 키를 회전하는 경우 해당 작업은 현재 Azure Storage에 대한 Azure Monitor 로그에 기록되지 않습니다.

자동으로 키 버전 업데이트

새 버전을 사용할 수 있을 때 고객 관리형 키를 자동으로 업데이트하려면 스토리지 계정에 고객 관리형 키로 암호화를 사용하도록 설정할 때 키 버전을 생략합니다. 키 버전을 생략하면 Azure Storage가 매일 키 자격 증명 모음 또는 관리되는 HSM에서 새 버전의 고객 관리형 키를 확인합니다. 새 키 버전을 사용할 수 있는 경우 Azure Storage는 자동으로 최신 버전의 키를 사용합니다.

Azure Storage는 키 자격 증명 모음에서 새 키 버전을 매일 한 번만 확인합니다. 키를 회전하는 경우 이전 버전을 사용하지 않도록 설정할 때까지 24시간 동안 기다려야 합니다.

스토리지 계정이 이전에 키 버전을 수동으로 업데이트하도록 구성된 경우 자동으로 업데이트하도록 구성을 변경하려면 명시적으로 키 버전을 빈 문자열로 변경해야 할 수 있습니다. 이 작업을 수행하는 방법에 대한 자세한 내용은 키 버전의 자동 업데이트를 위한 암호화 구성을 참조하세요.

수동으로 키 버전 업데이트

Azure Storage 암호화에 특정 버전의 키를 사용하려면 스토리지 계정에 고객 관리형 키로 암호화를 사용하도록 설정할 때 해당 키 버전을 지정합니다. 키 버전을 지정하면 키 버전을 수동으로 업데이트할 때까지 Azure Storage에서 해당 버전을 암호화에 사용합니다.

키 버전이 명시적으로 지정된 경우 새 버전을 만들 때 새 키 버전 URI를 사용하도록 스토리지 계정을 수동으로 업데이트해야 합니다. 새 버전의 키를 사용하도록 스토리지 계정을 업데이트하는 방법을 알아보려면 Azure Key Vault에 저장된 고객 관리형 키를 사용하여 암호화 구성 또는 Azure Key Vault 관리형 HSM에 저장된 고객 관리형 키를 사용하여 암호화 구성을 참조하세요.

고객 관리형 키를 사용하는 스토리지 계정에 대한 액세스 권한 철회

고객 관리형 키를 사용하는 스토리지 계정에 대한 액세스 권한을 철회하려면 키 자격 증명 모음에서 키를 사용하지 않도록 설정합니다. 키를 사용하지 않도록 설정하는 방법을 알아보려면 고객 관리형 키를 사용하는 스토리지 계정에 대한 액세스 권한 철회를 참조하세요.

키를 사용하지 않도록 설정하면 클라이언트가 리소스 또는 해당 메타데이터에서 읽거나 쓰는 작업을 호출할 수 없습니다. 모든 사용자에 대해 이러한 작업을 호출하려고 하면 오류 코드 403(사용할 수 없음)과 함께 실패합니다.

이러한 작업을 다시 호출하려면 고객 관리형 키에 대한 액세스를 복원합니다.

다음 섹션에 나열되지 않은 모든 데이터 작업은 고객 관리형 키가 해지되거나, 키가 비활성화되거나 삭제된 후에도 계속 진행될 수 있습니다.

고객 관리형 키에 대한 액세스 권한을 철회하려면 PowerShell 또는 Azure CLI를 사용합니다.

키가 해지된 후 실패하는 Blob Storage 작업

키가 해지된 후 실패하는 Azure Files 작업

Azure 관리형 디스크용 고객 관리형 키:

고객 관리형 키를 사용하여 Azure 관리 디스크의 암호화를 관리할 수도 있습니다. 고객 관리형 키는 관리 디스크에서 Azure Storage 리소스와 다르게 작동합니다. 자세한 내용은 Windows용 Azure 관리 디스크의 서버 쪽 암호화 또는 Linux용 Azure 관리 디스크의 서버 쪽 암호화를 참조하세요.

다음 단계