Azure Portal를 사용 하 여 Azure Key Vault으로 고객 관리 키 구성Configure customer-managed keys with Azure Key Vault by using the Azure portal

Azure Storage는 미사용 스토리지 계정의 모든 데이터를 암호화합니다.Azure Storage encrypts all data in a storage account at rest. 기본적으로 데이터는 Microsoft 관리형 키로 암호화됩니다.By default, data is encrypted with Microsoft-managed keys. 암호화 키에 대한 추가 제어를 위해 Blob 및 파일 데이터의 암호화에 사용할 고객 관리 키를 제공할 수 있습니다.For additional control over encryption keys, you can supply customer-managed keys to use for encryption of blob and file data.

고객 관리 키는 Azure Key Vault에 저장 되어야 합니다.Customer-managed keys must be stored in an Azure Key Vault. 사용자 고유의 키를 만들어 키 자격 증명 모음에 저장할 수도 있고, Azure Key Vault API를 사용하여 키를 생성할 수도 있습니다.You can either create your own keys and store them in a key vault, or you can use the Azure Key Vault APIs to generate keys. 스토리지 계정 및 키 자격 증명 모음은 동일한 지역에 있어야 하지만 서로 다른 구독에 있을 수도 있습니다.The storage account and the key vault must be in the same region, but they can be in different subscriptions. 암호화 및 키 관리 Azure Storage에 대 한 자세한 내용은 미사용 데이터에 대 한 Azure Storage 암호화를 참조 하세요.For more information about Azure Storage encryption and key management, see Azure Storage encryption for data at rest. Azure Key Vault에 대한 자세한 내용은 Azure Key Vault란?For more information about Azure Key Vault, see What is Azure Key Vault?

이 문서에서는 Azure Portal를 사용 하 여 고객 관리 키를 사용 하 여 Azure Key Vault를 구성 하는 방법을 보여 줍니다.This article shows how to configure an Azure Key Vault with customer-managed keys using the Azure portal. Azure Portal을 사용하여 키 자격 증명 모음을 만드는 방법은 빠른 시작: Azure Portal을 사용하여 Azure Key Vault에서 비밀을 설정하고 검색을 참조하세요.To learn how to create a key vault using the Azure portal, see Quickstart: Set and retrieve a secret from Azure Key Vault using the Azure portal.

Azure Key Vault 구성Configure Azure Key Vault

Azure Storage 암호화와 함께 고객 관리 키를 사용 하려면 키 자격 증명 모음에 대해 두 개의 속성을 설정 해야 합니다. 일시 삭제 하 고 제거 하지않아야 합니다.Using customer-managed keys with Azure Storage encryption requires that two properties be set on the key vault, Soft Delete and Do Not Purge. 이러한 속성은 기본적으로 사용 하도록 설정 되어 있지 않지만 PowerShell 또는 기존 키 자격 증명 모음에서 Azure CLI를 사용 하 여 사용 하도록 설정할 수 있습니다.These properties are not enabled by default, but can be enabled using either PowerShell or Azure CLI on a new or existing key vault.

기존 키 자격 증명 모음에서 이러한 속성을 사용하려면 다음 문서 중 하나에서 일시 삭제를 사용하도록 설정제거 보호 활성화 섹션을 참조하세요.To learn how to enable these properties on an existing key vault, see the sections titled Enabling soft-delete and Enabling Purge Protection in one of the following articles:

Azure storage 암호화는 2048, 3072 및 4096 크기의 RSA 및 RSA HSM 키를 지원 합니다.Azure storage encryption supports RSA and RSA-HSM keys of sizes 2048, 3072 and 4096. 키에 대 한 자세한 내용은 Key Vault 키 Azure Key Vault 키, 암호 및 인증서정보를 참조 하세요.For more information about keys, see Key Vault keys in About Azure Key Vault keys, secrets and certificates.

고객 관리형 키 사용Enable customer-managed keys

Azure Portal에서 고객 관리형 키를 사용하도록 설정하려면 다음 단계를 수행합니다.To enable customer-managed keys in the Azure portal, follow these steps:

  1. 스토리지 계정으로 이동합니다.Navigate to your storage account.

  2. 스토리지 계정에 대한 설정 블레이드에서 암호화를 클릭합니다.On the Settings blade for the storage account, click Encryption. 다음 그림에 표시 된 것 처럼 고객 관리 키 옵션을 선택 합니다.Select the Customer Managed Keys option, as shown in the following image.

    암호화 옵션을 보여 주는 포털 스크린샷

키 지정Specify a key

고객이 관리 하는 키를 사용 하도록 설정 하면 저장소 계정에 연결할 키를 지정할 수 있습니다.After you enable customer-managed keys, you'll have the opportunity to specify a key to associate with the storage account. 또한 사용자가 자동으로 사용자가 관리 하는 키를 회전 해야 Azure Storage 하는지 또는 키를 수동으로 회전할지 여부를 지정할 수 있습니다.You can also indicate whether Azure Storage should automatically rotate the customer-managed key, or whether you will rotate the key manually.

Key Vault에서 키 지정Specify a key from a key vault

키 자격 증명 모음에서 고객 관리 키를 선택 하면 키의 자동 회전이 자동으로 사용 하도록 설정 됩니다.When you select a customer-managed key from a key vault, auto-rotation of the key is automatically enabled. 키 버전을 수동으로 관리 하려면 키 URI를 대신 지정 하 고 키 버전을 포함 합니다.To manually manage the key version, specify the key URI instead, and include the key version. 자세한 내용은 URI로 키 지정을 참조 하세요.For more information, see Specify a key as a URI.

키 자격 증명 모음에서 키를 지정 하려면 다음 단계를 수행 합니다.To specify a key from a key vault, follow these steps:

  1. Key Vault에서 선택 옵션을 선택합니다.Choose the Select from Key Vault option.

  2. 키 자격 증명 모음 및 키 선택을 선택 합니다.Select Select a key vault and key.

  3. 사용할 키를 포함 하는 키 자격 증명 모음을 선택 합니다.Select the key vault containing the key you want to use.

  4. 키 자격 증명 모음에서 키를 선택 합니다.Select the key from the key vault.

    주요 자격 증명 모음 및 키를 선택 하는 방법을 보여 주는 스크린샷

  5. 변경 내용을 저장합니다.Save your changes.

키를 URI로 지정Specify a key as a URI

키 URI를 지정 하는 경우에는 키 버전을 생략 하 여 고객 관리 키의 자동 회전을 사용 하도록 설정 합니다.When you specify the key URI, omit the key version to enable auto-rotation of the customer-managed key. 키 URI에 키 버전을 포함 하는 경우 자동 회전이 활성화 되지 않으므로 사용자가 직접 키 버전을 관리 해야 합니다.If you include the key version in the key URI, then auto-rotation is not enabled, and you must manage the key version yourself. 키 버전을 업데이트 하는 방법에 대 한 자세한 내용은 수동으로 키 버전 업데이트를 참조 하세요.For more information about updating the key version, see Manually update the key version.

키를 URI로 지정 하려면 다음 단계를 수행 합니다.To specify a key as a URI, follow these steps:

  1. Azure Portal에서 키 URI를 찾으려면 키 자격 증명 모음으로 이동 하 고 키 설정을 선택 합니다.To locate the key URI in the Azure portal, navigate to your key vault, and select the Keys setting. 원하는 키를 선택한 다음 키를 클릭 하 여 해당 버전을 확인 합니다.Select the desired key, then click the key to view its versions. 해당 버전에 대 한 설정을 보려면 키 버전을 선택 합니다.Select a key version to view the settings for that version.

  2. URI를 제공 하는 키 식별자 필드의 값을 복사 합니다.Copy the value of the Key Identifier field, which provides the URI.

    주요 자격 증명 모음 키 URI를 보여 주는 스크린샷

  3. 저장소 계정에 대 한 암호화 키 설정에서 키 URI 입력 옵션을 선택 합니다.In the Encryption key settings for your storage account, choose the Enter key URI option.

  4. 복사한 URI를 키 uri 필드에 붙여넣습니다.Paste the URI that you copied into the Key URI field. 자동 회전을 사용 하려면 URI에서 키 버전을 생략 합니다.Omit the key version from the URI to enable auto-rotation.

    키 URI를 입력 하는 방법을 보여 주는 스크린샷

  5. 키 자격 증명 모음을 포함 하는 구독을 지정 합니다.Specify the subscription that contains the key vault.

  6. 변경 내용을 저장합니다.Save your changes.

키를 지정한 후에는 Azure Portal 자동 키 회전이 사용 되는지 여부를 표시 하 고 현재 암호화에 사용 중인 키 버전을 표시 합니다.After you've specified the key, the Azure portal indicates whether automatic key rotation is enabled and displays the key version currently in use for encryption.

고객 관리 키 사용 설정의 자동 회전을 보여 주는 스크린샷

수동으로 키 버전 업데이트Manually update the key version

기본적으로 Azure Storage는 이전 섹션에 설명 된 대로 자동으로 고객 관리 키를 회전 합니다.By default, Azure Storage automatically rotates customer-managed keys for you, as described in the previous sections. 키 버전을 직접 관리 하도록 선택 하는 경우 새 버전의 키를 만들 때마다 저장소 계정에 지정 된 키 버전을 업데이트 해야 합니다.If you choose to manage the key version yourself, then you must update the key version specified for the storage account each time you create a new version of the key.

새 키 버전을 사용 하도록 저장소 계정을 업데이트 하려면 다음 단계를 수행 합니다.To update the storage account to use the new key version, follow these steps:

  1. 저장소 계정으로 이동 하 여 암호화 설정을 표시 합니다.Navigate to your storage account and display the Encryption settings.
  2. 새 키 버전의 URI를 입력 합니다.Enter the URI for the new key version. 또는 키 자격 증명 모음을 다시 선택 하 고 키를 다시 선택 하 여 버전을 업데이트할 수 있습니다.Alternately, you can select the key vault and the key again to update the version.
  3. 변경 내용을 저장합니다.Save your changes.

다른 키로 전환Switch to a different key

Azure Storage 암호화에 사용 되는 키를 변경 하려면 다음 단계를 수행 합니다.To change the key used for Azure Storage encryption, follow these steps:

  1. 저장소 계정으로 이동 하 여 암호화 설정을 표시 합니다.Navigate to your storage account and display the Encryption settings.
  2. 새 키에 대 한 URI를 입력 합니다.Enter the URI for the new key. 또는 키 자격 증명 모음을 선택 하 고 새 키를 선택할 수 있습니다.Alternately, you can select the key vault and choose a new key.
  3. 변경 내용을 저장합니다.Save your changes.

고객 관리 키 사용 안 함Disable customer-managed keys

고객 관리 키를 사용 하지 않도록 설정 하면 저장소 계정이 Microsoft 관리 키로 다시 암호화 됩니다.When you disable customer-managed keys, your storage account is once again encrypted with Microsoft-managed keys. 고객 관리 키를 사용 하지 않도록 설정 하려면 다음 단계를 수행 합니다.To disable customer-managed keys, follow these steps:

  1. 저장소 계정으로 이동 하 여 암호화 설정을 표시 합니다.Navigate to your storage account and display the Encryption settings.
  2. 사용자의 키 사용 설정 옆에 있는 확인란의 선택을 취소 합니다.Deselect the checkbox next to the Use your own key setting.

다음 단계Next steps