Azure Key Vault에서 Import/Export 서비스에 고객 관리형 키 사용Use customer-managed keys in Azure Key Vault for Import/Export service

Azure Import/Export 서비스는 암호화 키를 통해 드라이브를 잠그는 데 사용되는 BitLocker 키를 보호합니다.Azure Import/Export protects the BitLocker keys used to lock the drives via an encryption key. 기본적으로 BitLocker 키는 Microsoft 관리형 키를 사용하여 암호화됩니다.By default, BitLocker keys are encrypted with Microsoft-managed keys. 암호화 키에 대한 추가 제어를 원한다면 고객 관리형 키를 제공할 수도 있습니다.For additional control over encryption keys, you can also provide customer-managed keys.

그러려면 고객 관리형 키를 만들어 Azure Key Vault에 저장해야 합니다.Customer-managed keys must be created and stored in an Azure Key Vault. Azure Key Vault에 대한 자세한 내용은 Azure Key Vault란?For more information about Azure Key Vault, see What is Azure Key Vault?

이 문서에서는 Azure Portal에서 Import/Export 서비스에 고객 관리형 키를 사용하는 방법을 보여줍니다.This article shows how to use customer-managed keys with Import/Export service in the Azure portal.

사전 요구 사항Prerequisites

시작하기 전에 다음 사항을 확인합니다.Before you begin, make sure:

  1. 다음 문서의 지침에 따라 가져오기 또는 내보내기 작업을 만들었습니다.You have created an import or an export job as per the instructions in:

  2. BitLocker 키를 보호하는 데 사용할 수 있는 키가 들어 있는 기존 Azure Key Vault가 있습니다.You have an existing Azure Key Vault with a key in it that you can use to protect your BitLocker key. Azure Portal을 사용하여 키 자격 증명 모음을 만드는 방법은 빠른 시작: Azure Portal을 사용하여 Azure Key Vault에서 비밀을 설정하고 검색을 참조하세요.To learn how to create a key vault using the Azure portal, see Quickstart: Set and retrieve a secret from Azure Key Vault using the Azure portal.

    • 일시 삭제제거 안 함은 기존 Key Vault에서 설정됩니다.Soft delete and Do not purge are set on your existing Key Vault. 이러한 속성은 기본적으로 사용하도록 설정되지 않습니다.These properties are not enabled by default. 이러한 속성을 사용하려면 다음 문서 중 하나에서 일시 삭제를 사용하도록 설정제거 보호 활성화 섹션을 참조하세요.To enable these properties, see the sections titled Enabling soft-delete and Enabling Purge Protection in one of the following articles:

    • 기존 키 자격 증명 모음에는 크기가 2048 이상인 RSA 키가 있어야 합니다.The existing key vault should have an RSA key of 2048 size or more. 키에 대한 자세한 내용은 Azure Key Vault 키, 비밀 및 인증서 정보Key Vault 키를 참조하세요.For more information about keys, see Key Vault keys in About Azure Key Vault keys, secrets, and certificates.

    • 키 자격 증명 모음은 데이터의 스토리지 계정과 같은 지역에 있어야 합니다.Key vault must be in the same region as the storage account for your data.

    • 기존 Azure Key Vault가 없는 경우 다음 섹션에 설명된 대로 인라인으로 만들 수 있습니다.If you don't have an existing Azure Key Vault, you can also create it inline as described in the following section.

키 사용Enable keys

Import/Export 서비스의 고객 관리형 키를 구성하는 것은 선택 사항입니다.Configuring customer-managed key for your Import/Export service is optional. 기본적으로 Import/Export 서비스는 Microsoft 관리형 키를 사용하여 BitLocker 키를 보호합니다.By default, the Import/Export service uses a Microsoft managed key to protect your BitLocker key. Azure Portal에서 고객 관리형 키를 사용하도록 설정하려면 다음 단계를 수행합니다.To enable customer-managed keys in the Azure portal, follow these steps:

  1. 가져오기 작업의 개요 블레이드로 이동합니다.Go to the Overview blade for your Import job.

  2. 오른쪽 창에서 BitLocker 키의 암호화 방식을 선택합니다.In the right-pane, select Choose how your BitLocker keys are encrypted.

    암호화 옵션 선택

  3. 암호화 블레이드에서 디바이스 BitLocker 키를 살펴보고 복사할 수 있습니다.In the Encryption blade, you can view and copy the device BitLocker key. 암호화 유형에서 BitLocker 키를 보호하는 방법을 선택할 수 있습니다.Under Encryption type, you can choose how you want to protect your BitLocker key. 기본적으로 Microsoft 관리형 키가 사용됩니다.By default, a Microsoft managed key is used.

    BitLocker 키 보기

  4. 고객 관리형 키를 지정하는 옵션이 있습니다.You have the option to specify a customer managed key. 고객 관리형 키를 선택한 후에는 키 자격 증명 모음 및 키를 선택합니다.After you have selected the customer managed key, Select key vault and a key.

    고객 관리형 키 선택

  5. Azure Key Vault에서 키 선택 블레이드에서 구독이 자동으로 채워집니다.In the Select key from Azure Key Vault blade, the subscription is automatically populated. 키 자격 증명 모음의 드롭다운 목록에서 기존 키 자격 증명 모음을 선택할 수 있습니다.For Key vault, you can select an existing key vault from the dropdown list.

    Azure Key Vault 선택 또는 만들기

  6. 새로 만들기를 선택하여 새로운 키 자격 증명 모음을 만들 수도 있습니다.You can also select Create new to create a new key vault. 키 자격 증명 모음 만들기 블레이드에서 리소스 그룹 및 주요 자격 증명 모음 이름을 입력합니다.In the Create key vault blade, enter the resource group and the key vault name. 그 외에는 기본값을 적용합니다.Accept all other defaults. 검토 + 만들기를 선택합니다.Select Review + Create.

    새 Azure Key Vault 만들기

  7. 키 자격 증명 모음과 연결된 정보를 검토하고만들기를 선택합니다.Review the information associated with your key vault and select Create. 키 자격 증명 모음 만들기가 완료될 때까지 몇 분 정도 기다립니다.Wait for a couple minutes for the key vault creation to complete.

    Azure Key Vault 만들기

  8. Azure Key Vault에서 키 선택에서 기존 키 자격 증명 모음의 키를 선택할 수 있습니다.In the Select key from Azure Key Vault, you can select a key in the existing key vault.

  9. 키 자격 증명 모음을 새로 만든 경우 새로 만들기를 선택하여 키를 만듭니다.If you created a new key vault, select Create new to create a key. RSA 키 크기는 2048 이상이어야 합니다.RSA key size can be 2048 or greater.

    Azure Key Vault에서 새 키 만들기

    키 자격 증명 모음을 만들 때 일시 삭제 및 제거 보호를 사용하도록 설정하지 않으면 키 자격 증명 모음이 일시 삭제 및 제거 보호를 사용하도록 업데이트됩니다.If the soft delete and purge protection are not enabled when you create the key vault, key vault will be updated to have soft delete and purge protection enabled.

  10. 키 이름을 입력하고 나머지는 기본값을 적용한 다음, 만들기를 선택합니다.Provide the name for your key, accept the other defaults, and select Create.

    새 키 만들기

  11. 버전을 선택하고, 선택을 클릭합니다.Select the Version and then choose Select. 키 자격 증명 모음에 키가 생성되었다는 알림이 표시됩니다.You are notified that a key is created in your key vault.

    키 자격 증명 모음에 새로 생성된 키

암호화 블레이드에서 고객 관리형 키에 대해 선택한 키 자격 증명 모음 및 키를 볼 수 있습니다.In the Encryption blade, you can see the key vault and the key selected for your customer managed key.

중요

가져오기/내보내기 작업의 모든 단계에서 Microsoft 관리형 키를 사용하지 않도록 설정하고 고객 관리형 키로 이동할 수 있습니다.You can only disable Microsoft managed keys and move to customer managed keys at any stage of the import/export job. 그러나 고객 관리형 키를 만든 후에는 사용하지 않도록 설정할 수 없습니다.However, you cannot disable the customer managed key once you have created it.

고객 관리형 키 오류 해결Troubleshoot customer managed key errors

고객 관리형 키와 관련된 오류가 발생하면 다음 표를 사용하여 문제를 해결하세요.If you receive any errors related to your customer managed key, use the following table to troubleshoot:

오류 코드Error code 세부 정보Details 복구 가능한가요?Recoverable?
CmkErrorAccessRevokedCmkErrorAccessRevoked 고객 관리형 키에 대한 액세스가 철회되었습니다.Access to the customer managed key is revoked. 예, 다음 사항을 확인하세요.Yes, check if:
  1. 키 자격 증명 모음의 액세스 정책에 여전히 MSI가 있습니다.Key vault still has the MSI in the access policy.
  2. 액세스 정책에서 가져오기, 래핑 및 래핑 해제 권한이 설정되었습니다.Access policy has Get, Wrap, and Unwrap permissions enabled.
  3. 키 자격 증명 모음이 방화벽의 보호를 받는 VNet에 있는 경우 Microsoft에서 신뢰하는 서비스 허용이 설정되었는지 확인합니다.If key vault is in a VNet behind the firewall, check if Allow Microsoft Trusted Services is enabled.
  4. API를 사용하여 작업 리소스의 MSI가 None으로 초기화되었는지 확인합니다.Check if the MSI of the job resource was reset to None using APIs.
    초기화되었다면 이 값을 다시 Identity = SystemAssigned로 설정합니다.If yes, then Set the value back to Identity = SystemAssigned. 이렇게 하면 작업 리소스의 ID가 다시 생성됩니다.This recreates the identity for the job resource.
    새 ID를 만든 후에는 키 자격 증명 모음의 액세스 정책에서 새 ID에 대한 Get, WrapUnwrap 권한을 사용하도록 설정합니다.Once the new identity has been created, enable Get, Wrap, and Unwrap permissions to the new identity in the key vault's access policy
CmkErrorKeyDisabledCmkErrorKeyDisabled 고객 관리형 키가 사용하지 않도록 설정되었습니다.The customer managed key is disabled. 예, 키 버전을 사용하도록 설정하여 복구할 수 있습니다.Yes, by enabling the key version
CmkErrorKeyNotFoundCmkErrorKeyNotFound 고객 관리형 키를 찾을 수 없습니다.Cannot find the customer managed key. 예, 키가 삭제되었지만 여전히 제거 기간 내에 있는 경우 키 자격 증명 모음 키 제거 실행 취소를 사용하여 복구할 수 있습니다.Yes, if the key has been deleted but it is still within the purge duration, using Undo Key vault key removal.
또는Else,
  1. 예, 고객이 키를 백업해 둔 경우 키를 복원하면 됩니다.Yes, if the customer has the key backed-up and restores it.
  2. 아니요, 복구할 수 없습니다.No, otherwise.
CmkErrorVaultNotFoundCmkErrorVaultNotFound 고객 관리형 키의 키 자격 증명 모음을 찾을 수 없습니다.Cannot find the key vault of the customer managed key. 키 자격 증명 모음이 삭제된 경우:If the key vault has been deleted:
  1. 예, 제거 보호 기간 내에 있는 경우 키 자격 증명 모음 복구의 단계에 따라 복구할 수 있습니다.Yes, if it is in the purge-protection duration, using the steps at Recover a key vault.
  2. 아니요, 제거 보호 기간이 지나면 복구할 수 없습니다.No, if it is beyond the purge-protection duration.

또는 키 자격 증명 모음이 다른 테넌트로 마이그레이션된 경우 아래 단계 중 하나를 사용하여 복구할 수 있습니다.Else if the key vault was migrated to a different tenant, yes, it can be recovered using one of the below steps:
  1. 키 자격 증명 모음을 이전 테넌트로 되돌립니다.Revert the key vault back to the old tenant.
  2. Identity = None을 설정한 다음, 값을 다시 Identity = SystemAssigned로 설정합니다.Set Identity = None and then set the value back to Identity = SystemAssigned. 이렇게 하면 새 ID가 생성될 때 ID가 삭제되고 다시 생성됩니다.This deletes and recreates the identity once the new identity has been created. 키 자격 증명 모음의 액세스 정책에서 새 ID에 대한 Get, WrapUnwrap 권한을 사용하도록 설정합니다.Enable Get, Wrap, and Unwrap permissions to the new identity in the key vault's Access policy.

다음 단계Next steps