연습 - Key Vault를 만들고 비밀 저장
애플리케이션에 대한 Key Vault 만들기
개발, 테스트, 프로덕션과 같이 각 애플리케이션의 각 배포 환경을 위한 별도의 자격 증명 모음을 만드는 것이 가장 좋습니다. 단일 자격 증명 모음을 사용하여 여러 애플리케이션 및 환경의 비밀을 저장할 수 있지만, 공격자가 자격 증명 모음에 대한 읽기 액세스 권한을 얻을 경우 자격 증명 모음의 비밀 수에 따라 자격 증명 모음에 대한 영향이 커집니다.
팁
애플리케이션에 대한 서로 다른 환경에서 비밀에 동일한 이름을 사용하는 경우 앱의 환경 관련 구성에서는 자격 증명 모음 URL만 변경하면 됩니다.
자격 증명 모음을 만드는 데 초기 구성이 필요하지 않습니다. 사용자 ID에는 전체 비밀 관리 권한 집합이 자동으로 부여됩니다. 비밀 추가를 즉시 시작할 수 있습니다. 자격 증명 모음이 있으면 Azure Portal, Azure CLI, Azure PowerShell 등 모든 Azure 관리 인터페이스에서 비밀을 추가하고 관리할 수 있습니다. 자격 증명 모음을 사용하도록 애플리케이션을 설정할 경우 다음 단원에 설명된 대로 애플리케이션에 올바른 권한을 할당해야 합니다.
Key Vault를 만들고 비밀 저장
애플리케이션 비밀과 관련하여 회사에서 발생하는 모든 문제의 경우 관리 부서에서는 다른 개발자에게 올바른 경로를 제시할 수 있는 작은 시작 앱을 만들도록 요청했습니다. 앱에서는 가능한 한 간단하고 안전하게 비밀을 관리하는 모범 사례를 제시해야 합니다.
시작하려면 자격 증명 모음을 만들고 하나의 비밀을 저장합니다.
Key Vault 만들기
키 자격 증명 모음 이름은 전역적으로 고유해야 하므로 고유 이름을 선택합니다. 자격 증명 모음 이름은 3-24자로, 영숫자 및 대시만 포함해야 합니다. 이 연습에서 필요하므로 선택한 자격 증명 모음 이름을 기록해 둡니다.
자격 증명 모음을 만들려면 Azure Cloud Shell에서 다음 명령을 실행합니다. --name 매개 변수에 고유한 자격 증명 모음 이름을 입력해야 합니다.
az keyvault create \
--resource-group "<rgn>[sandbox resource group name]</rgn>" \
--location centralus \
--name <your-unique-vault-name>
완료되면 새 자격 증명 모음을 설명하는 JSON 출력이 표시됩니다.
팁
명령은
비밀 추가
이제 비밀을 추가합니다. 비밀은 값이 reindeer_flotilla인 SecretPassword입니다. <your-unique-vault-name>을 --vault-name 매개 변수에서 만든 자격 증명 모음 이름으로 바꿔야 합니다.
az keyvault secret set \
--name SecretPassword \
--value reindeer_flotilla \
--vault-name <your-unique-vault-name>
잠시 후 앱의 코드를 작성하겠지만, 그 전에 앱이 자격 증명 모음에 인증하는 방식을 간략하게 알아보겠습니다.