연습 - Azure Key Vault에서 암호 관리

완료됨

이 연습에서는 Azure Key Vault에 암호를 추가합니다. 암호는 보호해야 하는 중요한 정보의 예입니다. 그런 다음, Azure Key Vault에서 암호를 읽어서 암호에 액세스할 수 있는지 확인합니다.

실제로 Key Vault에서 비밀을 추가하고 읽는 방법에는 여러 가지가 있습니다. Azure Portal, Azure CLI 또는 Azure PowerShell을 사용할 수 있습니다. 선호하는 프로그래밍 언어를 사용하여 애플리케이션이 필요한 비밀에 안전하게 액세스할 수도 있습니다.

여기에서 Azure Portal을 사용하여 Key Vault에서 비밀을 만듭니다. 그런 다음, 포털 및 Azure Cloud Shell의 Azure CLI에서 비밀에 액세스합니다.

Azure CLI는 명령줄 또는 스크립트에서 Azure 리소스를 사용하는 방법입니다. Cloud Shell은 Azure 리소스를 관리 및 개발하기 위한 브라우저 기반 셸 환경입니다. Cloud Shell을 클라우드에서 실행되는 대화형 콘솔로 생각하세요.

키 자격 증명 모음 만들기

  1. Azure Portal로 이동합니다.

  2. Azure Portal 메뉴 또는 페이지의 Azure 서비스 에서 리소스 만들기 를 선택합니다. 리소스 만들기 창이 나타납니다.

  3. 검색 창에서 Key Vault 를 입력한 다음, 결과에서 Key Vault 를 선택합니다. Key Vault 창이 나타납니다.

  4. 만들기 를 선택합니다. 키 자격 증명 모음 만들기 창이 나타납니다.

  5. 기본 탭에서 각 설정에 다음 값을 입력합니다.

    참고

    NNN 을 일련의 숫자로 바꿉니다. 키 자격 증명 모음의 이름이 고유한지 확인하는 데 도움이 됩니다.

    설정
    프로젝트 세부 정보
    구독 안내자 구독
    리소스 그룹 [샌드박스 리소스 그룹 이름]
    인스턴스 세부 정보
    키 자격 증명 모음 이름 my-keyvault-NNN 여기서 NNN은 고유 식별자입니다.

    나머지 설정은 기본값으로 둡니다.

  6. 검토 + 만들기 를 선택하고 유효성 검사를 통과한 후 만들기 를 선택합니다.

    배포가 완료될 때까지 기다립니다.

  7. 리소스로 이동 을 선택합니다.

  8. 키 자격 증명 모음에 대한 세부 정보를 기록해 둡니다.

    예를 들어 Vault URI 필드에는 애플리케이션이 REST API에서 자격 증명 모음에 액세스하는 데 사용할 수 있는 URI가 표시됩니다.

    다음은 이름이 my-keyvault-321 인 키 자격 증명 모음의 예입니다.

    키 자격 증명 모음에 관한 세부 정보를 보여 주는 Azure Portal의 스크린샷 부모 리소스 그룹, 위치 및 DNS 이름과 같은 필드가 표시됩니다.

  9. 선택적 단계로 왼쪽 메뉴 창의 설정 에서 다른 기능을 살펴봅니다.

    처음에는 비어 있지만 여기에서 키, 비밀 및 인증서를 저장할 수 있는 위치를 찾습니다.

    참고

    Azure 구독은 해당 자격 증명 모음에 액세스할 권한이 부여된 유일한 구독입니다. 설정액세스 정책 기능으로 자격 증명 모음에 대한 액세스를 구성할 수 있습니다.

키 자격 증명 모음에 암호 추가

  1. 왼쪽 메뉴 창의 설정 에서 비밀 을 선택합니다. 키 자격 증명 모음에 대한 비밀 창이 표시됩니다.

  2. 상단 메뉴 모음에서 생성/가져오기 를 선택합니다. 비밀 만들기 창이 나타납니다.

  3. 각 설정에 다음 값을 입력합니다.

    설정
    업로드 옵션 수동
    Name MyPassword
    hVFkk96

    나머지 설정은 기본값으로 둡니다. 활성화 날짜와 만료 날짜와 같은 속성을 지정할 수 있는 것을 알 수 있습니다. 비밀에 대한 액세스를 사용하지 않도록 설정할 수도 있습니다.

  4. 만들기 를 선택합니다.

암호 표시

여기서는 두 가지 방법으로 Key Vault에서 암호에 액세스합니다. 먼저 Azure Portal에서 액세스합니다. 그런 다음 Azure CLI에서 액세스합니다.

  1. 비밀 창에서 MyPassword 를 선택합니다. 버전에 대한 MyPassword 창이 나타납니다. 현재 버전이 사용됨을 알 수 있습니다.

  2. 현재 버전을 선택합니다. 비밀 버전 창이 나타납니다.

    비밀 식별자 필드에는 현재 애플리케이션을 통해 비밀에 액세스하는 데 사용할 수 있는 URI가 표시됩니다. 권한이 부여된 애플리케이션만 해당 비밀에 액세스할 수 있습니다.

  3. 비밀 값 표시 를 선택합니다. 이 버전의 암호에 대한 고유 값이 표시됩니다.

    키 자격 증명 모음의 비밀 값을 보여 주는 Azure Portal의 스크린샷

  4. Cloud Shell에서 이 명령을 실행합니다.

    참고

    <my-keyvault-NNN>을 앞에서 사용한 이름으로 바꿉니다.

    az keyvault secret show \
      --name MyPassword \
      --vault-name <my-keyvault-NNN> \
      --query value \
      --output tsv
    

    출력에 암호가 표시됩니다.

    hVFkk96
    

잘했습니다! 이때 애플리케이션에서 사용하기 위해 안전하게 저장된 암호 비밀을 포함하는 키 자격 증명 모음이 있습니다.

정리

이 모듈을 마치면 샌드박스가 자동으로 리소스를 정리합니다.

본인 소유의 구독으로 이 모듈을 진행하고 있는 경우에는 프로젝트가 끝날 때 여기에서 만든 리소스가 계속 필요한지 확인하는 것이 좋습니다. 계속 실행되는 리소스에는 요금이 부과될 수 있습니다. 리소스를 개별적으로 삭제하거나 리소스 그룹을 삭제하여 리소스의 전체 세트를 삭제할 수 있습니다.