고객 키 또는 가용성 키 롤 또는 회전

  • 아티클

주의

보안 또는 규정 준수 요구 사항에 따라 키를 롤해야 하는 경우에만 고객 키와 함께 사용하는 암호화 키를 롤합니다. 사용한 이전 버전의 키를 포함하여 정책과 연결되었거나 연결된 키를 삭제하거나 사용하지 않도록 설정하지 마세요. 키를 롤하면 이전 키로 암호화된 콘텐츠가 있습니다. 예를 들어 활성 사서함은 자주 다시 암호화되지만 비활성, 연결 끊김 및 비활성화된 사서함은 여전히 이전 키로 암호화될 수 있습니다. Microsoft SharePoint는 복원 및 복구를 위해 콘텐츠 백업을 수행하므로 이전 키를 사용하여 보관된 콘텐츠가 계속 있을 수 있습니다.

E5 고객이 아닌 경우 90일 Microsoft Purview 솔루션 평가판을 사용하여 조직이 데이터 보안 및 규정 준수 요구 사항을 관리하는 데 도움이 되는 추가 Purview 기능을 살펴보세요. Microsoft Purview 규정 준수 포털 평가판 허브에서 지금 시작하세요. 등록 및 평가판 조건에 대한 세부 정보를 알아봅니다.

Microsoft Purview 고객 키에 대한 Windows 365 지원은 공개 미리 보기 상태이며 변경될 수 있습니다.

가용성 키 롤링 정보

Microsoft는 고객에게 가용성 키에 대한 직접 제어를 노출하지 않습니다. 예를 들어 Azure Key Vault 소유한 키만 롤(회전)할 수 있습니다. Microsoft 365는 내부적으로 정의된 일정에 따라 가용성 키를 롤아웃합니다. 이러한 키 롤에 대한 고객 지향 SLA(서비스 수준 계약)는 없습니다. Microsoft 365는 자동화된 프로세스에서 Microsoft 365 서비스 코드를 사용하여 가용성 키를 회전합니다. Microsoft 관리자는 롤 프로세스를 시작할 수 있습니다. 키 저장소에 직접 액세스하지 않고 자동화된 메커니즘을 사용하여 키를 압연합니다. 가용성 키 비밀 저장소에 대한 액세스는 Microsoft 관리자에게 프로비전되지 않습니다. 가용성 키 롤링은 처음에 키를 생성하는 데 사용되는 것과 동일한 메커니즘을 적용합니다. 가용성 키에 대한 자세한 내용은 가용성 키 이해를 참조하세요.

중요

Exchange Online 가용성 키는 사용자가 만드는 각 DEP에 대해 고유한 가용성 키가 생성되므로 새 DEP를 만드는 고객이 효과적으로 롤백할 수 있습니다. SharePoint, 회사 또는 학교용 Microsoft OneDrive 및 Teams 파일의 가용성 키는 포리스트 수준에 존재하며 DEP 및 고객 간에 공유됩니다. 즉, 롤링은 Microsoft 내부적으로 정의된 일정에서만 발생합니다. 새 DEP를 만들 때마다 가용성 키를 롤링하지 않는 위험을 완화하기 위해 SharePoint, OneDrive 및 Teams는 새 DEP를 만들 때마다 고객 루트 키 및 가용성 키로 래핑된 키인 TIK(테넌트 중간 키)를 롤합니다.

고객 관리 루트 키 롤링 정보

고객 관리 루트 키를 롤하는 방법에는 새 버전의 키를 요청하여 기존 키를 업데이트하고 DEP를 새로 고치거나 새로 생성된 키와 DEP를 만들고 사용하는 두 가지 방법이 있습니다. 키를 롤링하는 각 방법에 대한 지침은 다음 섹션에서 찾을 수 있습니다.

롤하려는 각 기존 루트 키의 새 버전 요청

기존 키의 새 버전을 요청하려면 원래 키를 만드는 데 사용한 구문과 키 이름과 동일한 cmdlet 인 Add-AzKeyVaultKey를 사용합니다. DEP(데이터 암호화 정책)와 연결된 키 롤링을 완료한 후 다른 cmdlet을 실행하여 기존 DEP를 새로 고쳐 고객 키가 새 키를 사용하도록 합니다. 각 AKV(Azure Key Vault)에서 이 단계를 수행합니다.

예시:

  1. Azure PowerShell 사용하여 Azure 구독에 로그인합니다. 자세한 내용은 Azure PowerShell 사용하여 로그인을 참조하세요.

  2. 다음 예제와 같이 Add-AzKeyVaultKey cmdlet을 실행합니다.

    Add-AzKeyVaultKey -VaultName Contoso-CK-EX-NA-VaultA1 -Name Contoso-CK-EX-NA-VaultA1-Key001 -Destination HSM -KeyOps @('wrapKey','unwrapKey') -NotBefore (Get-Date -Date "12/27/2016 12:01 AM")

    이 예제에서는 Contoso-CK-EX-NA-VaultA1-Key001 이라는 키가 Contoso-CK-EX-NA-VaultA1 자격 증명 모음에 있으므로 cmdlet은 새 버전의 키를 만듭니다. 이 작업은 키의 버전 기록에서 이전 키 버전을 유지합니다. 여전히 암호화하는 데이터의 암호를 해독하려면 이전 키 버전이 필요합니다. DEP와 연결된 키 롤링을 완료한 후 추가 cmdlet을 실행하여 고객 키가 새 키를 사용하기 시작하도록 합니다. 다음 섹션에서는 cmdlet에 대해 자세히 설명합니다.

    다중 워크로드 DEP에 대한 키 업데이트

    여러 워크로드에 사용되는 DEP와 연결된 Azure Key Vault 키 중 하나를 롤하는 경우 새 키를 가리키도록 DEP를 업데이트해야 합니다. 이 프로세스는 가용성 키를 회전하지 않습니다. DataEncryptionPolicyID 속성은 동일한 키의 새 버전으로 업데이트할 때 변경되지 않습니다.

    고객 키에 새 키를 사용하여 여러 워크로드를 암호화하도록 지시하려면 다음 단계를 완료합니다.

    1. 로컬 컴퓨터에서 organization 전역 관리자 또는 규정 준수 관리자 권한이 있는 회사 또는 학교 계정을 사용하여 Exchange Online PowerShell에 연결합니다.

    2. Set-M365DataAtRestEncryptionPolicy cmdlet을 실행합니다.

      Set-M365DataAtRestEncryptionPolicy -Identity <Policy>  -Refresh

      여기서 Policy 는 정책의 이름 또는 고유 ID입니다.

    Exchange Online DEP에 대한 키 업데이트

    Exchange Online 사용되는 DEP와 연결된 Azure Key Vault 키 중 하나를 롤하는 경우 새 키를 가리키도록 DEP를 업데이트해야 합니다. 이 작업은 가용성 키를 회전하지 않습니다. 사서함의 DataEncryptionPolicyID 속성은 동일한 키의 새 버전으로 업데이트할 때 변경되지 않습니다.

    고객 키에 새 키를 사용하여 사서함을 암호화하도록 지시하려면 다음 단계를 완료합니다.

    1. 로컬 컴퓨터에서 organization 전역 관리자 또는 규정 준수 관리자 권한이 있는 회사 또는 학교 계정을 사용하여 Exchange Online PowerShell에 연결합니다.

    2. Set-DataEncryptionPolicy cmdlet을 실행합니다.

        Set-DataEncryptionPolicy -Identity <Policy> -Refresh

      여기서 Policy 는 정책의 이름 또는 고유 ID입니다.

DEP에 새로 생성된 키 사용

기존 키를 업데이트하는 대신 새로 생성된 키를 사용하도록 선택하는 경우 데이터 암호화 정책을 업데이트하는 프로세스는 다릅니다. 기존 정책을 새로 고치는 대신 새 키에 맞게 조정된 새 데이터 암호화 정책을 만들고 할당해야 합니다.

  1. 새 키를 만들고 키 자격 증명 모음에 추가하려면 키를 만들거나 가져와서 각 키 자격 증명 모음에 키 추가에 있는 지침을 따릅니다.

  2. 키 자격 증명 모음에 추가되면 새로 만든 키의 키 URI를 사용하여 데이터 암호화 정책을 만들어야 합니다. 데이터 암호화 정책 만들기 및 할당에 대한 지침은 Microsoft 365용 고객 키 관리에서 찾을 수 있습니다.

SharePoint, 회사 또는 학교용 OneDrive 및 Teams 파일의 키 업데이트

SharePoint를 사용하면 한 번에 하나의 키만 롤할 수 있습니다. 키 자격 증명 모음에서 두 키를 모두 롤하려면 첫 번째 작업이 완료되기를 기다립니다. 이 문제를 방지하기 위해 작업을 엇갈리게 하는 것이 좋습니다. SharePoint 및 회사 또는 학교용 OneDrive에 사용되는 DEP와 연결된 Azure Key Vault 키 중 하나를 롤하는 경우 새 키를 가리키도록 DEP를 업데이트해야 합니다. 이 작업은 가용성 키를 회전하지 않습니다.

  1. 다음과 같이 Update-SPODataEncryptionPolicy cmdlet을 실행합니다.

    Update-SPODataEncryptionPolicy  <SPOAdminSiteUrl> -KeyVaultName <ReplacementKeyVaultName> -KeyName <ReplacementKeyName> -KeyVersion <ReplacementKeyVersion> -KeyType <Primary | Secondary>

    이 cmdlet은 회사 또는 학교용 SharePoint 및 OneDrive에 대한 키 롤 작업을 시작하지만 작업이 즉시 완료되지는 않습니다.

  2. 키 롤 작업의 진행률을 보려면 다음과 같이 Get-SPODataEncryptionPolicy cmdlet을 실행합니다.

    Get-SPODataEncryptionPolicy <SPOAdminSiteUrl>