Azure IoT Hub Device Provisioning Service에서 디바이스 등록을 해제하거나 철회하는 방법

  • 아티클

IoT 솔루션과 같이 세간의 이목을 끄는 프로필 시스템에서는 적절한 디바이스 자격 증명 관리가 매우 중요합니다. 이러한 시스템에 대해서는 SAS(공유 액세스 서명) 토큰 또는 X.509 인증서 등, 자격 증명이 손상될 수 있는 경우 디바이스 액세스를 취소하는 방법을 명확하게 계획하는 것이 가장 좋습니다.

Device Provisioning Service에 등록하면 디바이스가 프로비저닝될 수 있습니다. 프로비전된 디바이스는 IoT Hub에 등록된 디바이스로, 초기 디바이스 쌍 상태를 수신하고 원격 분석 데이터 보고를 시작할 수 있습니다.

이 문서에서는 프로비저닝 서비스 인스턴스에서 디바이스를 철회하여 앞으로 프로비전되지 못하게 하는 방법을 설명합니다. 개별 등록 또는 등록 그룹을 사용하지 않도록 설정해도 IoT Hub에서 기존 디바이스 등록이 제거되지 않습니다. IoT 허브에 이미 프로비전된 디바이스의 프로비전을 해제하는 방법을 알아보려면 프로비전 해제 관리를 참조하세요.

개별 등록을 사용하여 디바이스를 허용하지 않음

디바이스가 Device Provisioning Service를 통해 프로비전되는 것을 허용하지 않으려면 개별 등록의 프로비전 상태를 변경하여 디바이스가 프로비전 및 다시 프로비전되지 않도록 할 수 있습니다. 디바이스가 정상 매개 변수를 벗어나 작동하거나 손상된 것으로 간주되는 경우 또는 디바이스의 프로비저닝 재시도 메커니즘을 테스트하는 방법으로 이 기능을 활용할 수 있습니다.

허용하지 않으려는 디바이스가 등록 그룹을 통해 프로비전된 경우 X.509 등록 그룹에서 특정 디바이스를 허용하지 않음 단계를 참조하세요.

참고 항목

액세스를 취소한 디바이스의 다시 시도 정책을 알고 있어야 합니다. 예를 들어 무제한 다시 시도 정책이 적용된 디바이스는 지속적으로 프로비전 서비스 등록을 시도할 수 있습니다. 이러한 상황은 서비스 작업 할당량과 같은 서비스 리소스를 소비하며 성능에 영향을 줄 수 있습니다.

  1. Azure Portal에 로그인하고, Device Provisioning Service 인스턴스로 이동합니다.

  2. 등록 관리를 선택하고 개별 등록 탭을 선택합니다.

  3. 허용하지 않으려는 디바이스의 등록 항목을 선택합니다.

  4. 등록 세부 정보 페이지에서 프로비전 상태 섹션의 이 등록 사용 확인란을 선택 취소한 다음 저장을 선택합니다.

    포털에서 개별 등록 사용하지 않도록 설정을 보여 주는 스크린샷.

IoT 디바이스가 디바이스 수명 주기의 끝에 있고 더 이상 IoT 솔루션에 프로비전할 수 없으면 Device Provisioning Service에서 디바이스 등록을 제거해야 합니다.

  1. 프로비전 서비스에서 등록 관리를 클릭한 후 개별 등록 탭을 선택합니다.

  2. 허용하지 않으려는 디바이스의 등록 항목 옆에 있는 확인란을 선택합니다.

  3. 창 위쪽에서 삭제를 선택한 다음, 를 선택하여 등록을 제거할 것인지 확인합니다.

    포털에서 개별 등록 삭제를 보여 주는 스크린샷.

등록 그룹을 사용하여 X.509 중간 또는 루트 CA 인증서 허용 안 함

X.509 인증서는 일반적으로 신뢰할 수 있는 인증서 체인에 정렬됩니다. 체인의 어느 단계에서 인증서가 손상되면 트러스트가 끊어집니다. 디바이스 프로비저닝 서비스가 해당 인증서를 포함하는 모든 체인에서 디바이스 다운스트림을 프로비저닝하지 않도록 해당 인증서를 허용하지 않아야 합니다. X.509 인증서 및 프로비전 서비스를 통해 사용되는 방법에 대한 자세한 내용은 X.509 인증서를 참조하세요.

등록 그룹은 동일한 중간 또는 루트 CA에서 서명한 X.509 인증서의 일반적인 증명 메커니즘을 공유하는 디바이스에 대한 항목입니다. 등록 그룹 항목은 중간 또는 루트 CA와 연결된 X.509 인증서로 구성됩니다. 또한 해당 인증서가 인증서 체인에 있는 디바이스에서 공유하는 모든 구성 값(예: 쌍 상태 및 IoT 허브 연결)으로 구성됩니다. 인증서를 허용하지 않기 위해 등록 그룹을 사용하지 않도록 설정하거나 삭제할 수 있습니다.

해당 등록 그룹을 사용하지 않도록 설정하여 인증서를 일시적으로 허용하지 않으려면 다음을 수행합니다.

  1. Azure Portal에 로그인하고, Device Provisioning Service 인스턴스로 이동합니다.

  2. 프로비전 서비스에서 등록 관리를 선택한 후 등록 그룹 탭을 선택합니다.

  3. 허용하지 않으려는 인증서를 사용하는 등록 그룹을 선택합니다.

  4. 등록 세부 정보 페이지에서 프로비전 상태 섹션의 이 등록 사용 확인란을 선택 취소한 다음 저장을 선택합니다.

    포털에서 등록 그룹 항목 사용 해제

해당 등록 그룹을 삭제하여 인증서를 영구적으로 허용하지 않으려면 다음을 수행합니다.

  1. 프로비전 서비스에서 등록 관리를 선택한 후 등록 그룹 탭을 선택합니다.

  2. 허용하지 않으려는 인증서의 등록 그룹 옆에 있는 확인란을 선택합니다.

  3. 창 위쪽에서 삭제를 선택한 다음, 를 선택하여 등록 그룹을 제거할 것인지 확인합니다.

    포털에서 등록 그룹 항목 삭제

절차가 완료되면 등록 그룹 목록에서 항목이 제거되어야 합니다.

참고 항목

인증서에 대한 등록 그룹을 삭제할 때 해당 인증서 체인에서 루트 인증서 또는 더 높은 수준의 다른 중간 인증서에 대해 사용하도록 설정된 등록 그룹이 있으면 이 인증서 체인에 해당 인증서가 있는 디바이스는 계속 등록할 수 있습니다.

참고 항목

등록 그룹을 삭제해도 그룹의 디바이스에 대한 등록 레코드는 삭제되지 않습니다. DPS는 등록 레코드를 사용하여 DPS 인스턴스에 대한 최대 등록 수에 도달했는지 여부를 확인합니다. 분리된 등록 레코드는 여전히 이 할당량에 포함됩니다. DPS 인스턴스에 대해 지원되는 현재 최대 등록 수는 할당량 및 제한을 참조하세요.

등록 그룹 자체를 삭제하기 전에 등록 그룹에 대한 등록 레코드를 삭제할 수 있습니다. Azure Portal의 그룹에 대한 등록 레코드 탭에서 등록 그룹의 등록 상태를 수동으로 보고 관리할 수 있습니다. 디바이스 등록 상태 REST API를 사용하거나, DPS 서비스 SDK에서 동등한 API를 사용하거나, az iot dps enrollment-group registration Azure CLI 명령을 사용하여 프로그래밍 방식으로 등록 레코드를 검색하고 관리할 수 있습니다.

X.509 등록 그룹의 특정 디바이스를 허용하지 않음

등록 해지하려는 등록 그룹을 통해 프로비전된 디바이스가 있는 경우 해당 디바이스에 대해서만 사용하지 않도록 설정된 개별 등록을 만들면 됩니다. 디바이스가 Device Provisioning Service에 연결되고 인증되면 서비스는 먼저 등록 ID가 일치하는 개별 등록을 찾습니다. 디바이스에 대한 개별 등록이 없는 경우에만 서비스가 등록 그룹을 검색합니다.

등록 그룹의 개별 디바이스를 허용하지 않으려면 다음 단계를 수행합니다.

  1. Azure Portal에 로그인하고, Device Provisioning Service 인스턴스로 이동합니다.

  2. 프로비전 서비스에서 등록 관리를 클릭한 후 개별 등록 탭을 선택합니다.

  3. 개별 등록 추가를 선택합니다.

  4. 디바이스(최종 엔터티) 인증서가 있는지에 따라 적절한 단계를 수행합니다.

    • 디바이스 인증서가 있는 경우 등록 추가 페이지에서 다음 값을 제공합니다.

      필드 설명
      증명 메커니즘 X.509 클라이언트 인증서 선택
      기본 인증서 파일 디바이스 인증서를 업로드합니다. 인증서의 경우에는 디바이스에 설치된 서명된 최종 엔터티 인증서를 사용합니다. 디바이스는 서명된 최종 엔터티 인증서를 인증에 사용합니다.

    • 디바이스 인증서가 없는 경우 등록 추가 페이지에서 다음 값을 제공합니다.

      필드 설명
      증명 메커니즘 대칭 키 선택
      대칭 키를 자동으로 생성 : 이 확인란이 선택되어 있는지 확인합니다. 이 시나리오에서는 키가 중요하지 않습니다.
      등록 ID 디바이스가 이미 프로비전된 경우 해당 IoT Hub 디바이스 ID를 사용합니다. 등록 그룹의 등록 레코드 또는 디바이스가 프로비전된 IoT 허브에서 이 항목을 찾을 수 있습니다. 디바이스가 아직 프로비전되지 않은 경우 디바이스 인증서 CN을 입력합니다. (이 후자의 경우 디바이스 인증서가 필요하지 않지만 CN을 알아야 합니다.)

  5. 등록 추가 페이지 하단으로 스크롤하고 이 등록 사용 확인란의 선택을 취소합니다.

  6. 검토 + 생성를 선택한 다음, 생성를 선택합니다.

등록을 성공적으로 만들면 개별 등록 탭에 나열된 사용하지 않도록 설정된 디바이스 등록을 확인할 수 있습니다.

다음 단계

등록 해제는 대규모 프로비전 해제 프로세스의 일부이기도 합니다. 디바이스 프로비전 해제에는 프로비전 서비스에서의 등록 해제와 IoT Hub에서의 등록 취소가 둘 다 포함됩니다. 전체 프로세스에 대한 자세한 내용은 이전에 프로비전된 디바이스의 프로비전을 해제하는 방법을 참조하세요.