Azure Elastic SAN에 대한 고객 관리형 키 관리

아티클
06/01/2024

Elastic SAN 볼륨에 기록된 모든 데이터는 DEK(데이터 암호화 키)를 사용하여 미사용 시 자동으로 암호화됩니다. Azure DEK는 항상 플랫폼 관리형(Microsoft에서 관리)입니다. Azure는 봉투 암호화를 사용합니다( 래핑이라고도 함). 여기에는 KEK(키 암호화 키)를 사용하여 DEK를 암호화하는 작업이 포함됩니다. 기본적으로 KEK는 플랫폼에서 관리하지만, 직접 KEK를 생성하고 관리할 수도 있습니다. 고객 관리형 키 액세스 제어를 보다 유연하게 관리할 수 있으며 조직의 보안 및 규정 준수 요구 사항을 충족하는 데 도움이 될 수 있습니다.

다음을 포함하여 키 암호화 키의 모든 측면을 제어할 수 있습니다.

사용되는 키
키가 저장되는 위치
키를 회전하는 방법
고객 관리형 키와 플랫폼 관리형 키 간에 전환할 수 있는 기능

이 문서에서는 고객 관리형 KEK를 관리하는 방법을 설명합니다.

참고 항목

봉투 암호화를 사용하면 Elastic SAN 볼륨에 영향을 주지 않고 키 구성을 변경할 수 있습니다. 변경하면 Elastic SAN 서비스는 새 키로 데이터 암호화 키를 다시 암호화합니다. 데이터 암호화 키의 보호는 변경되지만 Elastic SAN 볼륨의 데이터는 항상 암호화된 상태로 유지됩니다. 데이터를 보호하기 위해 취해야 할 추가 조치는 없습니다. 키 구성을 변경해도 성능에 영향을 주지 않으며 이러한 변경과 관련된 가동 중지 시간은 없습니다.

제한 사항

다음 목록에는 현재 Elastic SAN을 사용할 수 있는 지역과 ZRS(영역 중복 스토리지)와 LRS(로컬 중복 스토리지)를 모두 지원하거나 LRS만 지원하는 지역이 포함되어 있습니다.

남아프리카 공화국 북부 - LRS
동아시아 - LRS
동남 아시아 - LRS
브라질 남부 - LRS
캐나다 중부 - LRS
프랑스 중부 - LRS 및 ZRS
독일 중서부 - LRS
오스트레일리아 동부 - LRS
북유럽 - LRS 및 ZRS
서유럽 - LRS 및 ZRS
영국 남부 - LRS
일본 동부 - LRS
한국 중부 - LRS
미국 중부 - LRS
미국 동부 - LRS
미국 중남부 - LRS
미국 동부 2 - LRS
미국 서부 2 - LRS 및 ZRS
미국 서부 3 - LRS
스웨덴 중부 - LRS
스위스 북부 - LRS
노르웨이 동부 - LRS
아랍에미리트 북부 - LRS
인도 중부 - LRS

키 변경

Azure Elastic SAN 암호화에 사용하는 키는 언제든지 변경할 수 있습니다.

PowerShell
Azure CLI

PowerShell을 사용하여 키를 변경하려면 Update-AzElasticSanVolumeGroup을 호출하고 새 키 이름과 버전을 입력합니다. 새 키가 다른 키 자격 증명 모음에 있으면 키 자격 증명 모음 URI도 업데이트해야 합니다.

새 키가 다른 키 자격 증명 모음에 있는 경우 관리 ID에 새 자격 증명 모음의 키에 대한 액세스 권한을 부여해야 합니다. 키 버전을 수동 업데이트하도록 선택하는 경우 키 자격 증명 모음 URI도 업데이트해야 합니다.

키 버전 업데이트

암호화 모범 사례를 따르는 것은 일반적으로 최소 2년마다 정기적으로 Elastic SAN 볼륨 그룹을 보호하는 키를 회전하는 것을 의미합니다. Azure Elastic SAN은 키 자격 증명 모음의 키를 수정하지 않지만 규정 준수 요구 사항에 따라 키를 회전하도록 키 회전 정책을 구성할 수 있습니다. 자세한 내용은 Azure Key Vault에서 암호화 키 자동 회전 구성을 참조하세요.

키 자격 증명 모음에서 키를 회전한 후에는 새 키 버전을 사용하도록 Elastic SAN 볼륨 그룹에 대한 고객 관리형 KEK 구성을 업데이트해야 합니다. 고객 관리형 키는 KEK 버전의 자동 업데이트와 수동 업데이트를 모두 지원합니다. 고객 관리형 키를 처음 구성할 때 또는 구성을 업데이트할 때 사용할 방법을 결정할 수 있습니다.

키 또는 키 버전을 수정하면 루트 암호화 키의 보호가 변경되지만 Azure Elastic SAN 볼륨 그룹의 데이터는 항상 암호화된 상태로 유지됩니다. 데이터를 보호하기 위해 사용자가 별도로 수행해야 할 작업은 없습니다. 키 버전을 회전해도 성능에 영향을 주지 않으며 키 버전 회전과 관련된 가동 중지 시간이 없습니다.

Important

키를 회전하려면 규정 준수 요구 사항에 따라 키 자격 증명 모음에 새 버전의 키를 만듭니다. Azure Elastic SAN은 키 회전을 처리하지 않으므로 키 자격 증명 모음에서 키 회전을 관리해야 합니다.

고객 관리형 키에 사용되는 키를 회전하는 경우 해당 작업은 현재 Azure Elastic SAN에 대한 Azure Monitor 로그에 기록되지 않습니다.

자동으로 키 버전 업데이트

새 버전을 사용할 수 있을 때 고객 관리형 키를 자동으로 업데이트하려면 Elastic SAN 볼륨 그룹AN에 고객 관리형 키로 암호화를 사용하도록 설정할 때 키 버전을 생략합니다. 키 버전을 생략하면 Azure Elastic SAN이 매일 Key Vault에서 새 버전의 고객 관리 키를 확인합니다. 새 키 버전을 사용할 수 있는 경우 Azure Elastic SAN은 자동으로 최신 버전의 키를 사용합니다.

Azure Elastic SAN은 키 자격 증명 모음에서 새 키 버전을 매일 한 번만 확인합니다. 키를 회전하는 경우 이전 버전을 사용하지 않도록 설정할 때까지 24시간 동안 기다려야 합니다.

Elastic SAN 볼륨 그룹이 이전에 키 버전을 수동으로 업데이트하도록 구성된 경우 자동으로 업데이트하도록 구성을 변경하려면 명시적으로 키 버전을 빈 문자열로 변경해야 할 수 있습니다. 이 작업을 수행하는 방법에 대한 자세한 내용은 수동 키 버전 회전을 참조하세요.

수동으로 키 버전 업데이트

Azure Elastic SAN 암호화에 특정 버전의 키를 사용하려면 Elastic SAN 볼륨 그룹에 고객 관리형 키로 암호화를 사용하도록 설정할 때 해당 키 버전을 지정합니다. 키 버전을 지정하면 키 버전을 수동으로 업데이트할 때까지 Azure Elastic SAN에서 해당 버전을 암호화에 사용합니다.

키 버전이 명시적으로 지정된 경우 새 버전을 만들 때 새 키 버전 URI를 사용하도록 Elastic SAN 볼륨 그룹을 수동으로 업데이트해야 합니다. 새 버전의 키를 사용하도록 Elastic SAN 볼륨 그룹을 업데이트하는 방법을 알아보려면 Azure Key Vault에 저장된 고객 관리형 키를 사용하여 암호화 구성을 참조하세요.

고객 관리형 키를 사용하는 볼륨 그룹에 대한 액세스 권한 철회

고객 관리형 키를 사용하는 Elastic SAN 볼륨 그룹에 대한 액세스 권한을 일시적으로 철회하려면 키 자격 증명 모음에서 현재 사용되는 키를 사용하지 않도록 설정합니다. 키를 사용하지 않도록 설정했다가 다시 사용하도록 설정하는 일과 관련하여 나타나는 성능상의 영향이나 가동 중지 시간은 없습니다.

키를 사용하지 않도록 설정한 후에는 클라이언트가 볼륨 그룹 또는 해당 메타데이터의 볼륨에서 읽거나 쓰는 작업을 호출할 수 없습니다.

주의

Key Vault에서 키를 사용하지 않도록 설정하면 Azure Elastic SAN 볼륨 그룹의 데이터가 암호화된 상태로 유지되지만, 키를 다시 사용하도록 설정할 때까지 액세스할 수 없게 됩니다.

PowerShell
Azure CLI

PowerShell을 사용하여 고객 관리형 키를 철회하려면 다음 예제와 같이 Update-AzKeyVaultKey 명령을 호출합니다. 대괄호 안의 자리 표시자 값을 사용자 고유의 값으로 바꿔 변수를 정의하거나, 이전 예제에서 정의한 변수를 사용해야 합니다.

$KvName  = "<key-vault-name>"
$KeyName = "<key-name>"
$enabled = $false
# $false to disable the key / $true to enable it

# Check the current state of the key (before and after enabling/disabling it)
Get-AzKeyVaultKey -Name $KeyName -VaultName $KvName

# Disable (or enable) the key
Update-AzKeyVaultKey -VaultName $KvName -Name $KeyName -Enable $enabled

Azure CLI를 사용하여 고객 관리형 키를 철회하려면 다음 예제와 같이 az keyvault key set-attributes 명령을 호출합니다. 자리 표시자 값을 사용자 고유의 값으로 바꿔 변수를 정의하거나, 이전 예제에서 정의한 변수를 사용해야 합니다.

KvName="key-vault-name"
KeyName="key-name"
enabled="false"
# "false" to disable the key / "true" to enable it:

# Check the current state of the key (before and after enabling/disabling it)
az keyvault key show \
    --vault-name $KvName \
    --name $KeyName

# Disable (or enable) the key
az keyvault key set-attributes \
    --vault-name $KvName \
    --name $KeyName \
    --enabled $enabled

플랫폼 관리형 키로 다시 전환

Azure PowerShell 모듈 또는 Azure CLI를 사용하여 언제든지 고객 관리형 키에서 플랫폼 관리형 키로 다시 전환할 수 있습니다.

PowerShell
Azure CLI

PowerShell을 사용하여 고객 관리형 키에서 ㅍ플랫폼 관리형 키로 다시 전환하려면 다음 예와 같이 -Encryption 옵션을 사용하여 Update-AzElasticSanVolumeGroup을 호출합니다. 자리 표시자 값을 사용자 고유의 값으로 바꾸고 위의 예제에 정의된 변수를 사용해야 합니다.

Update-AzElasticSanVolumeGroup -ResourceGroupName "ResourceGroupName" -ElasticSanName "ElasticSanName" -Name "ElasticSanVolumeGroupName" -Encryption EncryptionAtRestWithPlatformKey

Azure CLI를 사용하여 고객 관리형 키에서 플랫폼 관리형 키로 다시 전환하려면 다음 예제와 같이 az elastic-san volume-group update를 호출하고 --encryption 매개 변수를 EncryptionAtRestWithPlatformKey(으)로 설정합니다. 모든 자리 표시자 텍스트를 사용자 고유의 값으로 바꾼 다음, 다음 명령을 실행합니다.

az elastic-san volume-group update \
    --elastic-san-name <ElasticSanName> \
    --name <ElasticSanVolumeGroupName> \
    --resource-group <ResourceGroupName> \
    --encryption EncryptionAtRestWithPlatformKey

참고 항목

Azure Key Vault를 사용하여 Azure Elastic SAN에 대한 고객 관리형 키 구성

다음을 통해 공유

Azure Elastic SAN에 대한 고객 관리형 키 관리

제한 사항

키 변경

키 버전 업데이트

자동으로 키 버전 업데이트

수동으로 키 버전 업데이트

고객 관리형 키를 사용하는 볼륨 그룹에 대한 액세스 권한 철회

플랫폼 관리형 키로 다시 전환

참고 항목

피드백

추가 리소스