Azure Data Box 디바이스는 원치 않는 침입을 방지하기 위해 암호로 보호됩니다. 이 암호는 공식적으로 디바이스 잠금 해제 키로 알려져 있으며 암호화 키를 사용하여 보호됩니다. 기본적으로 암호화 키는 Microsoft에서 관리하는 키입니다. 더욱 직접적인 제어를 위해 직접 관리되는 키를 제공할 수 있습니다.
고객 관리형 키를 사용하는 경우, 디바이스 잠금 해제 키가 암호화되는 방식에만 영향을 미칩니다. 이는 디바이스에 저장된 데이터가 암호화되는 방식에는 영향을 미치지 않습니다.
순서 프로세스 전체에서 이 제어 수준을 유지하려면 주문을 만들 때 고객 관리형 키를 사용합니다. 자세한 내용은 자습서: Azure Data Box 주문을 참조하세요.
이 문서에서는 Azure Portal을 통해 기존 Azure Data Box 주문과 함께 고객 관리형 키를 사용하는 방법을 설명합니다. 이 문서는 Azure Data Box, Data Box Next-gen 및 Data Box Heavy 디바이스에 적용됩니다.
요구 사항
Data Box 순서의 고객 관리형 키는 다음 요구 사항을 충족해야 합니다.
- 키는 2,048비트 이상의 RSA 키여야 합니다.
- 키는 일시 삭제 및 제거 안 함 동작이 사용하도록 설정된 Azure Key Vault에 만들어져 저장되어야 합니다. 주문을 만들거나 업데이트하는 동안 키 자격 증명 모음 및 키를 만들 수 있습니다. 자세한 내용은 Azure Key Vault란?을 참조하세요.
- 키에 대한
Get,UnwrapKey및WrapKey권한은 연결된 Azure Key Vault에서 사용하도록 설정되어야 합니다. 사용 권한은 주문 수명 동안 그대로 유지되어야 합니다. 이러한 권한을 수정하면 데이터 복사 프로세스 중에 고객 관리형 키에 액세스할 수 없습니다.
키 사용
Azure Portal의 기존 Data Box 주문에 대해 고객 관리형 키를 사용하도록 설정하려면 다음 단계를 수행합니다.
Data Box 주문에 대한 개요 페이지로 이동합니다.
설정 그룹에서 암호화를 선택합니다. 암호화 형식 창에서 고객 관리형 키 옵션을 선택합니다. 다음으로, 키 및 키 자격 증명 모음 선택을 선택하여 Azure Key Vault에서 키 선택 페이지를 엽니다.
Azure Key Vault에서 키 선택 페이지가 열리고 구독이 드롭다운 목록에 자동으로 채워집니다. 키 자격 증명 모음 드롭다운 목록에서 기존 키 자격 증명 모음을 선택하거나 새로 만들기를 선택하여 새 키 자격 증명 모음을 만듭니다.
새 키 자격 증명 모음을 만들려면 해당 구독 및 리소스 그룹 드롭다운 목록에서 구독 및 리소스 그룹을 선택합니다. 또는 리소스 그룹 옵션을 채우는 대신 새로 만들기를 선택하여 새 리소스 그룹을 만들 수 있습니다.
키 자격 증명 모음 이름, 지역 및 가격 책정 계층 드롭다운 목록에 대해 원하는 값을 선택합니다. 복구 옵션 그룹에서 일시 삭제 및 제거 방지가 사용하도록 설정되어 있는지 확인합니다. 삭제된 자격 증명 모음 보존 기간 필드에 값을 입력한 다음 검토 + 만들기를 선택합니다.
키 자격 증명 모음에 대한 정보를 검토한 후 만들기를 선택합니다. 키 자격 증명 모음 만들기가 완료되었다는 알림이 전송되었습니다.
Azure Key Vault 키 선택 화면에서 키 자격 증명 모음에서 기존 키를 선택하거나 새 키를 만들 수 있습니다.
새 키를 만들려면 새로 만들기를 선택합니다. 2,048비트 이상의 RSA 키를 사용해야 합니다.
키 이름을 입력하고 나머지는 기본값을 적용한 후 만들기를 선택합니다. 키 자격 증명 모음 내에 키가 만들어졌다는 알림이 전송되었습니다.
버전의 경우, 드롭다운 목록에서 기존 키 버전을 선택할 수 있습니다.
새 키 버전을 만들려면 새로 만들기를 선택합니다.
새 키 버전에 대한 설정을 선택하고,만들기를 선택합니다.
키 자격 증명 모음, 키, 키 버전을 선택한 후 선택을 선택합니다.
암호화 유형 설정은 선택한 키 자격 증명 모음 및 키를 표시합니다.
이 리소스에 대한 고객 관리형 키를 관리하는 데 사용할 ID 유형을 선택합니다. 주문 생성 중에 생성된 시스템 할당 ID를 사용하거나 사용자 할당 ID를 선택할 수 있습니다.
사용자 할당 ID는 리소스에 대한 액세스를 관리하는 데 사용할 수 있는 독립 리소스입니다. 자세한 내용은 관리 ID 유형을 참조하세요.
사용자 ID를 할당하려면 사용자 할당을 선택합니다. 그런 다음, 사용자 ID 선택을 선택하고 사용할 관리 ID를 선택합니다.
여기서는 새 사용자 ID를 만들 수 없습니다. 만드는 방법을 알아보려면 Azure Portal을 사용하여 사용자 할당 관리 ID에 역할 만들기, 나열, 삭제 또는 할당을 참조하세요.
암호화 유형 설정에 표시된 선택한 사용자 ID
저장을 선택하여 업데이트된 암호화 유형 설정을 저장합니다.
키 URL은 암호화 유형아래에 표시됩니다.
중요
키에 대한 Get, UnwrapKey 및 WrapKey 권한을 사용하도록 설정해야 합니다. Azure CLI에서 권한을 설정하려면 az keyvault set-policy를 참조하세요.
키 변경
현재 사용 중인 고객 관리형 키의 키 자격 증명 모음, 키 및 키 버전을 변경하려면 다음 단계를 따릅니다.
Data Box 주문의 개요 화면에서 설정>암호화로 이동한 다음 키 변경을 선택합니다.
다른 키 자격 증명 모음 및 키를 선택합니다.
키 자격 증명 모음에서 키 선택 화면은 구독을 표시하지만 주요 자격 증명 모음, 키 또는 키 버전은 표시하지 않습니다. 다음과 같은 변경 작업을 수행할 수 있습니다.
동일한 키 자격 증명 모음에서 다른 키를 선택합니다. 키와 버전을 선택하기 전에 키 자격 증명 모음을 선택합니다.
다른 키 자격 증명 모음을 선택하고 새 키를 할당합니다.
현재 키에 대한 버전을 변경합니다.
변경을 완료한 후 선택을 선택합니다.
저장을 선택합니다.
중요
키에 대한 Get, UnwrapKey 및 WrapKey 권한을 사용하도록 설정해야 합니다. Azure CLI에서 권한을 설정하려면 az keyvault set-policy를 참조하세요.
ID 변경
이 주문에 대한 고객 관리형 키에 대한 액세스를 관리하는 ID를 업데이트하려면 다음 단계를 따릅니다.
완료 된 Data Box 순서의 개요 화면에서 설정>암호화로 이동합니다.
다음 중 하나를 변경합니다.
다른 사용자 ID로 변경하려면 다른 사용자 ID 선택을 선택합니다. 그런 다음 화면 오른쪽의 패널에서 다른 ID를 선택 하 고 선택을 선택합니다.
주문 생성 중에 생성된 시스템 할당 ID로 전환하려면 시스템에 할당 된 ID를 ID 유형 선택을 선택하여 선택합니다.
저장을 선택합니다.
Microsoft 관리 키 사용
고객 관리형 키 사용에서 주문에 대한 Microsoft 관리형 키로 변경하려면 다음 단계를 수행합니다.
완료 된 Data Box 순서의 개요 화면에서 설정>암호화로 이동합니다.
형식을 선택하여 Microsoft 관리형 키를 선택합니다.
저장을 선택합니다.
오류 문제 해결
고객 관리형 키와 관련된 오류가 발생하면 다음 표를 사용하여 문제를 해결하세요.
| 오류 코드 | 오류 세부 정보 | 해결 방법 |
|---|---|---|
| SsemUserErrorEncryptionKeyDisabled | 암호를 가져올 수 없습니다. 고객 관리형 키가 사용하지 않도록 설정되어 있습니다. | 키 버전을 사용하도록 설정합니다. |
| SsemUserErrorEncryptionKeyExpired | 암호를 가져올 수 없습니다. 고객 관리형 키가 만료되었습니다. | 키 버전을 사용하도록 설정합니다. |
| SsemUserErrorKeyDetailsNotFound | 암호를 가져올 수 없습니다. 고객 관리형 키를 찾을 수 없습니다. | 키 자격 증명 모음이 삭제된 경우:
키 자격 증명 모음이 테넌트 마이그레이션을 거친 경우 다음 방법 중 하나를 사용하여 복구할 수 있습니다.
|
| SsemUserErrorKeyVaultBadRequestException | 고객 관리형 키를 적용했지만 키 액세스가 허가되지 않았거나 철회되었거나 방화벽이 사용하도록 설정되어 키 자격 증명 모음에 액세스할 수 없습니다. | 고객 관리형 키에 대한 액세스를 사용하도록 설정하려면 선택한 ID를 키 자격 증명 모음에 추가합니다. 키 자격 증명 모음에서 방화벽을 사용하도록 설정한 경우 시스템 할당 ID로 전환한 다음, 고객 관리형 키를 추가합니다. 자세한 내용은 키를 사용하도록 설정하는 방법을 참조하세요. |
| SsemUserErrorKeyVaultDetailsNotFound | 고객 관리형 키에 대한 연관된 키 자격 증명 모음을 찾을 수 없으므로 암호를 가져올 수 없습니다. | 키 자격 증명 모음을 삭제한 경우 고객 관리형 키를 복구할 수 없습니다. 키 자격 증명 모음을 다른 테넌트로 마이그레이션한 경우 구독 이동 후 키 자격 증명 모음 테넌트 ID 변경을 참조하세요. 키 자격 증명 모음을 삭제한 경우:
또는 키 자격 증명 모음이 다른 테넌트로 마이그레이션된 경우 아래 단계 중 하나를 사용하여 복구할 수 있습니다.
|
| SsemUserErrorSystemAssignedIdentityAbsent | 고객 관리형 키를 찾을 수 없으므로 암호를 가져올 수 없습니다. | 예, 다음 사항을 확인하세요.
|
| SsemUserErrorUserAssignedLimitReached | 추가할 수 있는 사용자 할당 ID의 총 수 제한에 도달하여 새 사용자 할당 ID를 추가하지 못했습니다. | 사용자 ID가 적을 때 작업을 다시 시도하거나 리소스에서 일부 사용자 할당 ID를 제거한 후 다시 시도합니다. |
| SsemUserErrorCrossTenantIdentityAccessForbidden | 관리 ID 액세스 작업이 실패했습니다. 참고: 이 오류는 구독이 다른 테넌트로 이동되면 발생할 수 있습니다. 고객은 ID를 새 테넌트로 수동으로 이동해야 합니다. |
고객 관리형 키에 액세스할 수 있도록 키 자격 증명 모음에 다른 사용자 할당 ID를 추가해 보세요. 또는 ID를 구독이 있는 새 테넌트로 이동합니다. 자세한 내용은 키를 사용하도록 설정하는 방법을 참조하세요. |
| SsemUserErrorKekUserIdentityNotFound | 고객 관리형 키를 적용했지만 해당 키에 대한 액세스 권한이 있는 사용자 할당 ID를 active directory에서 찾을 수 없습니다. 참고: 이 오류는 Azure에서 사용자 ID를 삭제할 때 발생할 수 있습니다. |
고객 관리형 키에 액세스할 수 있도록 키 자격 증명 모음에 다른 사용자 할당 ID를 추가해 보세요. 자세한 내용은 키를 사용하도록 설정하는 방법을 참조하세요. |
| SsemUserErrorUserAssignedIdentityAbsent | 고객 관리형 키를 찾을 수 없으므로 암호를 가져올 수 없습니다. | 고객 관리형 키에 액세스할 수 없습니다. 키와 연결된 UAI(사용자 할당 ID)가 삭제되었거나 UAI 유형이 변경되었습니다. |
| SsemUserErrorKeyVaultBadRequestException | 고객 관리형 키를 적용했지만 키 액세스 권한이 부여되지 않았거나 취소되었거나 방화벽이 활성화되어 키 자격 증명 모음에 액세스할 수 없습니다. | 고객 관리형 키에 대한 액세스를 사용하도록 설정하려면 선택한 ID를 키 자격 증명 모음에 추가합니다. 키 자격 증명 모음에서 방화벽을 사용하도록 설정한 경우 시스템 할당 ID로 전환한 다음, 고객 관리형 키를 추가합니다. 자세한 내용은 키를 사용하도록 설정하는 방법을 참조하세요. |
| SsemUserErrorEncryptionKeyTypeNotSupported | 작업에 암호화 키 유형이 지원되지 않습니다. | 키에서 지원되는 암호화 유형을 사용하도록 설정합니다(예: RSA 또는 RSA-HSM). 자세한 내용은 키 유형, 알고리즘 및 작업을 참조하세요. |
| SsemUserErrorSoftDeleteAndPurgeProtectionNotEnabled | 키 자격 증명 모음에는 일시 삭제 또는 제거 방지가 사용하도록 설정되어 있지 않습니다. | 키 자격 증명 모음에서 일시 삭제 및 제거 방지를 모두 사용하도록 설정해야 합니다. |
| SsemUserErrorInvalidKeyVaultUrl (명령줄에만 해당) |
잘못된 키 자격 증명 모음 URI가 사용되었습니다. | 올바른 키 자격 증명 모음 URI를 가져옵니다. 키 자격 증명 모음 URI를 얻으려면 PowerShell에서 Get-AzKeyVault를 사용합니다. |
| SsemUserErrorKeyVaultUrlWithInvalidScheme | 키 자격 증명 모음 URI를 전달하는 데는 HTTPS만 지원됩니다. | HTTPS를 통해 키 자격 증명 모음 URI를 전달합니다. |
| SsemUserErrorKeyVaultUrlInvalidHost | 키 자격 증명 모음 URI 호스트는 해당 지역에서 허용되는 호스트가 아닙니다. | 퍼블릭 클라우드에서 키 자격 증명 모음 URI는 vault.azure.net으로 끝나야 합니다. Azure Government 클라우드에서 키 자격 증명 모음 URI는 vault.usgovcloudapi.net으로 끝나야 합니다. |
| 일반 오류 | 암호를 가져올 수 없습니다. | 이 오류는 일반적인 오류입니다. Microsoft 지원팀에 문의하여 오류를 해결하고 다음 단계를 확인합니다. |