다음을 통해 공유

Azure Key Vault 백업 및 복원

이 문서에서는 키 저장소에 저장된 비밀, 키 및 인증서를 백업하는 방법을 보여 줍니다. 백업은 키 저장소에 접근할 수 없는 드문 상황에서도 모든 개인 정보와 비밀을 오프라인으로 복사하여 보관하기 위한 것입니다.

개요

Azure Key Vault는 키 자격 모음 데이터의 가용성과 복구 가능성을 보장하기 위한 여러 옵션을 제공합니다.

  • 자동 중복 및 장애 조치: Key Vault는 지역 간에 데이터를 자동으로 복제하고 중단 중에 장애 조치(failover)를 처리합니다. Azure Key Vault 가용성 및 중복성 참조
  • 소프트 삭제 및 제거 보호: 실수로 또는 악의적으로 키 볼트나 키 볼트 개체가 삭제되는 것을 방지합니다. Azure Key Vault 복구 관리: 소프트 삭제 및 제거 보호를 참조하세요.
  • 수동 백업 및 복원 (이 문서에서 설명): 개별 비밀, 키 및 인증서의 경우

이 문서에서는 Key Vault 내의 개별 개체에 대한 수동 백업 및 복원 작업에 중점을 둡니다.

백업을 사용하는 경우

Azure Key Vault는 가용성을 유지하고 데이터 손실을 방지하는 기능을 자동으로 제공합니다. 중요한 비즈니스 타당성이 있는 경우에만 비밀을 백업합니다. 키 자격 증명 모음에서 비밀을 백업하면 비밀이 만료되거나 순환될 때 여러 로그, 권한 및 백업 세트를 유지 관리하는 등의 운영 과제가 발생할 수 있습니다.

다음 시나리오에서 백업을 사용하는 것이 좋습니다.

  • 키 자격 증명 모음 또는 Azure 지역 간에 개체를 이동해야 합니다.
  • 규정 또는 규정 준수를 위해 비밀의 오프라인 복사본을 원합니다.
  • 자동 지역 간 복제를 지원하지 않는 지역(브라질 남부, 브라질 남동부 또는 미국 서부 3)을 사용하고 있습니다.
  • 특정 개체를 실수로 삭제하지 않도록 보호해야 합니다.

대부분의 시나리오에서 Key Vault의 기본 제공 중복성 및 일시 삭제 기능은 수동 백업 없이도 충분한 보호를 제공합니다. 추가 정보는 Azure Key Vault의 가용성 및 중복성을 참조하세요.

제한점

중요합니다

Key Vault는 500개 이상의 이전 버전의 키, 비밀 또는 인증서 개체를 백업하는 기능을 지원하지 않으며, 이를 시도하면 오류가 발생할 수 있습니다. 이전 버전의 키, 비밀 또는 인증서는 삭제할 수 없습니다.

Key Vault는 현재 단일 작업에서 전체 키 자격 증명 모음을 백업하는 방법을 제공하지 않으며 키, 비밀 및 인증서는 개별적으로 백업해야 합니다.

다음 문제도 고려합니다.

  • 여러 버전의 비밀을 백업하면 시간 초과 오류가 발생할 수 있습니다.
  • 백업은 지정 시간 스냅샷을 만듭니다. 백업 중에 비밀이 갱신되어 암호화 키가 일치하지 않을 수 있습니다.
  • 초당 요청에 대한 키 볼트 서비스 제한을 초과하면 키 볼트의 속도가 조절되고 백업이 실패합니다.

디자인 고려 사항

비밀, 키 또는 인증서 등의 키 자격 저장소 개체를 백업할 경우, 백업 작업은 해당 개체를 암호화된 블롭으로 다운로드합니다. 이 Blob은 Azure 외부에서 암호를 해독할 수 없습니다. 이 Blob에서 사용 가능한 데이터를 가져오려면 동일한 Azure 구독 및 Azure 지역 내의 키 자격 증명 모음으로 Blob을 복원해야 합니다.

필수 조건

키 자격 증명 모음 개체를 백업하려면 다음이 있어야 합니다.

  • Azure 구독에 대한 기여자 수준 이상의 권한.
  • 백업하려는 비밀이 포함된 기본 키 자격 증명 모음.
  • 비밀이 복원되는 보조 키 보관소입니다.

Azure Portal에서 백업 및 복원

이 섹션의 단계에 따라 Azure Portal을 사용하여 개체를 백업 및 복원합니다.

백업

  1. Azure Portal로 이동합니다.

  2. 키 자격 증명 모음을 선택합니다.

  3. 백업하려는 개체(비밀, 키 또는 인증서)로 이동합니다.

    키 볼트에서 키 설정 및 개체를 선택할 위치를 보여 주는 스크린샷

  4. 개체를 선택합니다.

  5. 백업 다운로드를 선택합니다.

    백업 다운로드 버튼을 선택할 위치를 키 저장소에서 보여주는 스크린샷

  6. 다운로드를 선택합니다.

    키 볼트에서 다운로드 버튼을 선택할 위치를 보여주는 스크린샷

  7. 암호화된 Blob을 안전한 위치에 저장합니다.

복원

  1. Azure Portal로 이동합니다.

  2. 키 자격 증명 모음을 선택합니다.

  3. 복원하려는 개체 유형(비밀, 키 또는 인증서)으로 이동합니다.

  4. 백업 복원을 선택합니다.

    키 자격 증명 보관소에서 백업 복원 옵션을 선택하는 위치를 보여주는 스크린샷

  5. 암호화된 Blob을 저장한 위치로 이동합니다.

  6. 확인을 선택합니다.

Azure CLI 또는 Azure PowerShell에서 백업 및 복원

## Log in to Azure
az login

## Set your subscription
az account set --subscription {AZURE SUBSCRIPTION ID}

## Register Key Vault as a provider
az provider register -n Microsoft.KeyVault

## Back up a certificate in Key Vault
az keyvault certificate backup --file {File Path} --name {Certificate Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Back up a key in Key Vault
az keyvault key backup --file {File Path} --name {Key Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Back up a secret in Key Vault
az keyvault secret backup --file {File Path} --name {Secret Name} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a certificate in Key Vault
az keyvault certificate restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a key in Key Vault
az keyvault key restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

## Restore a secret in Key Vault
az keyvault secret restore --file {File Path} --vault-name {Key Vault Name} --subscription {SUBSCRIPTION ID}

다음 단계