이 문서에서는 다른 애플리케이션 및 Azure 서비스에서 작동하도록 Azure Key Vault 네트워킹 설정을 구성하는 방법에 대한 지침을 제공합니다. 다양한 네트워크 보안 구성에 대해 자세히 알아보려면 여기를 참조하세요.
Azure Portal, Azure CLI 및 Azure PowerShell을 사용하여 Key Vault 방화벽 및 가상 네트워크를 구성하는 단계별 지침은 다음과 같습니다.
- 보호하려는 키 볼트로 이동합니다.
- 네트워킹을 선택한 다음, 방화벽 및 가상 네트워크 탭을 선택합니다.
- 다음에서 액세스 허용에서 선택한 네트워크를 선택합니다.
- 방화벽 및 가상 네트워크 규칙에 기존 가상 네트워크를 추가하려면 +기존 가상 네트워크 추가를 선택합니다.
- 열리는 새 페이지에서 이 키 자격 증명 저장소에 대한 액세스를 허용하려는 구독, 가상 네트워크 및 서브넷을 선택합니다. 선택하는 가상 네트워크 및 서브넷이 서비스 엔드포인트를 사용하지 못하는 경우 서비스 엔드포인트를 사용하도록 설정했는지 확인하고 사용하도록 설정을 선택합니다. 적용되는 데 최대 15분이 걸릴 수 있습니다.
- IP 네트워크에서CIDR(클래스리스 도메인 간 라우팅) 표기법 또는 개별 IP 주소에 IPv4 주소 범위를 입력하여 IPv4 주소 범위를 추가합니다.
- Microsoft Trusted Services에서 Key Vault 방화벽을 무시하도록 하려면 '예'를 선택합니다. 현재 Key Vault Trusted Services의 전체 목록은 다음 링크를 참조하세요. Azure Key Vault 신뢰할 수 있는 서비스
- 저장을 선택합니다.
또한 +새 가상 네트워크 추가를 선택하여 새 가상 네트워크 및 서브넷을 추가한 다음, 새로 만든 가상 네트워크 및 서브넷에 대한 서비스 엔드포인트를 사용하도록 설정할 수 있습니다. 그런 다음, 표시되는 메시지를 따릅니다.
Azure CLI를 사용하여 Key Vault 방화벽 및 가상 네트워크를 구성하는 방법은 다음과 같습니다.
Azure CLI를 설치 하고 로그인합니다.
사용 가능한 가상 네트워크 규칙을 나열합니다. 이 키 자격 증명 모음에 대한 모든 규칙을 설정하지 않은 경우 목록은 비게 됩니다.
az keyvault network-rule list --resource-group myresourcegroup --name mykeyvault
기존 가상 네트워크 및 서브넷에서 Key Vault에 대한 서비스 엔드포인트를 사용하도록 설정합니다.
az network vnet subnet update --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --service-endpoints "Microsoft.KeyVault"
가상 네트워크 및 서브넷에 대한 네트워크 규칙을 추가합니다.
subnetid=$(az network vnet subnet show --resource-group "myresourcegroup" --vnet-name "myvnet" --name "mysubnet" --query id --output tsv)
az keyvault network-rule add --resource-group "demo9311" --name "demo9311premium" --subnet $subnetid
트래픽을 허용할 IP 주소 범위를 추가합니다.
az keyvault network-rule add --resource-group "myresourcegroup" --name "mykeyvault" --ip-address "191.10.18.0/24"
신뢰할 수 있는 서비스가 이 키 자격 증명 모음에 액세스할 수 있도록 하려면 bypass을 AzureServices로 설정하십시오.
az keyvault update --resource-group "myresourcegroup" --name "mykeyvault" --bypass AzureServices
기본 작업을 Deny로 설정하여 네트워크 규칙을 켭니다.
az keyvault update --resource-group "myresourcegroup" --name "mekeyvault" --default-action Deny
PowerShell을 사용하여 Key Vault 방화벽 및 가상 네트워크를 구성하는 방법은 다음과 같습니다.
최신 Azure PowerShell을 설치하고 로그인합니다.
사용 가능한 가상 네트워크 규칙을 나열합니다. 이 키 자격 증명 모음에 대한 모든 규칙을 설정하지 않은 경우 목록은 비게 됩니다.
(Get-AzKeyVault -VaultName "mykeyvault").NetworkAcls
기존 가상 네트워크 및 서브넷에서 Key Vault에 대한 서비스 엔드포인트를 사용하도록 설정합니다.
Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Set-AzVirtualNetworkSubnetConfig -Name "mysubnet" -AddressPrefix "10.1.1.0/24" -ServiceEndpoint "Microsoft.KeyVault" | Set-AzVirtualNetwork
가상 네트워크 및 서브넷에 대한 네트워크 규칙을 추가합니다.
$subnet = Get-AzVirtualNetwork -ResourceGroupName "myresourcegroup" -Name "myvnet" | Get-AzVirtualNetworkSubnetConfig -Name "mysubnet"
Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -VirtualNetworkResourceId $subnet.Id
트래픽을 허용할 IP 주소 범위를 추가합니다.
Add-AzKeyVaultNetworkRule -VaultName "mykeyvault" -IpAddressRange "16.17.18.0/24"
신뢰할 수 있는 서비스가 이 키 자격 증명 모음에 액세스할 수 있도록 하려면 bypass을 AzureServices로 설정하십시오.
Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -Bypass AzureServices
기본 작업을 Deny로 설정하여 네트워크 규칙을 켭니다.
Update-AzKeyVaultNetworkRuleSet -VaultName "mykeyvault" -DefaultAction Deny
참고문헌
다음 단계