Azure Key Vault 액세스 정책 문제 해결

자주 묻는 질문

비밀/키/인증서를 나열하거나 가져올 수 없습니다. "문제가 발생했습니다." 오류가 표시됨

비밀 나열/가져오기/만들기 또는 액세스에 문제가 있는 경우 해당 작업을 수행하도록 정의된 액세스 정책이 있는지 확인합니다. Key Vault 액세스 정책

키 자격 증명 모음을 어떻게 언제 액세스하는지 어떻게 식별할 수 있나요?

하나 이상의 키 자격 증명 모음을 만든 후에는 키 자격 증명 모음에 누가, 언제 액세스하는지를 모니터링하는 것이 유용할 것입니다. Azure Key Vault에 대한 로깅을 사용하도록 설정하여 모니터링을 수행할 수 있습니다. 로깅을 사용하도록 설정하는 단계별 가이드에 대해서는 자세히 읽어보세요.

Key Vault의 가용성, 서비스 지연 시간 또는 기타 성능 메트릭을 모니터링하려면 어떻게 해야 하나요?

서비스의 크기를 조정하기 시작하면 키 자격 증명 모음으로 전송되는 요청 수가 증가합니다. 이러한 수요는 요청의 대기 시간을 증가시킬 가능성이 있으며, 극단적인 경우 요청이 제한되어 서비스 성능이 저하됩니다. 키 자격 증명 모음 성능 메트릭을 모니터링하고 특정 임계값에 대한 경고를 받을 수 있습니다. 모니터링을 구성하는 단계별 가이드는 자세히 알아보세요.

액세스 정책을 수정할 수 없습니다. 어떻게 사용할 수 있나요?

사용자에게 액세스 정책을 수정할 수 있는 충분한 Microsoft Entra 권한이 있어야 합니다. 이 경우 사용자에게 더 높은 기여자 역할이 있어야 합니다.

'알 수 없는 정책' 오류가 표시됩니다. 이것은 무엇을 의미합니까?

알 수 없는 섹션에서 액세스 정책을 볼 수 있는 두 가지 이유가 있습니다.

• 이전 사용자가 액세스 권한을 가졌지만 해당 사용자가 더 이상 존재하지 않습니다.
• 액세스 정책은 서비스 주체 대신 애플리케이션 objectid를 사용하여 PowerShell을 통해 추가되었습니다.

키 자산 저장소의 각 개체에 액세스 제어를 할당하려면 어떻게 해야 하나요?

개별 키, 비밀 및 인증서에 역할을 할당하는 것은 피해야 합니다. 일반 지침에 대한 예외:

여러 애플리케이션 간에 개별 비밀을 공유해야 하는 시나리오(예: 한 애플리케이션이 다른 애플리케이션의 데이터에 액세스해야 하는 경우)

액세스 제어 정책을 사용하여 키 자격 증명 모음 인증을 제공하려면 어떻게 해야 하나요?

Key Vault에 클라우드 기반 애플리케이션을 인증하는 가장 간단한 방법은 관리 ID를 사용하는 것입니다. 자세한 내용은 Azure Key Vault에 대한 인증 을 참조하세요. 온-프레미스 애플리케이션을 만들거나 로컬 개발을 수행하거나 관리 ID를 사용할 수 없는 경우 대신 서비스 주체를 수동으로 등록하고 액세스 제어 정책을 사용하여 키 자격 증명 모음에 대한 액세스를 제공할 수 있습니다. 액세스 제어 정책 할당을 참조하세요.

AD 그룹에 키 자격 증명 모음에 대한 액세스 권한을 부여하려면 어떻게 해야 하나요?

Azure CLI az keyvault set-policy 명령 또는 Azure PowerShell Set-AzKeyVaultAccessPolicy cmdlet을 사용하여 키 자격 증명 모음에 AD 그룹 권한을 부여합니다. 액세스 정책 할당 - CLI 및 액세스 정책 할당 - PowerShell을 참조하세요.

또한 애플리케이션에는 Key Vault에 할당된 ID 및 액세스 관리(IAM) 역할이 하나 이상 필요합니다. 그렇지 않으면 로그인할 수 없고 구독에 액세스할 수 있는 권한이 없어 실패합니다. 관리 ID를 사용하는 Microsoft Entra 그룹은 토큰을 새로 고치고 적용하는 데 많은 시간이 필요할 수 있습니다. 권한 부여에 관리 ID 사용 제한 사항 참조

기존 액세스 정책을 삭제하지 않고 ARM 템플릿으로 Key Vault를 다시 배포하려면 어떻게 해야 하나요?

현재 Key Vault 재배포는 Key Vault에서 액세스 정책을 삭제하고 ARM 템플릿의 액세스 정책으로 대체합니다. Key Vault 액세스 정책에 대한 증분 옵션은 없습니다. Key Vault에서 액세스 정책을 유지하려면 Key Vault에서 기존 액세스 정책을 읽고 액세스 중단을 방지하기 위해 해당 정책으로 ARM 템플릿을 채워야 합니다.

이 시나리오에 도움이 될 수 있는 또 다른 옵션은 액세스 정책 대신 Azure RBAC 및 역할을 사용하는 것입니다. Azure RBAC를 사용하면 정책을 다시 지정하지 않고 키 자격 증명 모음을 다시 배포할 수 있습니다. 이 솔루션은 여기에서 자세히 확인할 수 있습니다.

다음 오류 유형에 대한 권장 문제 해결 단계

• HTTP 401: 인증되지 않은 요청 - 문제 해결 단계
• HTTP 403: 권한 부족 - 문제 해결 단계
• HTTP 429: 요청이 너무 많음 - 문제 해결 단계
• 키 자격 증명 모음에 대한 액세스 권한을 삭제했는지 확인합니다. 액세스 정책 할당 - CLI, 액세스 정책 할당 - PowerShell 또는 액세스 정책 할당 - 포털을 참조하세요.
• 코드에서 Key Vault를 인증하는 데 문제가 있는 경우 Authentication SDK를 사용합니다.

키 자격 증명 모음이 제한될 때 구현해야 하는 최선의 방법은 무엇인가요?

여기에 설명된 모범 사례를 따르세요.

다음 단계

Key Vault 인증 오류 문제 해결 방법: Key Vault 문제 해결 가이드를 알아봅니다.