비고
Key Vault는 자격 증명 모음과 관리형 HSM이라는 두 가지 유형의 리소스를 지원합니다. 이 문서에서는 관리형 HSM에 대해 설명합니다. 키 자격 증명 모음을 관리하는 방법을 알아보려면 Azure CLI를 사용하여 Key Vault를 관리하는 방법을 참조하세요.
이 문서에서는 Azure CLI를 사용하여 관리형 HSM에 대한 역할 및 역할 할당을 관리하기 위한 실용적인 지침을 제공합니다. 관리형 HSM에 대한 로컬 RBAC 기본 제공 역할에 설명된 기본 제공 역할을 사용하여 관리형 HSM에 대한 액세스 제어에 설명된 역할 기반 액세스 제어 모델을 구현합니다.
관리형 HSM에 대한 개요 는 관리형 HSM이란?을 참조하세요. Azure 구독이 없는 경우 시작하기 전에 체험 계정을 만듭니다.
보안 주체(예: 사용자, 서비스 주체, 그룹 또는 관리 ID)가 관리형 HSM 데이터 평면 작업을 수행할 수 있도록 하려면 해당 작업을 수행할 수 있는 역할이 할당되어야 합니다. 예를 들어 애플리케이션이 키를 사용하여 서명 작업을 수행할 수 있도록 하려면 "Microsoft.KeyVault/managedHSM/keys/sign/action"을 데이터 작업 중 하나로 포함하는 역할을 할당해야 합니다. 특정 범위에서 역할을 할당할 수 있습니다. 관리형 HSM 로컬 RBAC는 HSM 전체(/ 또는 /keys) 및 키(/keys/<keyname>)당 두 개의 범위를 지원합니다.
모든 관리형 HSM 기본 제공 역할 및 허용하는 작업의 목록은 관리형 HSM 기본 제공 역할을 참조하세요.
필수 조건
이 문서에서 Azure CLI 명령을 사용하려면 다음 항목이 있어야 합니다.
- Microsoft Azure 구독. 평가판이 없는 경우 무료 평가판에 등록할 수 있습니다.
- Azure CLI 버전 2.25.0 이상
az --version을 실행하여 버전을 찾습니다. 설치 또는 업그레이드해야 하는 경우 Azure CLI 설치를 참조하세요. - 구독의 관리형 HSM 빠른 시작: Azure CLI를 사용하여 관리형 HSM을 프로비전하고 활성화하는 방법 참조
Azure Cloud Shell
Azure는 브라우저를 통해 사용할 수 있는 대화형 셸 환경인 Azure Cloud Shell을 호스트합니다. Cloud Shell에서 Bash 또는 PowerShell을 사용하여 Azure 서비스를 사용할 수 있습니다. Cloud Shell 미리 설치된 명령을 사용하여 로컬 환경에 아무것도 설치하지 않고도 이 문서의 코드를 실행할 수 있습니다.
Azure Cloud Shell을 시작하려면 다음을 수행합니다.
| 옵션 | 예제/링크 |
|---|---|
| 코드 또는 명령 블록의 오른쪽 위에 있는 시도하기를 선택하세요. Try It을 선택하면 코드 또는 명령이 Cloud Shell에 자동으로 복사되지 않습니다. |
|
| 으로 https://shell.azure.com이동하거나 Cloud Shell 시작 단추를 선택하여 브라우저에서 Cloud Shell을 엽니다. |
|
| Azure Portal의 오른쪽 위에 있는 메뉴 모음에서 Cloud Shell 단추를 선택합니다. |
|
Azure Cloud Shell을 사용하려면:
Cloud Shell을 시작합니다.
코드 블록(또는 명령 블록)에서 복사 단추를 선택하여 코드 또는 명령을 복사합니다.
Windows 및 Linux에서 Ctrl+ShiftV를 선택하거나 macOS에서 Cmd+Shift++V를 선택하여 코드 또는 명령을 Cloud Shell 세션에 붙여넣습니다.
Enter 키를 선택하여 코드 또는 명령을 실행합니다.
Azure에 로그인
CLI를 사용하여 Azure에 로그인하려면 다음을 입력합니다.
az login
CLI를 통한 로그인 옵션에 대한 자세한 내용은 Azure CLI로 로그인을 참조하세요.
새 역할 할당 만들기
모든 키에 역할 할당
명령을 사용하여 az keyvault role assignment create ContosoHSM의 모든 키(범위/keys)에 대해 사용자 계정 이름으로 user2@contoso.com 식별된 사용자에게 관리형 HSM Crypto 사용자 역할을 할당합니다.
az keyvault role assignment create --hsm-name ContosoMHSM --role "Managed HSM Crypto User" --assignee user2@contoso.com --scope /keys
특정 키에 대한 역할 할당
명령을 사용하여 az keyvault role assignment createmyrsakey라는 특정 키에 대해 사용자 계정 이름으로 user2@contoso.com 식별된 사용자에게 관리형 HSM Crypto 사용자 역할을 할당합니다.
az keyvault role assignment create --hsm-name ContosoMHSM --role "Managed HSM Crypto User" --assignee user2@contoso.com --scope /keys/myrsakey
기존 역할 할당 나열
az keyvault role assignment list를 사용하여 역할 할당을 나열합니다.
모든 사용자에 대한 범위 / (범위를 지정하지 않은 경우 기본값)의 모든 역할 할당(--담당자가 지정되지 않은 경우 기본값)
az keyvault role assignment list --hsm-name ContosoMHSM
특정 사용자 user1@contoso.com에 대한 HSM 수준의 모든 역할 할당.
az keyvault role assignment list --hsm-name ContosoMHSM --assignee user@contoso.com
비고
범위가 /(또는 /keys)인 경우 list 명령은 최상위 수준의 모든 역할 할당만 나열하고 개별 키 수준의 역할 할당은 표시하지 않습니다.
특정 키 myrsakey에 대한 특정 사용자 user2@contoso.com 에 대한 모든 역할 할당입니다.
az keyvault role assignment list --hsm-name ContosoMHSM --assignee user2@contoso.com --scope /keys/myrsakey
특정 사용자 user2@contoso.com에 대한 특정 키 myrsakey의 역할 Managed HSM Crypto Officer에 대한 특정 역할 할당
az keyvault role assignment list --hsm-name ContosoMHSM --assignee user2@contoso.com --scope /keys/myrsakey --role "Managed HSM Crypto Officer"
역할 할당 삭제
az keyvault role assignment delete 명령을 사용하여 사용자 user2@contoso.com에게 할당된 관리형 HSM Crypto Officer 역할을 키 myrsakey2에 대해 삭제합니다.
az keyvault role assignment delete --hsm-name ContosoMHSM --role "Managed HSM Crypto Officer" --assignee user2@contoso.com --scope /keys/myrsakey2
사용 가능한 모든 역할 정의 나열
az keyvault role definition list 명령을 사용하여 모든 역할 정의를 나열합니다.
az keyvault role definition list --hsm-name ContosoMHSM
새 역할 정의 만들기
Managed HSM에는 대부분의 일반적인 사용 시나리오에 유용한 몇 가지 기본 제공(미리 정의된) 역할이 있습니다. 역할이 수행할 수 있는 특정 작업 목록을 사용하여 고유한 역할을 정의할 수 있습니다. 그런 다음, 이 역할을 보안 주체에 할당하여 지정된 작업에 대한 권한을 부여할 수 있습니다.
JSON 문자열을 사용하여 내 사용자 지정 역할이라는 역할에 명령을 사용합니다az keyvault role definition create.
az keyvault role definition create --hsm-name ContosoMHSM --role-definition '{
"roleName": "My Custom Role",
"description": "The description of the custom rule.",
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/managedHsm/keys/read/action"
],
"notDataActions": []
}'
az keyvault role definition create 명령을 사용하여 역할 정의용 JSON 문자열이 포함된 my-custom-role-definition.json 파일에서 역할을 설정합니다. 위 예제를 참조하세요.
az keyvault role definition create --hsm-name ContosoMHSM --role-definition @my-custom-role-definition.json
역할 정의에 대한 세부 정보 표시
az keyvault role definition show 명령을 통해 이름(GUID)을 사용하여 특정 역할 정의에 대한 세부 정보를 확인합니다.
az keyvault role definition show --hsm-name ContosoMHSM --name xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
사용자 지정 역할 정의 업데이트
명령을 사용하여 az keyvault role definition update JSON 문자열을 사용하여 내 사용자 지정 역할 이라는 역할을 업데이트합니다.
az keyvault role definition create --hsm-name ContosoMHSM --role-definition '{
"roleName": "My Custom Role",
"name": "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"id": "Microsoft.KeyVault/providers/Microsoft.Authorization/roleDefinitions/xxxxxxxx-
xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"description": "The description of the custom rule.",
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/managedHsm/keys/read/action",
"Microsoft.KeyVault/managedHsm/keys/write/action",
"Microsoft.KeyVault/managedHsm/keys/backup/action",
"Microsoft.KeyVault/managedHsm/keys/create"
],
"notDataActions": []
}'
사용자 지정 역할 정의 삭제
Azure CLI az keyvault 역할 정의 삭제 명령을 사용하여 이름(GUID)을 사용하여 사용자 지정 역할 정의를 삭제합니다.
az keyvault role definition delete --hsm-name ContosoMHSM --name xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
비고
기본 제공 역할은 삭제할 수 없습니다. 사용자 지정 역할을 삭제하면 해당 사용자 지정 역할을 사용하는 모든 역할 할당이 사라지게 됩니다.
다음 단계
- Azure RBAC(Azure 역할 기반 액세스 제어)의 개요를 참조하세요.
- 관리형 HSM 액세스 제어 모델에 대해 자세히 알아보기
- 관리형 HSM 로컬 RBAC에 대한 모든 기본 제공 역할 보기