Microsoft Foundry용 CMK(고객 관리형 키)

Microsoft Foundry는 Azure Key Vault에 저장된 CMK(고객 관리형 키)를 사용하여 중요한 데이터를 보호하는 기능을 포함하여 강력한 암호화 기능을 제공합니다. 이 문서에서는 CMK를 사용한 암호화 개념을 설명하고 Azure Key Vault를 사용하여 CMK를 구성하기 위한 단계별 지침을 제공합니다. 또한 암호화 모델과 Azure 역할 기반 액세스 제어(RBAC), 키 자격 증명 모음 액세스 정책 같은 액세스 제어 방법을 설명하여 시스템 할당 관리 ID(Managed Identity)와의 호환성을 보장합니다. 사용자 할당 UAI(관리 ID)에 대한 지원은 현재 Bicep 템플릿을 통해서만 사용할 수 있습니다.

고객 관리형 키를 사용하는 이유는 무엇인가요?

CMK를 사용하면 암호화 키를 완전히 제어하여 중요한 데이터에 대한 향상된 보호를 제공하고 규정 준수 요구 사항을 충족할 수 있습니다. CMK 사용의 주요 이점은 다음과 같습니다.

• 사용자 고유의 키를 사용하여 정지 상태의 데이터를 암호화합니다.

• 조직 보안 및 규정 준수 정책과 통합

• 암호화된 데이터에 대한 액세스를 제어하기 위해 키를 회전하거나 해지하는 기능입니다.

Microsoft Foundry는 업계 최고의 보안 기능을 활용하여 Azure Key Vault에 저장된 CMK로 암호화를 지원합니다.

필수 조건

Microsoft Foundry용 CMK를 구성하려면 다음 필수 구성 요소가 충족되는지 확인합니다.

1. Azure 구독:
   Azure 리소스를 만들고 관리하려면 활성 Azure 구독이 필요합니다.

2. Azure Key Vault:

   • 키를 저장하려면 기존 Azure Key Vault가 필요합니다.
   • 동일한 Azure 지역에 Key Vault 및 Microsoft Foundry 리소스를 배포해야 합니다.
   • 이 가이드를 따라 Key Vault를 만드세요: 빠른 시작: Azure 포털을 사용하여 Key Vault 만들기.

3. 관리 ID 구성:

   • 시스템 할당 관리 ID: Microsoft Foundry 리소스가 시스템 할당 관리 ID를 사용하도록 설정했는지 확인합니다.
   • 사용자 할당 관리 ID: UAI에 대한 지원은 현재 Bicep 템플릿을 통해서만 사용할 수 있습니다. Bicep 템플릿 예제인 GitHub 리포지토리: User-Assigned ID가 있는 Customer-Managed 키를 참조하세요.

4. Key Vault 권한:

   • Azure RBAC를 사용하는 경우 관리 ID에 Key Vault Crypto 사용자 역할을 할당합니다.
   • Vault Access Policies를 사용하는 경우, 키 관련 권한을 키 언랩 및 키 랩과 같은 관리되는 ID에 부여하십시오.

지역별 가용성 참고(CMK용 UAI)

사용자 할당 관리 ID(UAI)를 사용하는 고객 관리 키(CMK)에 대한 지원은 현재 다음 지역을 제외한 모든 Azure 지역에서 사용할 수 있습니다.

• 미국:
  미 서부, 미 중부, 미 중남부, 미 서부2
• 유럽:
  서유럽 (westeurope), 영국 서부 (ukwest), 스위스 서부 (switzerlandwest), 독일 중앙 서부 (germanywestcentral), 프랑스 중앙 (francecentral), 덴마크 동부 (denmarkeast), 폴란드 중앙 (polandcentral), 스웨덴 중앙 (swedencentral), 노르웨이 동부 (norwayeast)
• 아시아 태평양:
  타이완북서부, 오스트랄라시아 (호주동부, 뉴질랜드북부), 동남아시아, 일본동부, 한국중부, 인도네시아중부, 말레이시아서부, 중앙인도
• 중동:
  israelcentral, qatarcentral
• 아프리카:
  southafricanorth
• 캐나다:
  캐나다 동부
• 라틴 아메리카:
  멕시코 중부
• Azure 중국:
  중국 동부, 중국 동부 2, 중국 북부, 중국 북부 2

UAI를 사용하여 CMK를 구성하기 전에 지원되는 지역에 리소스를 배포해야 합니다. Microsoft Foundry 기능에 대한 지역 지원에 대한 자세한 내용은 클라우드 지역의 Microsoft Foundry 기능 가용성을 참조하세요.

CMK를 구성하는 단계

1단계. Azure Key Vault에서 키 만들기 또는 가져오기

Azure Key Vault에 CMK(Customer-Managed 키)를 저장합니다. Key Vault 내에서 새 키를 생성하거나 기존 키를 가져올 수 있습니다. 다음 섹션의 단계를 수행합니다.

키 생성

1. Azure Portal에서 Azure Key Vault로 이동합니다.

2. 설정 아래에서 키를 선택합니다.

3. + 생성/가져오기를 선택합니다.

4. 키 이름을 입력하고, 키 유형(예: RSA 또는 HSM 지원)을 선택하고, 키 크기 및 만료 세부 정보를 구성합니다.

5. 만들기를 선택하여 새 키를 저장합니다.

   자세한 내용은 Azure Key Vault에서 키 만들기 및 관리를 참조하세요.

키 가져오기

1. Key Vault의 키 섹션으로 이동합니다.
2. + 생성/가져오기를 선택하고 가져오기 옵션을 선택합니다.
3. 키 자료를 업로드하고 필요한 키 구성 세부 정보를 제공합니다.
4. 프롬프트에 따라 가져오기 프로세스를 완료합니다.

2단계. 관리 ID에 Key Vault 권한 부여

Key Vault에 액세스하기 위해 시스템 할당 또는 사용자 할당 관리 ID 에 대한 적절한 권한을 구성합니다.

시스템 할당 관리 ID

1. Azure Portal에서 Key Vault로 이동합니다.
2. 액세스 제어(IAM)를 선택합니다.
3. + 역할 할당 추가를 선택합니다.
4. Key Vault Crypto 사용자 역할을 Microsoft Foundry 리소스의 시스템 할당 관리 ID 에 할당합니다.

사용자 할당 관리 ID

1. 제공된 Bicep 템플릿을 사용하여 사용자 할당 ID를 배포하고 Key Vault 권한을 구성합니다.

2. 배포 후 사용자 할당 ID에 Key Vault Crypto Officer와 같은 적절한 역할 또는 Key Vault에 대한 권한이 있어야 합니다.

3단계. Microsoft Foundry에서 CMK 사용

1. Azure Portal에서 Microsoft Foundry 리소스를 엽니다.
2. 암호화 설정 섹션으로 이동합니다.
3. 암호화 유형으로 Customer-Managed 키를 선택합니다.
4. Key Vault URL 및 키 이름을 입력합니다.
5. User-Assigned 관리 ID를 사용하는 경우 ID 및 관련 권한이 이미 구성되어 있으므로 Bicep 템플릿을 통한 배포가 완료되었는지 확인합니다.

Key Vault 액세스 디자인: Azure RBAC 및 자격 증명 모음 액세스 정책

Azure Key Vault는 액세스 권한을 관리하기 위한 두 가지 모델을 지원합니다.

1. Azure RBAC(권장):
   • Azure AD 역할을 사용하여 중앙 집중식 액세스 제어를 제공합니다.
   • Azure 전체의 리소스에 대한 권한 관리를 간소화합니다.
   • Key Vault Crypto 사용자 역할을 사용합니다.
2. 볼트 액세스 정책
   • Key Vault 리소스와 관련된 세분화된 액세스 제어를 허용합니다.
   • 레거시 또는 격리된 권한 설정이 필요한 구성에 적합합니다.

조직의 요구 사항에 맞는 모델을 선택합니다.

키 모니터링 및 회전

최적의 보안 및 규정 준수를 유지하려면 다음 사례를 구현합니다.

1. Key Vault 진단을 사용하도록 설정합니다.
   Azure Monitor 또는 Log Analytics에서 진단 로깅을 사용하도록 설정하여 키 사용량 및 액세스 활동을 모니터링합니다.
2. 정기적으로 키 회전:
   Azure Key Vault에서 키의 새 버전을 주기적으로 만듭니다.
   암호화 설정에서 최신 키 버전을 참조하도록 Microsoft Foundry 리소스를 업데이트합니다.

관련 콘텐츠

• Azure Key Vault 설명서
• GitHub Bicep 예제: 고객이 관리하는 키(UAI 포함)
• Azure 관리 ID 개요