Azure Key Vault 암호에 환경 변수 사용

환경 변수를 사용하면 Azure Key Vault에 저장된 시크릿을 참조할 수 있습니다. 이러한 암호는 Power Automate 흐름과 사용자 지정 커넥터 내에서 사용할 수 있습니다. 암호는 다른 사용자 지정에서 또는 일반적으로 API를 통해 사용할 수 없습니다.

실제 암호은 Azure Key Vault에 저장되고 환경 변수는 키 자격 증명 모음 암호 위치를 참조합니다. 환경 변수와 함께 Azure Key Vault 암호를 사용하려면 Power Platform이 참조하려는 특정 암호를 참조할 수 있도록 Azure Key Vault를 구성해야 합니다.

암호를 참조하는 환경 변수는 현재 Power Automate 흐름에서 사용할 동적 콘텐츠 선택기에서 사용할 수 없습니다.

Azure Key Vault 구성

Power Platform과 함께 Azure Key Vault 암호를 사용하려면 자격 증명 모음이 있는 Azure 구독에 PowerPlatform 리소스 공급자가 등록되어 있어야 하고, 환경 변수를 만드는 사용자는 Azure Key Vault 리소스에 대한 적절한 권한이 있어야 합니다.

1. Azure 구독에 Microsoft.PowerPlatform 리소스 공급자를 등록합니다. 확인 및 구성하려면 다음 단계를 따르십시오: 리소스 공급자 및 리소스 종류

   

2. Azure Key Vault 자격 증명 모음을 만듭니다. 침해 시 위협을 최소화할 수 있도록 Power Platform 환경마다 별도의 자격 증명 모음을 사용하는 것을 고려하십시오. 권한 모델에 Azure 역할 기반 액세스 제어를 사용하도록 키 자격 증명 모음을 구성하는 것이 좋습니다. 추가 정보: Azure Key Vault 사용 모범 사례, 빠른 시작 - Azure Portal을 사용하여 Azure Key Vault 만들기

3. 암호 유형의 환경 변수를 생성하거나 사용하는 사용자는 암호 내용을 검색할 수 있는 권한이 있어야 합니다. 새 사용자에게 암호를 사용할 수 있는 권한을 부여하려면 액세스 제어(IAM) 영역을 선택하고 추가를 선택한 다음 드롭다운에서 역할 할당 추가를 선택합니다. 추가 정보: Azure 역할 기반 액세스 제어를 통해 Key Vault 키, 인증서 및 암호에 대한 액세스 제공

   

4. 역할 할당 추가 마법사에서 기본 할당 유형을 직무 역할로 두고 역할 탭으로 이동합니다. Key Vault 암호 사용자 역할을 찾아 선택합니다. 구성원 탭으로 이동하여 구성원 선택 링크를 선택하고 측면 패널에서 사용자를 찾습니다. 사용자를 선택하고 구성원 섹션에 표시하면 계속해서 검토 및 할당 탭으로 이동하여 마법사를 완료합니다.

5. Azure Key Vault에는 Dataverse 서비스 주체에 부여된 Key Vault 암호 사용자 역할이 있어야 합니다. 이 자격 증명 모음에 대해 존재하지 않는 경우 사용자 대신 Dataverse 애플리케이션 ID만 사용하여 이전에 최종 사용자 권한에 사용한 것과 동일한 방법을 사용하여 새 액세스 정책을 추가합니다. 테넌트에 여러 Dataverse 서비스 주체가 있는 경우 모두 선택하고 역할 할당을 저장하는 것이 좋습니다. 역할이 할당되면 역할 할당 목록에 나열된 각 Dataverse 항목을 검토하고 Dataverse 이름을 선택하여 세부 정보를 봅니다. 애플리케이션 ID가 00000007-0000-0000-c000-000000000000**이 아닌 경우 ID를 선택한 다음 제거를 선택하여 목록에서 제거합니다.

6. Azure Key Vault 방화벽을 활성화한 경우 Power Platform IP 주소가 Key Vault에 액세스할 수 있도록 허용해야 합니다. Power Platform은 "신뢰할 수 있는 서비스 전용" 옵션에 포함되지 않습니다. 현재 서비스에서 사용되는 IP 주소는 Power Platform URL 및 IP 주소 범위로 이동합니다.

7. 아직 추가하지 않았다면 새 자격 증명 모음에 암호를 추가하십시오. 추가 정보: Azure 빠른 시작 - Azure Portal을 사용하여 Key Vault에서 암호 설정 및 검색

Key Vault 암호에 대한 새 환경 변수 만들기

Azure Key Vault가 구성되고 자격 증명 모음에 암호가 등록되면 이제 환경 변수를 사용하여 Power Apps 내에서 참조할 수 있습니다.

1. Power Apps에 로그인하여 솔루션 영역에서 개발에 사용 중인 관리되지 않는 솔루션을 엽니다.

2. 신규>더 보기>환경 변수를 선택합니다.

3. 표시 이름을 입력하고 선택적으로 환경 변수에 대한 설명을 입력합니다.

4. 데이터 형식으로 암호를 선택하고 암호 저장소로 Azure Key Vault를 선택합니다.

5. 다음 옵션 중에서 선택하십시오.

   • 새 Azure Key Vault 값 참조를 선택합니다. 다음 단계에서 정보를 추가하고 저장한 후 환경 변수 값 레코드가 생성됩니다.
   • 기본값 표시를 확장하여 기본 Azure Key Vault 암호를 만들 필드를 표시합니다. 다음 단계에서 정보를 추가하고 저장한 후 환경 변수 정의 레코드에 기본값 구분이 추가됩니다.

6. 다음 정보를 입력합니다.

   • Azure 구독 ID: Key Vault와 연결된 Azure 구독 ID입니다.

   • 리소스 그룹 이름: 암호가 포함된 키 자격 증명 모음이 있는 Azure 리소스 그룹입니다.

   • Azure Key Vault 이름: 암호를 포함하는 키 자격 증명 모음의 이름입니다.

   • 암호 이름: Azure Key Vault에 있는 암호의 이름입니다.

     팁

     구독 ID, 리소스 그룹 이름 및 주요 자격 증명 모음 이름은 키 자격 증명 모음의 Azure Portal 개요 페이지에서 찾을 수 있습니다. 암호 이름은 Azure Portal의 키 자격 증명 모음 페이지에서 설정의 암호를 선택하여 찾을 수 있습니다.

7. 저장을 선택합니다.

Power Automate 흐름을 만들어 환경 변수 암호 테스트

Azure Key Vault에서 얻은 암호를 사용하는 방법을 보여주는 간단한 시나리오는 Power Automate 흐름을 만들어 웹 서비스에 대해 인증하는 데 암호를 사용하는 것입니다.

1. Power Apps에 로그인하고 솔루션을 선택한 후 원하는 비관리형 솔루션을 선택합니다. 항목이 측면 패널 창을 경우 ...자세히를 선택한 다음 원하는 항목을 선택하세요.

2. 신규>자동화>클라우드 흐름>인스턴트를 선택합니다.

3. 흐름의 이름을 입력하고 수동으로 흐름 트리거를 선택한 다음 만들기를 선택합니다.

4. 새로운 단계를 선택한 후 Microsoft Dataverse 커넥터를 선택한 다음 작업 탭에서 언바운드 작업 수행을 선택합니다.

5. 드롭다운 목록에서 RetrieveEnvironmentVariableSecretValue 작업을 선택합니다.

6. 이전 섹션에서 추가한 환경 변수 고유 이름(표시 이름 아님)을 제공합니다. 이 예에서는 new_TestSecret을 사용합니다.

7. ...>이름 바꾸기를 선택하여 다음 작업에서 더 쉽게 참조할 수 있도록 작업 이름을 변경합니다. 이 스크린샷에서는 GetSecret으로 이름이 변경되었습니다.

   

8. ...>설정을 선택하여 GetSecret 작업 설정을 표시합니다.

9. 설정에서 보안 출력 옵션을 사용 설정한 다음 완료를 선택합니다. 이는 동작의 출력이 흐름 실행 기록에 노출되는 것을 방지하기 위한 것입니다.

   

10. 새 단계를 선택한 후 HTTP 커넥터를 검색하고 선택합니다.

11. 방법을 가져오기를 선택하고 웹 서비스에 URI를 입력합니다. 이 예에서 가상의 웹 서비스인 httpbin.org를 사용합니다.

12. 고급 옵션 표시를 선택하고 인증을 기본으로 선택한 다음 사용자 이름을 선택합니다.

13. 암호 필드를 선택하고 동적 콘텐츠 탭의 (이 예에서는 GetSecret) 위의 흐름 단계에서 RetrieveEnvironmentVariableSecretValueResponse EnvironmentVariableSecretValue를 선택합니다. 이것은 outputs('GetSecretTest')?['body/EnvironmentVariableSecretValue'] 또는 body('GetSecretTest')['EnvironmentVariableSecretValue'] 표현식으로 추가됩니다.

    

14. ...>설정을 선택하여 HTTP 작업 설정을 표시합니다.

15. 설정에서 보안 입력 및 안전한 출력 옵션을 활성화한 다음 완료를 선택합니다. 이러한 옵션을 활성화하면 작업의 입력 및 출력이 흐름 실행 기록에 노출되는 것을 방지할 수 있습니다.

16. 저장을 선택하여 흐름을 만듭니다.

17. 흐름을 수동으로 실행하여 테스트합니다.

    흐름의 실행 기록을 사용하여 출력을 확인할 수 있습니다.

    

Microsoft Copilot Studio 환경 변수 비밀 사용

Microsoft Copilot Studio의 환경 변수 비밀은 약간 다르게 작동합니다. 환경 변수와 함께 암호를 사용하려면 Azure Key Vault 구성 및 Key Vault 비밀에 대한 새 환경 변수 만들기 섹션의 단계를 실행해야 합니다.

Copilot Studio에 Azure Key Vault에 대한 액세스 권한 부여

다음 단계를 수행하세요.

1. Azure Key Vault로 돌아갑니다.

2. Copilot Studio는 키 자격 증명 모음에 액세스해야 합니다. Copilot Studio에 비밀을 사용할 수 있는 권한을 부여하려면 왼쪽 탐색에서 액세스 제어(IAM)를 선택하고 추가를 선택한 다음 역할 할당 추가를 선택합니다.

   

3. Key Vault 비밀 사용자 역할을 선택한 후, 다음을 선택합니다.

4. 구성원 선택을 선택하고, Microsoft Copilot Studio 서비스를 검색하여, 선택한 다음, 선택을 선택합니다.

5. 화면 하단에서 리뷰 + 할당을 선택합니다. 정보를 검토하고 모두 올바른 경우 검토 + 할당을 다시 선택합니다.

Copilot이 Azure Key Vault의 비밀에 액세스할 수 있도록 태그 추가

이 섹션의 이전 단계를 완료하면 Copilot Studio가 이제 Azure Key Vault 액세스할 수 있지만 아직 사용할 수는 없습니다. 작업을 완료하려면 다음 단계를 수행합니다.

1. Microsoft Copilot Studio로 가서 환경 변수 비밀에 사용할 에이전트를 열거나 새 에이전트를 만듭니다.

2. 에이전트 토픽을 열거나 새 토픽을 만듭니다.

3. + 아이콘을 선택하여 노드를 추가한 다음 메시지 보내기를 선택합니다.

4. 메시지 보내기 노드에서 변수 삽입 {x} 옵션을 선택합니다.

5. 환경 탭을 선택합니다. Key Vault 비밀에 대한 새 환경 변수 만들기 단계에서 만든 환경 변수 비밀을 선택합니다.

6. 저장을 선택하여 토픽을 저장합니다.

7. 테스트 창에서 방금 메시지 보내기 노드를 환경 변수 비밀과 함께 추가한 토픽의 시작 구문 중 하나를 사용하여 토픽을 테스트합니다. 다음과 같은 오류가 발생해야 합니다.

   

   즉, Azure Key Vault로 돌아가서 비밀을 편집해야 합니다. 나중에 여기로 돌아올 수 있으므로 Copilot Studio를 열어 두십시오.

8. Azure Key Vault로 이동합니다. 왼쪽 탐색창에서 개체 아래에 있는 비밀을 선택합니다. 이름을 선택하여 Copilot Studio에서 사용할 수 있도록 할 비밀을 선택합니다.

9. 비밀의 버전을 선택합니다.

10. 태그 옆에 있는 0 태그를 선택합니다. 태그 이름과 태그 값을 추가합니다. Copilot Studio의 오류 메시지는 이 두 속성의 정확한 값을 제공해야 합니다. 태그 이름에 AllowedBots을 추가해야 하고, 태그 값에 오류 메시지에 표시된 값을 추가해야 합니다. 이 값의 형식은 {envId}/{schemaName}과 같습니다. 허용해야 하는 Copilot이 여러 개 있는 경우 값을 쉼표로 구분합니다. 완료하면 확인을 선택합니다.

11. 비밀에 태그를 적용하려면 적용을 선택합니다.

12. Copilot Studio로 돌아갑니다. Copilot 테스트 창에서 새로 고침을 선택합니다.

13. 테스트 창에서 토픽의 시작 구 중 하나를 사용하여 토픽을 다시 테스트합니다.

보안 암호의 값이 테스트 패널에 표시되어야 합니다.

환경의 모든 Copilot이 Azure Key Vault의 비밀에 액세스할 수 있도록 태그를 추가합니다

또는 환경의 모든 Copilot이 Azure Key Vault의 비밀에 액세스하도록 허용할 수 있습니다. 작업을 완료하려면 다음 단계를 수행합니다.

1. Azure Key Vault로 이동합니다. 왼쪽 탐색창에서 개체 아래에 있는 비밀을 선택합니다. 이름을 선택하여 Copilot Studio에서 사용할 수 있도록 할 비밀을 선택합니다.
2. 비밀의 버전을 선택합니다.
3. 태그 옆에 있는 0 태그를 선택합니다. 태그 이름과 태그 값을 추가합니다. 태그 이름에 AllowedEnvironments를 추가하고 태그 값에 허용하려는 환경의 환경 ID를 추가합니다. 완료하면 확인을 선택합니다
4. 비밀에 태그를 적용하려면 적용을 선택합니다.

제한 사항

Azure Key Vault 비밀을 참조하는 환경 변수는 현재 Power Automate 흐름, Copilot Studio 에이전트 및 사용자 지정 커넥터와 함께 사용하도록 제한됩니다.

Azure Key Vault 프라이빗 링크를 환경 변수와 통합

환경 변수와 함께 Azure Key Vault 암호를 사용하려면 Power Platform이 참조하려는 특정 암호를 참조할 수 있도록 Azure Key Vault를 구성해야 합니다. 이 기능을 사용하면 프라이빗 링크를 통해 연결되는 Azure Key Vault 비밀이 있는 환경 변수를 지원하여 보안을 강화하고 더욱 강력한 통합을 제공할 수 있습니다.

1. Power Platform에 대한 Azure Virtual Network 지원을 설정하여 환경 변수를 공용 인터넷에 노출하지 않고 Azure Key Vault 비밀과 통합합니다. 자세한 지침은 가상 네트워크 설정으로 이동하세요.

2. 테넌트 간 통합이 지원되지 않으므로 Key Vault 및 Power Platform Virtual Network에 대한 Azure 구독이 동일한 테넌트에 있는지 확인합니다.

3. 환경 변수를 만드는 사용자에게 Azure Key Vault 리소스에 대한 적절한 권한이 있는지 확인합니다. 자세한 내용은 Azure Key Vault 구성으로 이동하세요

4. 키 자격 증명 모음을 만들고 프라이빗 링크 연결을 설정합니다. 키 자격 증명 모음을 만드는 단계에는 다음 작업이 포함되어야 합니다.

   • 공용 액세스를 비활성화합니다.
   • 프라이빗 엔드포인트 만들기
   • 이 프라이빗 엔드포인트를 만들려는 가상 네트워크 및 서브넷을 선택합니다. Power Platform에 위임된 Virtual Network(가상 네트워크)를 연결해야 합니다.
   • 프라이빗 링크 연결의 유효성을 검사합니다.

   자세한 단계는 Power Platform에 대한 가상 네트워크 지원 설정을 참조하세요.

5. Azure Key Vault에 연결하여 환경 변수 비밀을 만듭니다.

참조

캔버스 앱에서 데이터 원본 환경 변수 사용
Power Automate 솔루션 클라우드 흐름에 환경 변수 사용
환경 변수 개요.