Azure Key Vault를 사용하면 Microsoft Azure 애플리케이션 및 사용자가 키, 비밀 및 인증서와 같은 여러 유형의 비밀 및 키 데이터를 저장하고 사용할 수 있습니다. 키, 비밀 및 인증서를 통칭하여 "개체"라고 합니다.
개체 식별자
Key Vault는 개체 식별자라는 대/소문자를 구분하지 않는 식별자를 사용하여 개체를 고유하게 식별합니다. 지리적 위치에 관계없이 시스템의 두 개체에 동일한 식별자가 없습니다. 식별자는 키 자격 증명 모음, 개체 유형, 사용자가 제공한 개체 이름 및 개체 버전을 식별하는 접두사로 구성됩니다. 개체 버전을 포함하지 않는 식별자를 "기본 식별자"라고 합니다. Key Vault 개체 식별자도 유효한 URL이지만 항상 대/소문자를 구분하지 않는 문자열로 비교합니다.
자세한 내용은 인증, 요청 및 응답을 참조하세요.
개체 식별자의 일반적인 형식은 다음과 같습니다(컨테이너 유형에 따라 다름).
자격 증명 모음의 경우:
https://{vault-name}.vault.azure.net/{object-type}/{object-name}/{object-version}관리형 HSM 풀의 경우:
https://{hsm-name}.managedhsm.azure.net/{object-type}/{object-name}/{object-version}
참고
각 컨테이너 형식에서 지원되는 개체 형식은 개체 형식 지원을 참조하세요.
위치:
| 요소 | 설명 |
|---|---|
vault-name 또는 hsm-name |
Microsoft Azure Key Vault 서비스의 키 자격 증명 모음 또는 관리형 HSM 풀의 이름입니다. 전역적으로 고유한 볼트 이름 및 관리형 HSM 풀 이름을 사용자가 선택합니다. 자격 증명 모음 이름 및 관리형 HSM 풀 이름은 0~9, a~z, A~Z 및 -만 포함된 3~24자 길이의 문자열이어야 합니다. |
object-type |
개체의 유형, “키”, “비밀” 또는 “인증서”. |
object-name |
object-name은 사용자가 제공한 이름이며 키 자격 증명 모음 내에서 고유해야 합니다. 이름은 0-9, a-z, A-Z 및 -만 포함하는 1-127자 문자열이어야 합니다. |
object-version |
object-version은 시스템에서 생성된 32자의 문자열 식별자이며, 필요에 따라 고유한 버전의 개체를 처리하는 데 사용됩니다. |
개체 식별자에 대한 DNS 접미사
Azure Key Vault 리소스 공급자는 자격 증명 모음과 관리형 HSM이라는 두 가지 리소스 유형을 지원합니다. 이 표에서는 다양한 클라우드 환경에서 볼트 및 관리형 HSM의 데이터 평면 끝점에 사용되는 DNS 접미사를 보여 줍니다.
| 클라우드 환경 | 자격 증명 모음의 DNS 접미사 | 관리형 HSM의 DNS 접미사 |
|---|---|---|
| Azure Cloud | .vault.azure.net | .managedhsm.azure.net |
| 21Vianet에서 운영하는 Microsoft Azure 클라우드 | .vault.azure.cn | .managedhsm.azure.cn |
| Azure 미국 정부 | .vault.usgovcloudapi.net | .managedhsm.usgovcloudapi.net |
개체 유형
이 표에는 개체 식별자의 개체 형식 및 해당 접미사가 나와 있습니다.
| 객체 유형 | 식별자 접미사 | 자격 증명 모음 | 관리형 HSM 풀 |
|---|---|---|---|
| 암호화 키 | |||
| HSM 보호 키 | /keys | 지원됨 | 지원됨 |
| 소프트웨어 보호 키 | /keys | 지원됨 | 지원되지 않음 |
| 기타 개체 형식 | |||
| 비밀 | /비밀 | 지원됨 | 지원되지 않음 |
| 인증서 | /인증서 | 지원됨 | 지원되지 않음 |
| Storage 계정 키 | /보관 | 지원됨 | 지원되지 않음 |
- 암호화 키: 여러 키 형식 및 알고리즘을 지원하고 소프트웨어 보호 및 HSM 보호 키를 사용할 수 있도록 합니다. 자세한 내용은 키 정보를 참조하세요.
- 비밀: 암호, 데이터베이스 연결 문자열 등의 비밀을 안전하게 스토리지합니다. 자세한 내용은 비밀 정보를 참조하세요.
- 인증서: 인증서를 지원합니다. 인증서는 키와 비밀을 기반으로 하며 자동 갱신 기능을 추가합니다. 인증서를 만들 때 프로세스는 동일한 이름의 주소 지정 가능 키와 비밀을 만듭니다. 자세한 내용은 인증서 정보를 참조하세요.
- Azure Storage 계정 키: 관리자를 대신하여 Azure Storage 계정의 키를 관리할 수 있습니다. 내부적으로 Key Vault는 Azure Storage 계정을 사용하여 키를 나열(동기화)하고, 주기적으로 키를 다시 생성(회전)할 수 있습니다. 자세한 내용은 Key Vault를 사용하여 스토리지 계정 키 관리를 참조하세요.
Key Vault에 대한 일반적 내용은 Azure Key Vault 정보를 참조하세요. 관리형 HSM 풀에 대한 자세한 내용은 Azure Key Vault 관리형 HSM이란?을 참조하세요.
데이터 형식
키, 암호화 및 서명에 대한 관련 데이터 형식은 JOSE 사양을 참조하세요.
- 알고리즘 - 키 작업에 지원되는 알고리즘(예: RSA_OAEP_256
- ciphertext-value - Base64URL을 사용하여 인코딩된 암호 텍스트 옥텟
- digest-value - Base64URL을 사용하여 인코딩된 해시 알고리즘의 출력
- key-type - RSA(Rivest-Shamir-Adleman)와 같이 지원되는 키 형식 중 하나입니다.
- plaintext-value - Base64URL을 사용하여 인코딩된 일반 텍스트 8진수
- signature-value - Base64URL을 사용하여 인코딩된 서명 알고리즘의 출력
- base64URL - Base64URL[RFC4648]을 사용하여 인코딩된 이진 값
- 부울 - true 또는 false 중 하나
- ID - Microsoft Entra ID의 ID입니다.
- IntDate - 1970-01-01T0:0:0Z UTC에서 지정된 UTC 날짜/시간까지의 초 수를 나타내는 JSON 10진수 값입니다. 일반적 날짜/시간, 특히 UTC에 대한 자세한 내용은 RFC3339를 참조하세요.
개체, 식별자 및 버전 관리
Key Vault는 개체의 새 인스턴스를 만들 때마다 개체를 버전화합니다. 각 버전에는 고유한 개체 식별자가 있습니다. 개체를 만들 때 고유한 버전 식별자를 제공하고 개체의 현재 버전으로 만듭니다. 동일한 개체 이름으로 새 인스턴스를 만들 때 새 개체에 고유한 버전 식별자를 지정하고 현재 버전으로 만듭니다.
버전을 지정하거나 버전을 생략하여 Key Vault에서 개체를 검색하여 개체의 최신 버전을 가져올 수 있습니다. 개체에 대한 작업을 수행하려면 특정 버전의 개체를 사용할 버전을 제공해야 합니다.
참고
서비스는 Azure 리소스 또는 개체 ID에 대해 제공하는 값을 전역적으로 복사할 수 있습니다. 사용자가 제공한 값에 개인 식별 가능 또는 중요한 정보를 포함하지 마세요.