다음을 통해 공유


AKV 및 ACC(Azure 기밀 컴퓨팅)를 사용하는 보안 키 릴리스 기능

SKR(보안 키 릴리스)은 AKV(Azure Key Vault) 관리되는 HSM 및 프리미엄 제품에 포함된 기능입니다. 보안 키 릴리스를 사용하면 AKV에서 보안 Enclave, VM 기반 TEE 등과 같은 증명된 TEE(신뢰 실행 환경)로 HSM 보호 키를 릴리스할 수 있습니다. SKR은 데이터 암호 해독/암호화 키에 또 다른 액세스 보호 계층을 추가합니다. 여기서 알려진 구성으로 애플리케이션 + TEE 런타임 환경을 대상으로 할 수 있는 키 자료에 대한 액세스 권한을 얻습니다. 내보내기 가능 키를 만들 때 정의된 SKR 정책은 이러한 키에 대한 액세스를 제어합니다.

AKV 제품에 대한 SKR 지원

TEE를 사용하는 전체 보안 키 릴리스 흐름

SKR은 MAA(Microsoft Azure Attestation) 생성 클레임만을 바탕으로 키를 릴리스할 수 있습니다. MAA 클레임에 대한 SKR 정책 정의에 긴밀한 통합이 있습니다.

보안 키 릴리스 흐름의 다이어그램.

아래 단계는 AKV Premium 용입니다.

1단계: Key Vault Premium HSM 지원 만들기

Az CLI 기반 AKV 만들기에 대한 자세한 내용은 여기를 참조하세요.

[--sku] 값을 "premium"으로 설정해야 합니다.

2단계: 보안 키 릴리스 정책 만들기

보안 키 릴리스 정책은 json 형식 릴리스 정책이며 여기에 정의되어 있습니다. 키를 릴리스하기 위한 권한을 부여하는 것 외에도 필요한 클레임 집합을 지정합니다. 여기서 클레임은 여기에 SGXAMD SEV-SNP CVM에 대해 참조된 MAA 기반 클레임입니다.

자세한 내용은 TEE 전용 예제 페이지를 참조하세요. SKR 정책 문법에 대한 자세한 내용은 Azure Key Vault 보안 키 릴리스 정책 문법을 참조하세요.

SKR 정책을 설정하기 전에 원격 증명 흐름을 통해 TEE 애플리케이션을 실행해야 합니다. 원격 증명은 이 자습서에서 다루지 않습니다.

예시

{
    "version": "1.0.0",
    "anyOf": [ // Always starts with "anyOf", meaning you can multiple, even varying rules, per authority.
        {
            "authority": "https://sharedweu.weu.attest.azure.net",
            "allOf": [ // can be replaced by "anyOf", though you cannot nest or combine "anyOf" and "allOf" yet.
                {
                    "claim": "x-ms-isolation-tee.x-ms-attestation-type", // These are the MAA claims.
                    "equals": "sevsnpvm"
                },
                {
                    "claim": "x-ms-isolation-tee.x-ms-compliance-status",
                    "equals": "azure-compliant-cvm"
                }
            ]
        }
    ]
}


3단계: 연결된 SKR 정책을 사용하여 AKV에서 내보내기 가능 키 만들기

키 유형 및 기타 관련 특성에 대한 정확한 세부 정보는 여기에서 확인할 수 있습니다.

az keyvault key create --exportable true --vault-name "vault name from step 1" --kty RSA-HSM --name "keyname" --policy "jsonpolicyfromstep3 -can be a path to JSON"

4단계: TEE 내에서 실행되는 애플리케이션이 원격 증명 수행

이 단계는 애플리케이션을 실행하는 TEE의 유형에 따라 다릅니다. Intel SGX Enclave 또는 AMD SEV-SNP 기반 CVM(기밀 Virtual Machines)이거나 AMD SEV-SNP 등을 사용하여 CVM Enclave에서 실행되는 기밀 컨테이너일 수 있습니다.

Azure과 함께 제공되는 다양한 TEE 유형에 대한 다음 참조 예제를 따르세요.

FAQ(질문과 대답)

기밀이 아닌 컴퓨팅 제품으로 SKR을 수행할 수 있나요?

아니요. SKR에 연결된 정책은 하드웨어 기반 TEE에 연결된 MAA 클레임만 이해합니다.

내 증명 공급자나 서비스를 가져와서 AKV에 대한 해당 클레임을 사용해 유효성을 검사하고 릴리스할 수 있나요?

아니요. AKV는 현재 MAA만 이해 및 통합합니다.

AKV SDK를 사용하여 키 릴리스를 수행할 수 있나요?

예. 7.3 AKV API와 통합된 최신 SDK는 키 릴리스를 지원합니다.

키 릴리스 정책의 몇 가지 예시를 알려주세요.

TEE 유형별 자세한 예제는 여기에서 확인할 수 있습니다.

SKR 정책 유형을 인증서 및 비밀에 연결할 수 있나요?

아니요. 현재는 불가능합니다.

참조

SKR 정책 예제

Azure Container Instance의 기밀 컨테이너의 컨테이너 사이드카를 사용하여 보안 키 릴리스

AMD SEV-SNP 애플리케이션의 CVM 및 보안 키 릴리스 예제

AKV REST API 및 SKR 세부 정보

Azure Key Vault 보안 키 릴리스 정책 문법

AKV SDK