다음을 통해 공유

기밀 VM에 대한 고객 관리형 키 회전

  • 아티클

Azure의 기밀 VM(기밀 가상 머신)은 고객 관리형 키를 지원합니다. 고객 관리형 키는 기밀 VM 및 관련 아티팩트가 제대로 작동하는 데 도움이 됩니다. Azure Key Vault에서 또는 관리형 HSM(하드웨어 보안 모듈)을 통해 이러한 키를 관리할 수 있습니다. 이 문서에서는 달리 명시되지 않는 한 관리형 HSM을 통해 키를 관리하는 데 중점을 둡니다.

고객 관리형 키를 사용하려면 기밀 VM을 만들 때 디스크 암호화 집합 리소스를 제공해야 합니다. 디스크 암호화 집합은 고객 관리형 키를 참조해야 합니다. 일반적으로 단일 디스크 암호화 집합을 여러 기밀 VM과 연결할 수 있습니다. 보안 모범 사례로 고객 관리형 키를 주기적으로 회전하는 것이 좋습니다. 회전 빈도는 조직 정책 결정입니다. 고객 관리형 키가 손상된 경우에도 회전이 필요합니다.

고객 관리형 키 변경

언제든지 기밀 VM에 사용하는 키를 변경할 수 있습니다. 고객 관리형 키를 회전하려면 다음을 수행합니다.

  1. Azure Portal에 로그인합니다.
  2. Virtual Machines 서비스로 이동합니다.
  3. 동일한 디스크 암호화 집합을 사용하여 모든 기밀 VM을 중지합니다. 하나 이상의 VM이 중지된 상태가 아닌 경우 VM 중 어느 것도 새 키를 받을 수 없습니다.
  4. 디스크 암호화 집합 서비스로 이동합니다.
  5. 기밀 VM과 연결된 디스크 암호화 집합 리소스를 선택합니다.
  6. 리소스 메뉴의 설정 아래에서 를 선택합니다.
  7. 키 변경을 선택합니다.
  8. 적절한 키 자격 증명 모음, 키 및 버전을 선택합니다.
  9. 변경 내용을 저장합니다. 저장 작업은 모든 기밀 VM 아티팩트의 키를 업데이트합니다.

키 회전 다시 시도

드물게 모든 VM이 중지된 경우에도 고객 관리형 키가 모든 기밀 VM에 대해 회전되지 않을 수 있습니다. 고객 관리형 키가 회전되지 않으면 디스크 암호화 집합 리소스에 이전 키에 대한 참조가 계속 포함됩니다. 이 상태에서 일부 기밀 VM은 새 키를 가질 수 있으며 일부는 이전 키를 가질 수 있습니다.

이 문제를 해결하려면 디스크 암호화 집합을 업데이트하는 단계를 반복합니다.

제한 사항

  • 자동 키 회전은 현재 기밀 VM에 대해 지원되지 않습니다.
  • 임시 디스크에는 키 회전이 지원되지 않습니다. 임시 디스크가 있는 기밀 VM에 대해 별도의 디스크 암호화 집합을 사용하는 것이 좋습니다. 임시 디스크와 임시 디스크가 아닌 기밀 VM이 동일한 디스크 암호화 집합을 공유하는 경우 임시 디스크가 아닌 기밀 VM의 키를 회전하기 전에 임시 디스크가 있는 기밀 VM을 삭제해야 합니다.