빠른 시작: Azure 서비스 연결 및 Azure Key Vault에 비밀 저장
Azure Key Vault는 보안 비밀 저장소를 제공하는 클라우드 서비스입니다. 키, 암호, 인증서 및 기타 비밀을 안전하게 저장할 수 있습니다. 서비스 연결을 만들 때 액세스 키와 비밀을 연결된 Key Vault에 안전하게 저장할 수 있습니다. 이 자습서에서는 Azure Portal을 사용하여 다음 작업을 완료합니다. 두 방법 모두 다음 절차에 설명되어 있습니다.
- Azure App Service의 Azure Key Vault에 대한 서비스 연결 만들기
- Azure Blob Storage에 대한 서비스 연결을 만들고 Key Vault에 비밀 저장
- Key Vault의 비밀 보기
필수 조건
서비스 연결을 만들고 Service Connector를 사용하여 Key Vault에 비밀을 저장하려면 다음이 필요합니다.
- 서비스 커넥터 사용에 대한 기본 지식
- 활성 구독이 있는 Azure 계정. 체험 계정을 만듭니다.
- App Service에서 호스트되는 앱. 아직 없는 경우 앱을 만들고 App Service에 배포합니다.
- Azure Key Vault. 아직 없는 경우 Azure Key Vault를 만듭니다.
- Service Connector에서 지원하는 다른 대상 서비스 인스턴스. 이 자습서에서는 Azure Blob Storage를 사용합니다 .
- App Service, Key Vault 및 대상 서비스에 대한 읽기 및 쓰기 권한입니다.
App Service에서 Key Vault 연결 만들기
연결 액세스 키 및 비밀을 키 자격 증명 모음에 저장하려면 먼저 App Service를 키 자격 증명 모음에 연결합니다.
Azure Portal에서 검색 메뉴에 App Service를 입력하고 목록에서 사용할 App Service 이름을 선택합니다.
왼쪽 목차에서 서비스 커넥터를 선택합니다. 다음으로 만들기를 선택합니다.
다음 설정을 선택하거나 입력합니다.
설정 제안 값 설명 서비스 종류 Key Vault 대상 서비스 유형입니다. Key Vault가 없는 경우 하나를 만듭니다. 구독 구독 중 하나입니다. 대상 서비스가 배포되는 구독입니다. 대상 서비스란 연결하려는 서비스입니다. 기본값은 App Service에 대해 나열된 구독입니다. 연결 이름 생성된 고유 이름 App Service와 대상 서비스 간의 연결을 식별하는 연결 이름 Key Vault 이름 Key Vault 이름 연결하려는 대상 Key Vault입니다. 클라이언트 유형 이 App Service의 동일한 앱 스택 선택한 대상 서비스에서 작동하는 애플리케이션 스택입니다. 기본값은 App Service 런타임 스택에서 가져옵니다. 다음: 인증을 선택하여 인증 형식을 선택합니다. 그런 다음, 시스템이 할당한 관리 ID를 선택하여 Key Vault에 연결합니다.
다음: 네트워크를 선택하여 네트워크 구성을 선택합니다. 그런 다음, App Service가 Key Vault에 연결할 수 있도록 방화벽 설정 사용을 선택하여 Key Vault의 방화벽 허용 목록을 업데이트합니다.
그런 다음을 다음: 검토 + 만들기를 선택하여 제공된 정보를 검토합니다. 만들기를 선택하여 서비스 연결을 만듭니다. 작업을 완료하는 데 1분 정도 걸릴 수 있습니다.
App Service에서 Blob Storage 연결을 만들고 Key Vault에 액세스 키를 저장합니다.
이제 다른 대상 서비스에 대한 서비스 연결을 만들고 인증을 위해 연결 문자열/액세스 키 또는 서비스 주체를 사용할 때 액세스 키를 연결된 Key Vault에 직접 저장할 수 있습니다. 아래 예제로 Blob Storage를 사용합니다. 다른 대상 서비스에 대해 동일한 프로세스를 따릅니다.
Azure Portal에서 검색 메뉴에 App Service를 입력하고 목록에서 사용할 App Service 이름을 선택합니다.
왼쪽 목차에서 서비스 커넥터를 선택합니다. 다음으로 만들기를 선택합니다.
다음 설정을 선택하거나 입력합니다.
설정 제안 값 설명 서비스 종류 Blob Storage 대상 서비스 유형입니다. Storage Blob 컨테이너가 없는 경우 해당 컨테이너를 만들거나 다른 서비스 유형을 사용할 수 있습니다. 구독 구독 중 하나 대상 서비스가 배포되는 구독입니다. 대상 서비스란 연결하려는 서비스입니다. 기본값은 App Service에 대해 나열된 구독입니다. 연결 이름 생성된 고유 이름 App Service와 대상 서비스 간의 연결을 식별하는 연결 이름입니다. 스토리지 계정 스토리지 계정 연결하려는 대상 스토리지 계정입니다. 다른 서비스 유형을 선택하는 경우 해당하는 대상 서비스 인스턴스를 선택합니다. 클라이언트 유형 이 App Service의 동일한 앱 스택 선택한 대상 서비스에서 작동하는 애플리케이션 스택입니다. 기본값은 App Service 런타임 스택에서 가져옵니다. 인증 설정
Important
사용 가능한 가장 안전한 인증 흐름을 사용하는 것이 권장됩니다. 이 절차에서 설명된 인증 흐름은 다른 흐름에는 없는 위험을 전달하며, 애플리케이션에서 매우 높은 신뢰 수준을 요구합니다. 이 흐름은 관리 ID와 같은 보다 안전한 다른 흐름을 실행할 수 없는 경우에만 사용되어야 합니다.
다음: 인증을 선택하여 인증 유형을 선택하고 연결 문자열을 선택하여 액세스 키를 통해 스토리지 계정을 연결합니다.
설정 제안 값 설명 Key Vault에 비밀 저장 확인 이 옵션을 사용하면 Service Connector가 Key Vault에 연결 문자열/액세스 키를 저장할 수 있습니다. Key Vault 연결 Key Vault 연결 중 하나 연결 문자열/액세스 키를 저장할 Key Vault를 선택합니다. App Service가 Key Vault에 연결할 수 있도록 다음: 네트워크 및 방화벽 설정 사용을 선택하여 Key Vault의 방화벽 허용 목록을 업데이트합니다.
그런 다음을 다음: 검토 + 만들기를 선택하여 제공된 정보를 검토합니다.
만들기를 선택하여 서비스 연결을 만듭니다. 작업을 완료하는 데 최대 1분 정도 걸릴 수 있습니다.
Key Vault의 구성 보기
Blob Storage 연결을 확장하고 숨겨진 값을 선택합니다. 값을 클릭하여 표시합니다. 값이 Key Vault 참조임을 알 수 있습니다.
Key Vault 연결의 서비스 유형 열에서 Key Vault를 선택합니다. Key Vault 포털 페이지로 리디렉션됩니다.
Key Vault 왼쪽 ToC에서 비밀을 선택하고 Blob Storage 비밀 이름을 선택합니다.
팁
비밀을 나열할 수 있는 권한이 없나요? Azure Key Vault 문제 해결을 참조하세요.
현재 버전 목록에서 버전 ID를 선택합니다.
비밀 값 표시를 선택하여 이 Blob 스토리지 연결의 연결 문자열을 가져옵니다.
리소스 정리
더 이상 필요하지 않으면 이 자습서용으로 생성된 리소스 그룹 및 모든 관련 리소스를 삭제합니다. 이렇게 하려면 만든 리소스 그룹 또는 개별 리소스를 선택하고 삭제를 선택합니다.