다음을 통해 공유

Azure NetApp Files 볼륨 암호화용 관리되는 하드웨어 보안 모듈을 사용하여 고객 관리형 키 구성

  • 아티클

관리되는 HSM(하드웨어 보안 모듈)을 사용하여 고객 관리형 키를 사용하는 Azure NetApp Files 볼륨 암호화는 Azure NetApp Files 볼륨 암호화 기능용 고객 관리형 키에 대한 확장입니다. HSM을 사용하는 고객 관리형 키를 사용하면 AKV(Azure Key Vault)에서 사용하는 FIPS 140-2 수준 1 또는 수준 2 서비스 대신 더 안전한 FIPS 140-2 수준 3 HSM에 암호화 키를 저장할 수 있습니다.

요구 사항

  • 관리되는 HSM을 사용하는 고객 관리형 키는 2022.11 이상 API 버전을 사용하여 지원됩니다.
  • 관리되는 HSM을 사용하는 고객 관리형 키는 기존 암호화가 없는 Azure NetApp Files 계정에만 지원됩니다.
  • 관리되는 HSM 볼륨이 있는 고객 관리형 키를 사용하여 볼륨을 만들려면 먼저 다음을 확인해야 합니다.
    • 하나 이상의 키를 포함하는 Azure Key Vault 만듦.
      • 키 자격 증명 모음에는 일시 삭제 및 보호 제거가 설정되어 있어야 합니다.
      • 키가 RSA 형식이어야 함.
    • Microsoft.Netapp/volumes에 위임된 서브넷을 사용하여 VNet을 만듦.
    • Azure NetApp Files 계정에 대한 사용자 또는 시스템 할당 ID.
    • 관리되는 HSM을 프로비전하고 활성화함.

지원되는 지역

  • 오스트레일리아 중부
  • 오스트레일리아 중부 2
  • 오스트레일리아 동부
  • 오스트레일리아 남동부
  • 브라질 남부
  • 브라질 남동부
  • 캐나다 중부
  • 캐나다 동부
  • 인도 중부
  • 미국 중부
  • 동아시아
  • 미국 동부
  • 미국 동부 2
  • 프랑스 중부
  • 독일 북부
  • 독일 중서부
  • 이스라엘 중부
  • 이탈리아 북부
  • 일본 동부
  • 일본 서부
  • 한국 중부
  • 미국 중북부
  • 북유럽
  • 노르웨이 동부
  • 노르웨이 서부
  • 카타르 중부
  • 남아프리카 북부
  • 미국 중남부
  • 인도 남부
  • 동남 아시아
  • 스페인 중부
  • 스웨덴 중부
  • 스위스 북부
  • 스위스 서부
  • 아랍에미리트 중부
  • 아랍에미리트 북부
  • 영국 남부
  • 서유럽
  • 미국 서부
  • 미국 서부 2
  • 미국 서부 3

기능 등록

이 기능은 현지 미리 보기로 제공됩니다. 이 기능을 처음 사용하기 전에 등록해야 합니다. 등록 후 기능이 활성화되고 백그라운드에서 작동합니다. UI 컨트롤이 필요하지 않습니다.

  1. 기능을 등록합니다.

    Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFManagedHsmEncryption

  2. 기능 등록 상태를 확인합니다.

    참고 항목

    RegistrationStateRegistered로 변경되기 전까지 최대 60분 동안 Registering 상태일 수 있습니다. Registered 상태가 될 때까지 기다린 후에 계속하세요.

    Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFManagedHsmEncryption

Azure CLI 명령 az feature registeraz feature show를 사용하여 기능을 등록하고 등록 상태를 표시할 수도 있습니다.

시스템 할당 ID에 대한 관리되는 HSM을 사용하는 고객 관리형 키 구성

시스템 할당 ID를 사용하여 고객 관리형 키를 구성하는 경우 Azure는 시스템 할당 ID를 추가하여 NetApp 계정을 자동으로 구성합니다. 액세스 정책은 받기, 암호화, 암호 해독 키 권한으로 Azure Key Vault에 만들어집니다.

요구 사항

시스템 할당 ID를 사용하려면 자격 증명 모음 액세스 정책을 사용 권한 모델로 사용하도록 Azure Key Vault를 구성해야 합니다. 그렇지 않으면 사용자 할당 ID를 사용해야 합니다.

단계

  1. Azure Portal에서 Azure NetApp Files로 이동한 다음 암호화를 선택합니다.

  2. 암호화 메뉴에서 다음 값을 제공합니다.

    • 암호화 키 원본고객 관리형 키를 선택합니다.
    • 키 URI키 URI 입력을 선택한 다음 관리되는 HSM에 대한 URI를 제공합니다.
    • NetApp 구독을 선택합니다.
    • ID 유형시스템 할당을 선택합니다.

    키 URI 필드를 보여 주는 암호화 메뉴의 스크린샷.

  3. 저장을 선택합니다.

사용자 할당 ID에 대한 관리되는 HSM을 사용하는 고객 관리형 키 구성

  1. Azure Portal에서 Azure NetApp Files로 이동한 다음 암호화를 선택합니다.

  2. 암호화 메뉴에서 다음 값을 제공합니다.

    • 암호화 키 원본고객 관리형 키를 선택합니다.
    • 키 URI키 URI 입력을 선택한 다음 관리되는 HSM에 대한 URI를 제공합니다.
    • NetApp 구독을 선택합니다.
    • ID 유형사용자 할당을 선택합니다.

  3. 사용자 할당을 선택하면 ID를 선택할 컨텍스트 창이 열립니다.

    • Azure Key Vault가 자격 증명 모음 액세스 정책을 사용하도록 구성된 경우 Azure는 NetApp 계정을 자동으로 구성하고 사용자 할당 ID를 NetApp 계정에 추가합니다. 액세스 정책은 받기, 암호화, 암호 해독 키 권한으로 Azure Key Vault에 만들어집니다.
    • Azure Key Vault가 AZURE RBAC(역할 기반 액세스 제어)를 사용하도록 구성된 경우 선택한 사용자 할당 ID에 데이터 작업에 대한 권한이 있는 키 자격 증명 모음에 대한 역할 할당이 있는지 확인합니다.
      • "Microsoft.KeyVault/vaults/keys/read"
      • "Microsoft.KeyVault/vaults/keys/encrypt/action"
      • "Microsoft.KeyVault/vaults/keys/decrypt/action" 선택한 사용자 할당 ID가 NetApp 계정에 추가됩니다. RBAC를 사용자 지정할 수 있으므로 Azure Portal은 키 자격 증명 모음에 대한 액세스를 구성하지 않습니다. 자세한 내용은 Key Vault로 Azure RBAC 비밀, 키, 인증서 권한 사용을 참조하세요.

    사용자가 할당한 하위 메뉴의 스크린샷.

  4. 저장을 선택합니다.

다음 단계