사용자가 할당한 관리 ID 및 TDE용 교차 테넌트 CMK로 구성된 서버 만들기

적용 대상: Azure SQL Database

이 가이드에서는 CMK(고객 관리형 키) 및 TDE(투명한 데이터 암호화)를 통해 Azure SQL 논리 서버를 생성하는 단계를 안내합니다. 이때 사용자가 할당한 관리 ID를 활용하여 논리 서버의 테넌트와 다른 Microsoft Entra 테넌트에 있는 Azure Key Vault에 액세스합니다. 자세한 내용은 투명한 데이터 암호화에서 교차 테넌트 고객 관리형 키를 참조하세요.

참고 항목

Microsoft Entra ID는 이전에 Azure Active Directory(Azure AD)로 알려졌습니다.

필수 조건

• 이 가이드에서는 두 개의 Microsoft Entra 테넌트가 있다고 가정합니다.
  • 첫 번째 항목에는 Azure SQL Database 리소스, 다중 테넌트 Microsoft Entra 애플리케이션 및 사용자가 할당한 관리 ID가 포함됩니다.
  • 두 번째 테넌트에는 Azure Key Vault가 있습니다.
• Microsoft Entra 애플리케이션 및 Azure Key Vault를 구성하는 데 필요한 교차 테넌트 CMK 및 RBAC 권한 설정에 대한 포괄적인 지침은 다음 가이드 중 하나를 참조하세요.
  • 새 스토리지 계정에 대한 테넌트 간 고객 관리형 키 구성
  • 기존 스토리지 계정에 대한 테넌트 간 고객 관리형 키 구성

첫 번째 테넌트에 필요한 리소스

이 자습서의 목적에 따라 첫 번째 테넌트는 ISV(독립 소프트웨어 공급업체)에 속하고 두 번째 테넌트는 클라이언트에 속해 있다고 가정합니다. 이 시나리오에 대한 자세한 내용은 투명한 데이터 암호화에서 교차 테넌트 고객 관리형 키를 참조하세요.

교차 테넌트 CMK를 사용하여 Azure SQL Database에 대한 TDE를 구성하려면 먼저 애플리케이션에 대한 페더레이션 ID 자격 증명으로 할당된 사용자가 할당한 관리 ID를 사용해 구성한 다중 테넌트 Microsoft Entra 애플리케이션이 있어야 합니다. 필수 조건에서 가이드 중 하나를 따릅니다.

1. Azure SQL Database를 생성하려는 첫 번째 테넌트에서 다중 테넌트 Microsoft Entra 애플리케이션을 생성하고 구성합니다.

2. 사용자가 할당한 관리 ID 만들기

3. 다중 테넌트 애플리케이션에서 페더레이션 ID 자격 증명으로 사용자가 할당한 관리 ID 구성

4. 애플리케이션 이름 및 애플리케이션 ID를 기록합니다. Azure portal>Microsoft Entra ID>엔터프라이즈 애플리케이션에서 생성한 애플리케이션을 검색하여 찾을 수 있습니다.

두 번째 테넌트에 필요한 리소스

참고 항목

Azure AD와 MSOnline PowerShell 모듈은 2024년 3월 30일부터 더 이상 사용되지 않습니다. 자세히 알아보려면 사용 중단 업데이트를 참조하세요. 이 날짜 이후에는 이러한 모듈에 대한 지원이 Microsoft Graph PowerShell SDK 및 보안 수정 사항에 대한 마이그레이션 지원으로 제한됩니다. 사용되지 않는 모듈은 2025년 3월 30일까지 계속 작동합니다.

Microsoft Graph PowerShell로 마이그레이션하여 Microsoft Entra ID(이전의 Azure AD)와 상호 작용하는 것이 좋습니다. 일반적인 마이그레이션 관련 질문은 마이그레이션 FAQ를 참조하세요. 참고: MSOnline 버전 1.0.x는 2024년 6월 30일 이후 중단될 수 있습니다.

1. Azure Key Vault가 있는 두 번째 테넌트에서 첫 번째 테넌트로부터 등록된 애플리케이션의 애플리케이션 ID를 사용하여 서비스 주체(애플리케이션)를 생성합니다. 다음은 다중 테넌트 애플리케이션을 등록하는 방법에 관한 몇 가지 예제입니다. 각각 <TenantID> 및 <ApplicationID>를 Microsoft Entra ID의 클라이언트 테넌트 ID 및 다중 테넌트 애플리케이션의 애플리케이션 ID로 바꿉니다.

   • PowerShell:

     Connect-AzureAD -TenantID <TenantID>
     New-AzADServicePrincipal  -ApplicationId <ApplicationID>
     

   • Azure CLI:

     az login --tenant <TenantID>
     az ad sp create --id <ApplicationID>
     

2. Azure portal>Microsoft Entra ID>엔터프라이즈 애플리케이션으로 이동하고 방금 생성한 애플리케이션을 검색합니다.

3. 아직 없는 경우 Azure Key Vault를 생성하고 키 만들기를 선택합니다.

4. 액세스 정책을 생성하거나 설정합니다.

   1. 액세스 정책을 생성할 때 키 권한 아래에서 키 가져오기, 키 래핑, 키 래핑 해제 권한 선택
   2. 액세스 정책을 생성할 때 보안 주체 옵션에 첫 번째 단계에서 생성할 다중 테넌트 애플리케이션 선택

   

5. 액세스 정책 및 키가 생성되면 Key Vault에서 키를 검색하고 키 식별자를 기록합니다.

교차 테넌트 CMK(고객 관리형 키) 기반 TDE로 구성된 서버 만들기

이 가이드에서는 사용자가 할당한 관리 ID를 사용하여 Azure SQL에서 논리 서버 및 데이터베이스를 생성하는 프로세스와 교차 테넌트 고객 관리형 키를 설정하는 방법을 안내합니다. 서버 생성 단계에서 투명한 데이터 암호화를 위해 고객 관리형 키를 설정하려면 사용자가 할당한 관리 ID가 필요합니다.

Important

API를 사용하여 SQL 논리 서버를 생성하려는 사용자 또는 애플리케이션에는 구독에 대한 SQL Server 기여자 및 관리 ID 운영자 RBAC 역할 이상이 필요합니다.

포털

1. Azure Portal에서 SQL 배포 선택 옵션 페이지로 이동합니다.

2. Azure Portal에 아직 로그인하지 않은 경우 메시지가 표시되면 로그인합니다.

3. SQL 데이터베이스에서 리소스 유형을 단일 데이터베이스로 설정한 상태로 두고 만들기를 선택합니다.

4. SQL 데이터베이스 만들기 양식의 기본 탭에 있는 프로젝트 세부 정보 아래에서 원하는 Azure 구독을 선택합니다.

5. 리소스 그룹에 새로 만들기를 선택하고, 새 리소스 그룹의 이름을 입력한 다음, 확인을 선택합니다.

6. 데이터베이스 이름에 데이터베이스 이름을 입력합니다. 예들 들어 ContosoHR입니다.

7. 서버에 대해 새로 만들기를 선택하고 새 서버 양식을 다음 값으로 입력합니다.

   • 서버 이름: 고유한 서버 이름을 입력합니다. 서버 이름은 구독 내에서만 고유한 것이 아니라 Azure의 모든 서버에 대해 전역적으로 고유해야 합니다. mysqlserver135와 같은 항목을 입력하면 Azure Portal에서 사용 가능한지 여부를 알려줍니다.
   • 서버 관리자 로그인: 관리자 로그인 이름(예: azureuser)을 입력합니다.
   • 암호: 암호 요구 사항을 충족하는 암호를 입력하고, 암호 확인 필드에 다시 입력합니다.
   • 위치: 드롭다운 목록에서 위치를 선택합니다.

8. 완료되면 다음: 네트워킹을 선택합니다.

9. 네트워킹 탭에서 연결 방법에 대해 퍼블릭 엔드포인트를 선택합니다.

10. 방화벽 규칙의 경우 현재 클라이언트 IP 주소 추가를 예로 설정합니다. Azure 서비스 및 리소스가 이 서버에 액세스할 수 있도록 허용을 아니요로 설정된 상태로 둡니다. 이 페이지의 나머지 선택 영역은 기본값으로 남겨둘 수 있습니다.

    

11. 페이지 하단에서 다음: 보안을 선택합니다.

12. 보안 탭의 ID에서 ID 구성을 선택합니다.

    

13. ID 메뉴에서 시스템이 할당한 관리 ID에 대해 끄기를 선택한 다음, 사용자가 할당한 관리 ID에서 추가를 선택합니다. 원하는 구독을 선택한 다음, 사용자가 할당한 관리 ID 아래에서 선택한 구독에서 원하는 사용자가 할당한 관리 ID를 선택합니다. 그런 다음, 추가 단추를 선택합니다.

14. 기본 ID 아래의 이전 단계에서 선택한 동일한 사용자 할당 관리 ID를 선택합니다.

    

15. 페더레이션된 클라이언트 ID의 경우 ID 변경 옵션을 선택하고 필수 조건에서 생성한 다중 테넌트 애플리케이션을 검색합니다.

    

    참고 항목

    필수 권한(키 가져오기, 키 래핑, 키 래핑 해제)을 사용하여 키 자격 증명 모음 액세스 정책에 다중 테넌트 애플리케이션을 추가하지 않은 경우 Azure Portal에서 ID 페더레이션에 이 애플리케이션을 사용하면 오류가 표시됩니다. 페더레이션된 클라이언트 ID를 구성하기 전에 권한이 올바르게 구성되었는지 확인합니다.

16. 적용을 선택합니다.

17. 보안 탭의 투명한 데이터 암호화 아래에서 투명한 데이터 암호화 구성을 선택합니다. 고객 관리형 키를 선택하면 키 식별자 입력 옵션이 표시됩니다. 두 번째 테넌트에서 키에서 가져온 키 식별자를 추가합니다.

    

18. 적용을 선택합니다.

19. 페이지 아래쪽에서 검토 + 만들기를 선택합니다.

20. 검토 + 만들기 페이지에서 검토 후 만들기를 선택합니다.

Azure CLI

Azure CLI의 현재 릴리스 설치에 대한 자세한 내용은 Azure CLI 설치 문서를 참조하세요.

az sql server create 명령을 사용하여 사용자가 할당한 관리 ID 및 교차 테넌트 고객 관리형 TDE로 구성된 서버를 생성합니다. 두 번째 테넌트에서 키 식별자를 key-id 필드에 사용할 수 있습니다. 다중 테넌트 애플리케이션의 애플리케이션 ID를 federated-client-id 필드에서 사용할 수 있습니다.

az sql server create \
    --name $serverName \
    --resource-group $resourceGroupName \
    --location $location  \
    --admin-user $adminlogin \
    --admin-password $password \
    --assign-identity \
    --identity-type $identitytype \
    --user-assigned-identity-id $identityid \
    --primary-user-assigned-identity-id $primaryidentityid \
    --key-id $keyid \
    --federated-client-id $federatedid
 

az sql db create 명령을 사용하여 데이터베이스를 만듭니다.

az sql db create \
    --resource-group $resourceGroupName \
    --server $serverName \
    --name mySampleDatabase \
    --sample-name AdventureWorksLT \
    --edition GeneralPurpose \
    --compute-model Serverless \
    --family Gen5 \
    --capacity 2

PowerShell

PowerShell을 사용하여 사용자 할당 관리 ID 및 교차 테넌트 고객 관리형 TDE로 구성된 서버를 생성합니다.

Az PowerShell 모듈 설치 지침은 Azure PowerShell 설치를 참조하세요. 특정 cmdlet은 AzureRM.Sql을 참조하세요.

New-AzSqlServer cmdlet을 사용합니다.

예제에서 다음 값을 바꿉니다.

• <ResourceGroupName>: Azure SQL 논리 서버에 대한 리소스 그룹의 이름
• <Location>: 서버의 위치(예: West US 또는 Central US)
• <ServerName>: 고유한 Azure SQL 논리 서버 이름을 사용합니다.
• <ServerAdminName>: SQL 관리자 로그인
• <ServerAdminPassword>: SQL 관리자 암호
• <IdentityType>: 서버에 할당할 ID 유형. 가능한 값은 SystemAssigned, UserAssigned, SystemAssigned,UserAssigned 및 None입니다.
• <UserAssignedIdentityId>: 서버에 할당할 사용자 할당 관리 ID 목록(하나 또는 여러 개일 수 있음)
• <PrimaryUserAssignedIdentityId>: 이 서버에서 기본 또는 기본값으로 사용해야 하는 사용자 할당 관리 ID
• <CustomerManagedKeyId>: 두 번째 테넌트 Key Vault의 키 식별자
• <FederatedClientId>: 다중 테넌트 애플리케이션의 애플리케이션 ID

사용자 할당 관리 ID 리소스 ID를 가져오려면 Azure Portal에서 관리 ID를 검색합니다. 관리 ID를 찾아 속성으로 이동합니다. UMI 리소스 ID의 예는 /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>와 같습니다.

# create a server with user-assigned managed identity and cross-tenant customer-managed TDE
$params = @{
    ResourceGroupName = "<ResourceGroupName>"
    Location = "<Location>"
    ServerName = "<ServerName>"
    ServerVersion = "12.0"
    SqlAdministratorCredentials = (Get-Credential)
    SqlAdministratorLogin = "<ServerAdminName>"
    SqlAdministratorPassword = "<ServerAdminPassword>"
    AssignIdentity = $true
    IdentityType = "<IdentityType>"
    UserAssignedIdentityId = "<UserAssignedIdentityId>"
    PrimaryUserAssignedIdentityId = "<PrimaryUserAssignedIdentityId>"
    KeyId = "<CustomerManagedKeyId>"
    FederatedClientId = "<FederatedClientId>"
}

New-AzSqlServer @params

ARM 템플릿

다음은 사용자 할당 관리 ID 및 고객 관리형 TDE로 Azure SQL 논리 서버를 만드는 ARM 템플릿의 예입니다. 교차 테넌트 CMK의 경우 두 번째 테넌트 Key Vault의 키 식별자와 다중 테넌트 애플리케이션의 애플리케이션 ID를 사용합니다.

또한 템플릿은 서버에 대한 Microsoft Entra 관리자 집합을 추가하고 Microsoft Entra 전용 인증을 활성화할 수 있지만 템플릿 예제에서 제거할 수 있습니다.

ARM 템플릿에 대한 자세한 내용은 Azure SQL 데이터베이스 및 SQL Managed Instance용 ARM 템플릿을 참조하세요.

Azure Portal의 사용자 지정 배포를 사용하고 편집기에서 사용자 고유의 템플릿을 빌드합니다. 다음으로, 예시에 붙여넣은 후에 구성을 저장합니다.

사용자 할당 관리 ID 리소스 ID를 가져오려면 Azure Portal에서 관리 ID를 검색합니다. 관리 ID를 찾아 속성으로 이동합니다. UMI 리소스 ID의 예는 /subscriptions/<subscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<managedIdentity>와 같습니다.

{
    "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.1",
    "parameters": {
        "server": {
            "type": "String"
        },
        "location": {
            "type": "String"
        },
        "aad_admin_name": {
            "type": "String",
            "metadata": {
                "description": "The name of the Azure AD admin for the SQL server."
            }
        },
        "aad_admin_objectid": {
            "type": "String",
            "metadata": {
                "description": "The Object ID of the Azure AD admin."
            }
        },
        "aad_admin_tenantid": {
            "type": "String",
            "defaultValue": "[subscription().tenantId]",
            "metadata": {
                "description": "The Tenant ID of the Azure Active Directory"
            }
        },
        "aad_admin_type": {
            "defaultValue": "User",
            "allowedValues": [
                "User",
                "Group",
                "Application"
            ],
            "type": "String"
        },
        "aad_only_auth": {
            "defaultValue": true,
            "type": "Bool"
        },
        "user_identity_resource_id": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Resource ID of the user-assigned managed identity."
            }
        },
        "federated_clientid": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The Application ID of the multi-tenant application."
            }
        },
        "keyvault_url": {
            "defaultValue": "",
            "type": "String",
            "metadata": {
                "description": "The key vault URI."
            }
        },
        "AdminLogin": {
            "minLength": 1,
            "type": "String"
        },
        "AdminLoginPassword": {
            "type": "SecureString"
        }
    },
    "resources": [
        {
            "type": "Microsoft.Sql/servers",
            "apiVersion": "2022-05-01-preview",
            "name": "[parameters('server')]",
            "location": "[parameters('location')]",
            "identity": {
                "type": "UserAssigned",
                "UserAssignedIdentities": {
                    "[parameters('user_identity_resource_id')]": {}
                }
            },
            "properties": {
                "administratorLogin": "[parameters('AdminLogin')]",
                "administratorLoginPassword": "[parameters('AdminLoginPassword')]",
                "PrimaryUserAssignedIdentityId": "[parameters('user_identity_resource_id')]",
                "federatedClientId": "[parameters('federated_clientid')]",
                "KeyId": "[parameters('keyvault_url')]",
                "administrators": {
                    "login": "[parameters('aad_admin_name')]",
                    "sid": "[parameters('aad_admin_objectid')]",
                    "tenantId": "[parameters('aad_admin_tenantid')]",
                    "principalType": "[parameters('aad_admin_type')]",
                    "azureADOnlyAuthentication": "[parameters('aad_only_auth')]"
                }
            }
        }
    ]
}

다음 단계

• TDE에 대한 Azure Key Vault 통합 및 BYOK(Bring Your Own Key) 지원 시작: Key Vault에서 고유 키를 사용하여 TDE를 설정
• 투명한 데이터 암호화에서 교차 테넌트 고객 관리형 키

참고 항목

• 데이터베이스 수준에서 고객 관리형 키 기반 TDE(투명한 데이터 암호화)
• 데이터베이스 수준 고객 관리형 키를 사용하는 투명한 데이터 암호화에 대한 지역 복제 및 백업 복원 구성
• 데이터베이스 수준 고객 관리형 키를 사용하는 TDE에 대한 ID 및 키 관리