사용자 할당 관리 ID 및 고객 관리형 TDE로 구성된 서버 만들기
적용 대상: Azure SQL Database
이 방법 가이드에서는 Azure Key Vault에 액세스하기 위해 사용자가 할당한 관리 ID를 사용하여 CMK(고객 관리형 키) 기반 TDE(투명한 데이터 암호화)로 구성된 Azure의 논리 서버를 생성하는 단계를 간략하게 설명합니다.
참고 항목
Microsoft Entra ID는 이전에 Azure Active Directory(Azure AD)로 알려졌습니다.
필수 조건
- 이 방법 가이드에서는 이미 Azure Key Vault를 만들고 Azure SQL Database의 TDE 보호기로 사용할 키를 가져왔다고 가정합니다. 자세한 내용은 BYOK 지원을 통한 투명한 데이터 암호화를 참조하세요.
- 키 자격 증명 모음에서 일시 삭제 및 제거 보호를 사용하도록 설정해야 합니다.
- 사용자 할당 관리 ID를 만들어 위의 키 자격 증명 모음에 필요한 TDE 권한(Get, Wrap Key, Unwrap Key)을 제공해야 합니다. 사용자 할당 관리 ID를 만들 경우 사용자 할당 관리 ID 만들기를 참조하세요.
- Azure PowerShell이 설치되어 작동해야 합니다.
- [권장 선택 사항] HSM(하드웨어 보안 모듈)이나 로컬 키 저장소의 TDE 보호기에 대한 키 자료를 먼저 만들고 키 자료를 Azure Key Vault로 가져옵니다. HSM(하드웨어 보안 모듈) 및 Key Vault 사용 지침에 따라 자세히 알아봅니다.
CMK(고객 관리형 키)를 사용하여 TDE로 구성된 서버 만들기
다음 단계에서는 사용자 할당 관리 ID가 할당된 새 Azure SQL Database 논리 서버와 새 데이터베이스를 만드는 프로세스를 간략하게 설명합니다. 서버 생성 시 TDE에 대한 고객 관리형 키를 구성하는 데 사용자 할당 관리 ID가 필요합니다.
Azure Portal에서 SQL 배포 선택 옵션 페이지로 이동합니다.
Azure Portal에 아직 로그인하지 않은 경우 메시지가 표시되면 로그인합니다.
SQL 데이터베이스에서 리소스 유형을 단일 데이터베이스로 설정한 상태로 두고 만들기를 선택합니다.
SQL 데이터베이스 만들기 양식의 기본 탭에 있는 프로젝트 세부 정보 아래에서 원하는 Azure 구독을 선택합니다.
리소스 그룹에 새로 만들기를 선택하고, 새 리소스 그룹의 이름을 입력한 다음, 확인을 선택합니다.
데이터베이스 이름에
ContosoHR
를 입력합니다.서버에 대해 새로 만들기를 선택하고 새 서버 양식을 다음 값으로 입력합니다.
- 서버 이름: 고유한 서버 이름을 입력합니다. 서버 이름은 구독 내에서만 고유한 것이 아니라 Azure의 모든 서버에 대해 전역적으로 고유해야 합니다.
mysqlserver135
와 같은 항목을 입력하면 Azure Portal에서 사용 가능한지 여부를 알려줍니다. - 서버 관리자 로그인: 관리자 로그인 이름(예:
azureuser
)을 입력합니다. - 암호: 암호 요구 사항을 충족하는 암호를 입력하고, 암호 확인 필드에 다시 입력합니다.
- 위치: 드롭다운 목록에서 위치를 선택합니다.
- 서버 이름: 고유한 서버 이름을 입력합니다. 서버 이름은 구독 내에서만 고유한 것이 아니라 Azure의 모든 서버에 대해 전역적으로 고유해야 합니다.
완료되면 다음: 네트워킹을 선택합니다.
네트워킹 탭에서 연결 방법에 대해 퍼블릭 엔드포인트를 선택합니다.
방화벽 규칙의 경우 현재 클라이언트 IP 주소 추가를 예로 설정합니다. Azure 서비스 및 리소스가 이 서버에 액세스할 수 있도록 허용을 아니요로 설정된 상태로 둡니다.
페이지 하단에서 다음: 보안을 선택합니다.
보안 탭의 서버 ID에서 ID 구성을 선택합니다.
ID 창에서 시스템이 할당한 관리 ID에 대해 끄기를 선택한 다음, 사용자가 할당한 관리 ID에서 추가를 선택합니다. 원하는 구독을 선택한 다음, 사용자가 할당한 관리 ID 아래에서 선택한 구독에서 원하는 사용자가 할당한 관리 ID를 선택합니다. 그런 다음, 추가 단추를 선택합니다.
기본 ID 아래의 이전 단계에서 선택한 동일한 사용자 할당 관리 ID를 선택합니다.
적용을 선택합니다
보안 탭의 투명한 데이터 암호화 키 관리에는 서버 또는 데이터베이스에 대한 투명한 데이터 암호화를 구성하는 옵션이 있습니다.
- 서버 수준 키의 경우: 투명한 데이터 암호화 구성을 선택합니다. 고객 관리형 키를 선택하면 키 선택을 선택하는 옵션이 표시됩니다. 키 변경을 선택합니다. TDE에 사용할 고객 관리형 키에 대해 원하는 구독, 키 자격 증명 모음, 키 및 버전을 선택합니다. 선택 단추를 누릅니다.
- 데이터베이스 수준 키의 경우: 투명한 데이터 암호화 구성을 선택합니다. 데이터베이스 수준 고객 관리형 키를 선택하면 데이터베이스 ID 및 고객 관리형 키를 구성하는 옵션이 표시됩니다. 13단계와 유사하게 데이터베이스에 대해 사용자가 할당한 관리 ID를 구성하려면 구성을 선택합니다. 키 변경을 선택하여 고객 관리형 키를 구성합니다. TDE에 사용할 고객 관리형 키에 대해 원하는 구독, 키 자격 증명 모음, 키 및 버전을 선택합니다. 또한 투명한 데이터 암호화 메뉴에서 키 자동 순환을 사용하도록 설정하는 옵션도 있습니다. 선택 단추를 누릅니다.
적용을 선택합니다.
페이지 아래쪽에서 검토 + 만들기를 선택합니다.
검토 + 만들기 페이지에서 검토 후 만들기를 선택합니다.
다음 단계
- TDE에 대한 Azure Key Vault 통합 및 BYOK(Bring Your Own Key) 지원 시작: Key Vault에서 고유 키를 사용하여 TDE를 설정합니다.