다음을 통해 공유

고객 관리형 키를 사용하여 Backup 자격 증명 모음의 백업 데이터 암호화

  • 아티클

Azure Backup을 사용하여 기본적으로 사용하도록 설정된 PMK(플랫폼 관리형 키) 대신 CMK(고객 관리형 키)를 통해 백업 데이터를 암호화할 수 있습니다. 백업 데이터를 암호화하는 키는 Azure Key Vault에 저장되어 있어야 합니다.

백업 암호화에 사용하는 암호화 키는 원본에 사용하는 암호화 키와 다를 수 있습니다. AES 256 기반 DEK(데이터 암호화 키)는 데이터를 보호하는 데 도움이 됩니다. KEK(키 암호화 키)는 DEK를 보호하는 데 도움이 됩니다. 데이터와 키를 완전히 제어할 수 있습니다.

암호화를 허용하려면 CMK에 사용할 Backup 자격 증명 모음의 관리 ID, 키 자격 증명 모음의 암호화 키에 액세스할 수 있는 권한을 부여해야 합니다. 필요한 경우 키를 변경할 수 있습니다.

참고 항목

암호화 설정CMK 는 서로 다른 용도로 사용됩니다.

지원되는 지역

Backup 자격 증명 모음용 CMK는 현재 모든 Azure 공용 지역에서 사용할 수 있습니다.

Key Vault 및 관리형 HSM 키 요구 사항

Backup 자격 증명 모음에서 암호화를 사용하도록 설정하기 전에 다음 요구 사항을 검토합니다.

  • 암호화 설정은 Backup 자격 증명 모음의 관리 ID 세부 정보와 함께 Azure Key Vault 또는 관리형 HSM(하드웨어 보안 모듈) 키를 사용합니다.

  • Backup 자격 증명 모음의 관리 ID에는 다음이 필요합니다.

    • 키 자격 증명 모음이 IAM(ID 및 액세스 관리)을 기반으로 하는 RBAC(역할 기반 액세스 제어) 구성을 사용하는 경우, Crypto Service 암호화 사용자 역할 할당.
    • 키 자격 증명 모음이 액세스 정책을 기반으로 하는 구성을 사용하는 경우, 권한 가져오기, 래핑래핑 해제.
    • 관리형 HSM을 사용하는 경우, 키에 대한 로컬 RBAC를 통해 부여된 권한 가져오기, 래핑래핑 해제. 자세히 알아보기.

  • 유효한 Key Vault 키가 있는지 확인합니다. 만료되거나 사용하지 않도록 설정된 키는 미사용 암호화에 사용할 수 없으며 백업 및 복원 작업의 실패로 이어지므로 사용하지 않아야 합니다. 또한 Key Vault라는 용어가 이전에 확인되지 않은 경우, 해당 용어는 관리되는 HSM을 나타냅니다.

  • Key Vault에는 일시 제거 및 영구 제거 방지를 사용하도록 설정되어 있어야 합니다.

  • 암호화 설정은 크기가 2,048, 3,072, 4,096인 Azure Key Vault RSA 및 RSA-HSM 키를 지원합니다. 키에 대해 자세히 알아보세요. 암호화 설정에 대한 Key Vault 지역을 고려하기 전에 지역 장애 조치(failover) 지원에 대한 Key Vault 재해 복구 시나리오 를 참조하세요.

고려 사항

Backup 자격 증명 모음에서 암호화를 사용하도록 설정하기 전에 다음 고려 사항을 검토합니다.

  • Backup 자격 증명 모음에 CMK를 사용하여 암호화를 사용하도록 설정한 후에는 PMK(기본값)를 사용하도록 되돌릴 수 없습니다. 요구 사항을 충족하도록 암호화 키 또는 관리 ID를 변경할 수 있습니다.

  • CMK는 Azure Backup 스토리지 자격 증명 모음 및 자격 증명 모음 보관 계층에 적용됩니다. 운영 계층에는 적용되지 않습니다.

  • 리소스 그룹 및 구독에서 CMK 암호화된 Backup 자격 증명 모음의 이동은 현재 지원되지 않습니다.

  • Backup 자격 증명 모음에서 암호화 설정을 사용하도록 설정한 후에는 관리 ID를 사용하지 않도록 설정 또는 분리하거나 암호화 설정에 사용되는 Key Vault 권한을 제거하지 않도록 합니다. 해당 작업들을 수행하면 백업, 복원, 계층화, 복원 지점 만료 작업이 실패하게 됩니다. 이로 인해 Backup 자격 증명 모음에 저장된 데이터에 대한 비용이 발생하며, 이는 다음의 작업을 수행하기 전까지 계속됩니다.

    • Key Vault 권한을 복원합니다.
    • 시스템 할당 ID를 다시 활성화하고, 키 자격 증명 모음 권한을 부여하고, 암호화 설정에 시스템 할당 ID를 사용한 경우라면 암호화 설정을 업데이트합니다.
    • 관리 ID를 다시 연결하여 키 자격 증명 모음에 액세스할 수 있는 권한과 새 사용자 할당 ID를 사용할 수 있는 키가 있는지 확인합니다.

  • 암호화 설정은 Azure Key Vault 키 및 Backup 자격 증명 모음의 관리 ID 세부 정보를 사용합니다.

    사용 중인 키 또는 Key Vault가 삭제되거나 액세스가 취소되어 복원할 수 없는 경우 Backup 자격 증명 모음에 저장된 데이터에 대한 액세스 권한이 손실됩니다. 또한 관리 ID, Backup 자격 증명 모음 및 키 자격 증명 모음 세부 정보를 제공하고 업데이트할 수 있는 적절한 권한이 있는지 확인합니다.

  • CMK 암호화에 사용자 할당 관리 ID를 사용하는 자격 증명 모음은 Azure Backup에 대한 프라이빗 엔드포인트 사용을 지원하지 않습니다.

  • 특정 네트워크에 대한 액세스를 제한하는 키 자격 증명 모음은 현재 CMK 암호화에 대한 사용자 할당 관리 ID에서 지원되지 않습니다.

자격 증명 모음을 만들 때 고객 관리형 키를 사용하여 암호화 사용

Backup 자격 증명 모음을 만들 때 CMK를 사용하여 백업에서 암호화를 사용하도록 설정할 수 있습니다. 백업 자격 증명 모음을 만드는 방법을 알아봅니다.

다음과 같이 클라이언트를 선택합니다.

암호화를 사용하도록 설정하려면 다음 단계를 수행합니다.

  1. Azure Portal에서 Backup 자격 증명 모음으로 이동합니다.

  2. 자격 증명 모음 속성 탭에서 ID 추가를 선택합니다.

    Backup 자격 증명 모음 속성을 보여 주는 스크린샷.

  3. 사용자가 할당한 관리 ID 선택 블레이드에서 암호화에 사용할 목록에서 관리 ID를 선택한 다음 추가를 선택합니다.

  4. 암호화 유형으로 고객 관리형 키 사용을 선택합니다.

  5. 암호화에 사용할 키를 지정하려면 적절한 옵션을 선택합니다.

    Backup 자격 증명 모음에 사용되는 암호화 키 버전의 자동rotation을 사용하도록 설정하려면 Key Vault에서 선택을 선택합니다. 또는 키 URI 입력을 선택하여 키 URI에서 버전 구성 요소를 제거합니다. 자동 회전에 대해 자세히 알아봅니다.

  6. 암호화 키의 URI를 제공합니다. 키를 찾아서 선택할 수도 있습니다.

    고객 관리형 키 및 암호화 키 세부 정보를 사용하는 옵션을 보여 주는 스크린샷.

  7. CMK를 사용하여 암호화를 관리하는 사용자가 할당한 관리 ID를 추가합니다.

    자격 증명 모음을 만드는 동안 사용자가 할당한 관리 ID만 CMK에 사용할 수 있습니다.

    스크린샷은 자격 증명 모음에 사용자 할당 관리 ID를 추가하는 방법을 보여 줍니다.

    시스템 할당 관리 ID와 함께 CMK를 사용하려면 자격 증명 모음을 만든 후 자격 증명 모음 속성을 업데이트합니다.

    스크린샷은 자격 증명 모음에 시스템 할당 관리 ID를 추가하는 방법을 보여 줍니다.

  8. 백업 스토리지 인프라에서 암호화를 사용하도록 설정하려면 인프라 암호화를 선택합니다.

    CMK(고객 관리형 키)를 만들고 사용하는 동안에는 새 자격 증명 모음에서만 인프라 암호화를 사용하도록 설정할 수 있습니다.

  9. 태그 추가(선택 사항) 후에 계속 해서 자격 증명 모음을 만듭니다.

고객 관리형 키를 사용하여 암호화하도록 하는 Backup 자격 증명 모음 속성 업데이트

다음 시나리오에서는 Backup 자격 증명 모음의 암호화 설정을 수정할 수 있습니다.

  • 기존 자격 증명 모음에 대해 고객 관리형 키를 사용하도록 설정합니다. Backup 자격 증명 모음의 경우 자격 증명 모음에 대한 항목을 보호하기 전이나 후에 CMK를 사용하도록 설정할 수 있습니다.
  • 관리 ID 또는 암호화 키와 같은 암호화 설정의 세부 정보를 업데이트합니다.

기존 자격 증명 모음에 대해 고객 관리형 키를 사용하도록 설정해 보겠습니다.

자격 증명 모음을 구성하려면 다음 작업을 순서대로 수행합니다.

  1. Backup 자격 증명 모음용 관리 ID를 사용하도록 설정합니다.

  2. Backup 자격 증명 모음에 사용 권한을 할당하여 Azure Key Vault의 암호화 키에 액세스합니다.

  3. Azure Key Vault에서 일시 삭제 및 제거 방지를 사용하도록 설정합니다.

  4. Backup 자격 증명 모음에 암호화 키를 할당합니다.

다음 섹션에서는 이들 옵션 각각에 대해 상세히 설명합니다.

Backup 자격 증명 모음용 관리 ID 사용

Azure Backup은 Azure Key Vault에 저장된 암호화 키에 액세스하기 위해 Backup 자격 증명 모음의 시스템 할당 관리 ID와 사용자가 할당한 관리 ID를 사용합니다. 사용할 관리 ID를 선택할 수 있습니다.

참고 항목

관리 ID를 사용하도록 설정한 후에는 일시적으로라도 사용하지 않도록 설정하지 ‘말아야’ 합니다. 관리 ID를 사용하지 않도록 설정하면 일관성이 없는 동작이 발생할 수 있습니다.

보안상의 이유로 인해, 단일 요청에서 Key Vault 키 URI와 관리 ID는 한꺼번에 업데이트할 수 없습니다. 한 번에 하나의 특성씩 업데이트하도록 합니다.

해당 자격 증명 모음에 대한 시스템 할당 관리 ID 사용

다음과 같이 클라이언트를 선택합니다.

Backup 자격 증명 모음에 시스템 할당 관리 ID를 사용하도록 설정하려면 다음 단계를 수행합니다.

  1. Backup 자격 증명 모음 >ID로 이동합니다.

  2. 할당된 시스템 탭을 선택합니다.

  3. 상태켜기로 변경합니다.

  4. 저장을 선택하여 자격 증명 모음에 대한 ID를 사용하도록 설정합니다.

시스템이 할당한 관리 ID를 사용하도록 설정하기 위한 선택 항목을 보여 주는 스크린샷.

이전 단계들은 자격 증명 모음의 시스템 할당 관리 ID인 개체 ID를 생성합니다.

사용자가 할당한 관리 ID를 자격 증명 모음에 할당

Backup 자격 증명 모음에 사용자 할당 관리 ID를 할당하려면 다음 단계를 수행합니다.

  1. Backup 자격 증명 모음 >ID로 이동합니다.

  2. 사용자 할당(미리 보기) 탭을 선택합니다.

  3. + 추가를 선택하여 사용자가 할당한 관리 ID를 추가합니다.

  4. 사용자 할당 관리 ID 추가 패널에서 ID에 대한 구독을 선택합니다.

  5. 목록에서 ID를 선택합니다. ID 또는 리소스 그룹의 이름을 기준으로 필터링할 수도 있습니다.

  6. 추가를 선택하여 ID 할당을 완료합니다.

자격 증명 모음에 사용자가 할당한 관리 ID를 할당하기 위한 선택 항목을 보여 주는 스크린샷.

참고 항목

특정 네트워크에 대한 액세스를 제한하는 Key Vault는 아직 CMK 암호화용 사용자 할당 관리 ID와 함께 사용할 수 없습니다.

Backup 자격 증명 모음의 관리 ID(시스템 또는 사용자 할당)에 권한을 할당하여 Azure Key Vault의 암호화 키에 액세스

다음과 같이 클라이언트를 선택합니다.

암호화 키가 포함된 키 자격 증명 모음에 Backup 자격 증명 모음의 관리 ID가 액세스하도록 허용해야 합니다.

시나리오: Key Vault에서 IAM(액세스 제어) 구성을 사용하도록 설정되어 있습니다.

다음 단계를 수행합니다.

  1. 키 자격 증명 모음 >액세스 제어로 이동한 다음 역할 할당 추가를 선택합니다.
  2. 작업 함수역할에서 Key Vault Crypto Service 암호화 사용자 역할을 선택합니다.
  3. 다음>액세스 할당>관리 ID>구성원 선택을 선택합니다.
  4. Backup 자격 증명 모음의 관리 ID를 선택합니다.
  5. 다음을 선택하여 할당합니다.

시나리오: 키 자격 증명 모음에서 액세스 정책 구성을 사용하도록 설정됨

다음 단계를 수행합니다.

  1. 키 자격 증명 모음>액세스 정책으로 이동하여 +만들기를 선택합니다.

    액세스 정책을 만들기 위한 단추를 보여 주는 스크린샷.

  2. 키에 허용할 작업을 지정합니다. 키 권한에서 가져오기, 목록, 키 래핑 해제, 키 래핑 작업을 선택합니다. 그런 후 다음을 선택합니다.

    키 사용 권한의 선택을 보여 주는 스크린샷.

  3. 보안 주체 탭으로 이동한 다음, 해당 이름 또는 관리 ID를 사용하여 검색 상자에서 자격 증명 모음을 검색합니다. 자격 증명 모음이 나타나면 자격 증명 모음을 선택하고 다음을 선택합니다.

    키 자격 증명 모음에서 보안 주체를 선택하는 스크린샷.

  4. 추가를 선택하여 새로운 액세스 정책을 추가합니다.

  5. 저장을 선택하여 키 자격 증명 모음의 액세스 정책에서 변경한 내용을 저장합니다.

사용자 할당 ID를 사용하는 경우, 동일한 권한을 할당해야 합니다.

Key Vault Crypto Officer 역할과 같이 위에서 언급한 권한이 포함된 Backup 자격 증명 모음에 RBAC 역할을 할당할 수도 있습니다. 이 역할에는 추가 권한이 포함될 수 있습니다.

Azure Key Vault에서 일시 삭제 및 제거 방지 사용

암호화 키를 저장하는 키 자격 증명 모음에 대해 일시 삭제 및 제거 방지를 사용하도록 설정해야 합니다.

다음과 같이 클라이언트를 선택합니다.

다음 스크린샷과 같이 Azure Key Vault 인터페이스에서 이러한 속성을 설정할 수 있습니다. 아니면, 키 자격 증명 모음을 만드는 동안에도 이러한 속성을 설정할 수 있습니다. 이러한 Key Vault 속성에 대해 자세히 알아보세요.

일시 삭제 및 제거 보호를 사용하도록 설정하는 옵션의 스크린샷.

Backup 자격 증명 모음에 암호화 키 할당

자격 증명 모음에 대한 암호화 키를 선택하기 전에 다음이 성공적으로 수행되었는지 확인합니다.

  • Backup 자격 증명 모음의 관리 ID를 사용하도록 설정하고 필요한 권한을 할당
  • Key Vault에 대해 일시 삭제 및 제거 보호를 사용하도록 설정

참고 항목

새 키 자격 증명 모음 정보를 사용하여 암호화 설정의 현재 키 자격 증명 모음 세부 정보에 대한 업데이트가 있는 경우 암호화 설정에 사용되는 관리 ID는 가져오기래핑 해제 권한으로 원래 키 자격 증명 모음에 대한 액세스를 유지해야 하며 키는 사용 상태여야 합니다. 이 액세스는 이전 키에서 새 키로 키 회전실행하는 데 필요합니다.

키를 할당하려면 다음 단계를 수행합니다.

  1. Backup 자격 증명 모음 >속성으로 이동합니다.

    Backup 자격 증명 모음의 속성을 보여 주는 스크린샷.

  2. 암호화 설정의 경우 업데이트를 선택합니다.

    암호화 설정을 업데이트하기 위한 링크를 보여 주는 스크린샷.

  3. 암호화 설정 블레이드에서 사용자 고유의 키 사용을 선택한 다음, 다음 옵션 중 하나를 사용하여 키를 지정합니다. 사용하도록 설정되어 있으며 활성 상태인 RSA 키를 사용해야 합니다.

    • 키 URI 입력을 선택합니다. 키 URI 상자에 이 Backup 자격 증명 모음에서 데이터를 암호화하는 데 사용할 키의 URI를 입력합니다. 키 자격 증명 모음에 있는 해당 키에서 이 키 URI를 가져올 수도 있습니다.

      키 URI를 올바르게 복사해야 합니다. 키 식별자와 함께 제공되는 클립보드로 복사 단추를 사용하는 것이 좋습니다.

      키 URI를 입력하기 위한 선택 항목을 보여 주는 스크린샷.

      암호화 설정을 업데이트하려고 하지만 내부 오류로 인해 업데이트 작업이 실패한 경우, 암호화 설정이 일관성 없음으로 업데이트되고 주의가 필요합니다. 이러한 경우 암호화 설정 세부 정보를 확인하고 올바른지 확인합니다. 예를 들어 암호화 설정 업데이트 작업은 자격 증명 모음에 연결된 기존 관리 ID를 사용하여 다시 실행됩니다. 암호화 설정 세부 정보가 동일한 경우 업데이트 작업은 영향을 받지 않습니다.

      또한 암호화 설정에서 사용 중인 관리 ID를 사용하지 않도록 설정하거나 분리하는 경우 시스템 할당 ID(사용된 경우)를 다시 사용하도록 설정하고 필요한 Key Vault 권한을 부여하고 암호화 설정 업데이트 작업을 다시 수행하지 않는 한 암호화 설정이 '일관성 없음' 상태로 변경됩니다. 사용자 할당 ID의 경우 ID를 다시 연결하면 Key Vault 권한이 있는 경우 암호화 설정 상태가 자동으로 복원됩니다.

      실패한 업데이트에 대한 상태 경고를 보여 주는 스크린샷.

      버전 구성 요소와 함께 전체 키 URI를 사용하여 암호화 키를 지정하는 경우 키가 자동 회전되지 않습니다. 필요한 경우 키나 버전을 새로 지정하여 키를 수동으로 업데이트해야 합니다. 또는 키 URI의 버전 구성 요소를 제거하여 자동 키 버전 회전을 가져옵니다.

      Backup 자격 증명 모음의 키 URI를 보여 주는 스크린샷.

    • Key Vault에서 선택을 선택합니다. 키 선택기 창의 키 자격 증명 모음에서 키를 찾아 선택합니다.

      키 자격 증명 모음에서 키를 선택하는 옵션을 보여 주는 스크린샷.

      키 선택 창을 사용하여 암호화 키를 지정하면 키에 대한 새 버전이 활성화될 때마다 키 버전이 자동 로트됩니다. 암호화 키 자동 회전 사용 방법에 대해 자세히 알아보세요.

  4. 업데이트를 선택합니다.

  5. 알림에서 암호화 키 할당의 진행률 및 상태를 추적합니다.

    암호화 설정 업데이트

언제든지 암호화 설정을 업데이트할 수 있습니다. 새 키 URI를 사용하려는 경우 관리 ID에 대한 액세스 권한이 기존 키 자격 증명 모음에 있고 해당 키가 유효한지 확인합니다. 그렇지 않으면 업데이트 작업은 실패합니다.

암호화에 사용하려는 관리 ID에는 적절한 권한이 필요합니다.

고객 관리 키를 사용하여 암호화된 자격 증명 모음에 백업

백업 보호를 구성하기 전에 성공적으로 수행되었는지 확인합니다.

  • Backup 자격 증명 모음 생성
  • Backup 자격 증명 모음의 시스템 할당 관리 ID를 사용하도록 설정했거나 사용자가 할당한 관리 ID를 자격 증명 모음에 할당
  • 키 자격 증명 모음에서 암호화 키에 액세스할 수 있도록 Backup 자격 증명 모음(또는 사용자가 할당한 관리 ID)에 권한 할당
  • 키 자격 증명 모음에 대해 일시 삭제 및 제거 방지를 사용하도록 설정
  • Backup 자격 증명 모음에 대한 유효한 암호화 키 할당

CMK를 통해 암호화된 Backup 자격 증명 모음에 대한 백업을 구성하고 수행하는 프로세스는 PMK를 사용하는 자격 증명 모음에 대한 백업을 구성하고 수행하는 프로세스와 동일합니다. 환경적으로는 달라지는 부분이 없습니다.

프라이빗 엔드포인트 지원

자격 증명 모음의 시스템 할당 관리 ID를 사용하여 PE(프라이빗 엔드포인트)에서 Azure Key Vault를 사용할 수 있습니다.

Azure Key Vault의 공용 네트워크 액세스를 사용하지 않도록 설정하면 액세스 제한으로 인해 프라이빗 엔드포인트 사용 네트워크 머신 외부에서 Azure Portal을 사용하여 암호화 설정 블레이드에서 Key Vault 및 키를 선택할 수 없습니다. 그러나 Key Vault 키 URI사용하여 암호화 설정에서 Key Vault 키 세부 정보를 제공할 수 있습니다.

암호화 설정 관련 작업 오류 문제 해결

이 섹션에서는 Backup 자격 증명 모음 암호화에 발생할 수 있는 다양한 문제 해결 시나리오를 나열합니다.

백업, 복원 및 백그라운드 작업 실패

원인:

  • 원인 1: 암호화 설정의 관리 ID에서 키 자격 증명 모음 권한을 제거하거나, 시스템이 할당한 ID를 사용하지 않도록 설정하거나, 암호화 설정에 사용하는 Backup 자격 증명 모음에서 관리 ID를 분리/삭제하는 등 Backup 자격 증명 모음 암호화 설정에 문제가 있는 경우 백업복원 작업이 실패합니다.

  • 원인 2: 복원 지점 계층화 및 복원 지점 만료 작업이 Azure Portal 또는 다른 인터페이스(예: REST API 또는 CLI)에 오류를 표시하지 않고 실패합니다. 이러한 작업은 계속 실패하고 비용이 발생하게 됩니다.

권장 작업은 다음과 같습니다.

  • 권장 사항 1: 권한을 복원하고 키 자격 증명 모음에 액세스할 수 있는 관리 ID 세부 정보를 업데이트합니다.

  • 권장 사항 2: 필요한 암호화 설정을 Backup 자격 증명 모음으로 복원합니다.

관리 ID 사용 권한이 없음

오류 코드: UserErrorCMKMissingMangedIdentityPermissionOnKeyVault

원인: 이 오류가 발생하는 경우는 다음과 같습니다.

  • 암호화 설정에 사용하는 관리 ID에 키 자격 증명 모음에 대한 액세스 권한이 없습니다. 또한, 암호화 설정이 업데이트되거나 Backup 자격 증명 모음에서 관리 ID를 사용하지 않도록 설정하였거나 분리하여 액세스가 제거된 경우라면 이 오류 코드가 표시되며 백업 또는 복원 작업이 실패할 수 있습니다.
  • RSA가 아닌 키 URI를 사용 중입니다.

권장 작업: 암호화 설정에 사용하는 관리 ID에 필요한 권한이 있고 키가 RSA 유형인지 확인합니다. 그런 다음, 작업을 다시 시도합니다.

자격 증명 모음 인증 실패

오류 코드: UserErrorCMKKeyVaultAuthFailure

원인: 암호화 설정의 관리 ID에 키 자격 증명 모음 또는 키에 필요한 액세스 권한이 없습니다. 백업 자격 증명 모음의 관리 ID(암호화 설정에 사용되는 시스템 할당 또는 사용자 할당 ID)에는 다음과 같은 키 자격 증명 모음 권한이 있어야 합니다.

  • 키 자격 증명 모음이 IAM을 기반으로 하는 RBAC 구성을 사용하는 경우 Key Vault Crypto Service Encryption User 기본 제공 역할 권한이 필요합니다.

  • 액세스 정책을 사용하는 경우 가져오기, 래핑래핑 해제 권한이 필요합니다.

  • 키 자격 증명 모음 및 키가 존재하지 않으며 네트워크 설정을 통해 Azure Backup 서비스에 연결할 수 없습니다.

바람직한 작업: Key Vault 액세스 정책을 확인하고 그에 따라 권한을 부여합니다.

자격 증명 모음 삭제 실패

오류 코드: CloudServiceRetryableError

원인: 백업 자격 증명 모음 암호화 설정에 문제가 있는 경우(예: 암호화 설정의 관리 ID에서 Key Vault/MHSM 권한을 제거했거나, 시스템 할당 ID를 사용하지 않도록 설정하거나, 암호화 설정에 사용되는 Backup 자격 증명 모음에서 관리 ID를 분리/삭제했거나, 키 자격 증명 모음/MHSM 키를 삭제한 경우) 자격 증명 모음 삭제가 실패할 수 있습니다.

권장 작업: 이 문제를 해결하려면 다음을 수행합니다.

  • 암호화 설정에 사용되는 관리 ID에 여전히 키 자격 증명 모음/MHSM에 액세스할 수 있는 권한이 있는지 확인합니다. 자격 증명 모음 삭제를 진행하기 전에 복원합니다.
  • 관리 ID를 다시 연결/사용하도록 설정하고 필요한 Key Vault/MHSM 권한을 할당합니다.
  • 키 자격 증명 모음 키가 삭제되면 자격 증명 모음 삭제가 실패할 수 있습니다. 그러나 일시 삭제된 상태에서 삭제된 키를 복구하려면 키 자격 증명 모음/MHSM의 관리 ID에 필요한 권한이 있는지 확인하고 백업 자격 증명 모음 삭제 작업을 다시 시도합니다.

오류 코드 유효성 검사

Azure Backup은 CMK가 Backup 자격 증명 모음에 적용될 때 선택한 Azure Key Vault의 유효성을 검사합니다. 키 자격 증명 모음에 필요한 구성 설정(일시 삭제 사용제거 보호 사용)이 없으면 다음 오류 코드가 나타납니다.

UserErrorCMKPurgeProtectionNotEnabledOnKeyVault

오류 코드: UserErrorCMKPurgeProtectionNotEnabledOnKeyVault

원인: 키 자격 증명 모음에서 일시 삭제를 사용할 수 없습니다.

권장 작업: 키 자격 증명 모음에서 일시 삭제를 사용하도록 설정한 다음 작업을 다시 시도합니다.

UserErrorCMKSoftDeleteNotEnabledOnKeyVault

오류 코드: UserErrorCMKSoftDeleteNotEnabledOnKeyVault

원인: 키 자격 증명 모음에서 제거 보호를 사용할 수 없습니다.

권장 작업: 키 자격 증명 모음에서 제거 보호를 사용하도록 설정한 다음 작업을 다시 시도합니다.

다음 단계