다음을 통해 공유


Azure Key Vault를 사용하여 Azure Cosmos DB 계정에 대한 테넌트 간 고객 관리형 키 구성

적용 대상: NoSQL MongoDB Cassandra Gremlin 테이블

Azure Cosmos DB 계정에 저장된 데이터는 Microsoft에서 관리하는 서비스 관리형 키로 자동으로 원활하게 암호화됩니다. 그러나 직접 관리하는 키를 사용하여 두 번째 암호화 레이어를 추가하도록 선택할 수 있습니다. 이러한 키를 고객 관리형 키(또는 CMK)라고 합니다. 고객 관리형 키는 Azure Key Vault 인스턴스에 저장됩니다.

이 문서에서는 새 스토리지 계정을 만들 때 고객 관리형 키를 사용하는 암호화를 구성하는 방법을 안내합니다. 이 예제 테넌트 간 시나리오에서 Azure Cosmos DB 계정은 서비스 공급자라고 하는 ISV(독립 소프트웨어 공급업체)에서 관리하는 테넌트에 있습니다. Azure Cosmos DB 계정의 암호화에 사용되는 키는 고객이 관리하는 다른 테넌트의 키 자격 증명 모음에 있습니다.

테넌트 간 고객 관리형 키 정보

Azure에서 SaaS(Software as a Service) 제품을 빌드하는 많은 서비스 공급자는 고객에게 자체 암호화 키를 관리하는 옵션을 제공하고자 합니다. 고객 관리형 키를 사용하면 서비스 공급자는 서비스 공급자의 고객이 관리하고 서비스 공급자가 액세스할 수 없는 암호화 키를 사용하여 고객의 데이터를 암호화할 수 있습니다. Azure에서 서비스 공급자의 고객은 Azure Key Vault를 사용하여 자체 Microsoft Entra 테넌트 및 구독에서 암호화 키를 관리할 수 있습니다.

서비스 공급자의 소유이며 서비스 공급자의 테넌트에 상주하는 Azure 플랫폼 서비스 및 리소스는 암호화/암호 해독 작업을 수행하려면 고객의 테넌트에서 키에 액세스해야 합니다.

아래 이미지에서는 서비스 공급자와 해당 고객을 포괄하는 테넌트 간 CMK 워크플로에서 페더레이션 ID를 사용하는 미사용 데이터 암호화를 보여 줍니다.

페더레이션 ID를 사용하는 테넌트 간 CMK를 보여 주는 스크린샷

위의 예에는 두 개의 Microsoft Entra 테넌트, 즉 독립 서비스 공급자의 테넌트(테넌트 1)와 고객의 테넌트(테넌트 2)가 있습니다. Tenant 1은 Azure 플랫폼 서비스를 호스트하고 Tenant 2는 고객의 키 자격 증명 모음을 호스트합니다.

다중 테넌트 애플리케이션 등록은 테넌트 1의 서비스 공급자에 의해 만들어집니다. 페더레이션 ID 자격 증명은 이 애플리케이션에서 사용자가 할당한 관리 ID를 사용하여 만들어집니다. 그런 다음, 앱의 이름과 애플리케이션 ID가 고객과 공유됩니다.

적절한 권한이 있는 사용자가 서비스 공급자의 애플리케이션을 고객 테넌트, Tenant 2에 설치합니다. 그러면 사용자는 설치된 애플리케이션과 연결된 서비스 주체에게 고객의 키 자격 증명 모음에 대한 액세스 권한을 부여합니다. 또한 고객이 암호화 키 또는 고객 관리형 키를 키 자격 증명 모음에 저장합니다. 고객이 키 위치(키의 URL)를 서비스 공급자와 공유합니다.

이제 서비스 공급자는 다음 정보를 갖고 있습니다.

  • 고객 관리형 키에 대한 액세스 권한이 부여된 고객의 테넌트에 설치된 다중 테넌트 애플리케이션의 애플리케이션 ID입니다.
  • 다중 테넌트 애플리케이션에서 자격 증명으로 구성된 관리 ID입니다.
  • 고객의 키 자격 증명 모음에 있는 키의 위치

이러한 세 가지 매개 변수를 사용하여 서비스 공급자는 Tenant 2에서 고객 관리형 키로 암호화할 수 있는 Azure 리소스를 Tenant 1에 프로비전합니다.

위의 엔드투엔드 솔루션을 세 단계로 나눌 수 있습니다.

  1. 서비스 공급자가 ID를 구성합니다.
  2. 고객은 서비스 공급자의 다중 테넌트 앱에 Azure Key Vault의 암호화 키에 대한 액세스 권한을 부여합니다.
  3. 서비스 공급자는 CMK를 사용하여 Azure 리소스의 데이터를 암호화합니다.

1단계의 작업은 대부분의 서비스 공급자 애플리케이션에서 한 번만 수행하는 일회성 설정입니다. 2단계와 3단계의 작업은 고객마다 반복됩니다.

1단계 - 서비스 공급자가 Microsoft Entra 애플리케이션을 구성합니다.

단계 설명 Azure RBAC의 최소 역할 Microsoft Entra RBAC의 최소 역할
1. 새로운 다중 테넌트 Microsoft Entra 애플리케이션 등록을 만들거나 기존 애플리케이션 등록으로 시작합니다. Azure Portal, Microsoft Graph API, Azure PowerShell 또는 Azure CLI를 사용하여 애플리케이션 등록의 애플리케이션 ID(클라이언트 ID)를 확인합니다. 없음 애플리케이션 개발자
2. 사용자가 할당한 관리 ID(페더레이션 ID 자격 증명으로 사용됨)를 만듭니다.
Azure Portal / Azure CLI / Azure PowerShell/ Azure Resource Manager 템플릿
관리 ID 기여자 없음
3. 애플리케이션의 ID를 가장할 수 있도록 애플리케이션에서 사용자가 할당한 관리 ID를 페더레이션 ID 자격 증명으로 구성합니다.
Graph API 참조/ Azure Portal/ Azure CLI/ Azure PowerShell
없음 애플리케이션 소유자
4. 고객이 애플리케이션을 설치하고 권한을 부여할 수 있도록 애플리케이션 이름과 애플리케이션 ID를 고객과 공유합니다. 없음 없음

서비스 공급자에 대한 고려 사항

  • Microsoft Entra 애플리케이션을 만드는 데는 ARM(Azure Resource Manager) 템플릿이 권장되지 않습니다.
  • 동일한 다중 테넌트 애플리케이션을 사용하여 테넌트 2, 테넌트 3, 테넌트 4 등과 같은 여러 테넌트의 키에 액세스할 수 있습니다. 각 테넌트에서 애플리케이션 ID는 동일하지만 개체 ID가 다른 애플리케이션의 독립 인스턴스가 만들어집니다. 따라서 이 애플리케이션의 각 인스턴스에는 독립적으로 권한이 부여됩니다. 이 기능에 사용되는 애플리케이션 개체를 사용하여 모든 고객의 애플리케이션을 분할하는 방법을 고려해 보세요.
    • 애플리케이션에는 최대 20개의 페더레이션 ID 자격 증명이 있을 수 있으며, 이를 위해서는 서비스 공급자가 고객 간에 페더레이션 ID를 공유해야 합니다. 페더레이션 ID 디자인 고려 사항 및 제한 사항에 대한 자세한 내용은 외부 ID 공급자를 신뢰하도록 앱 구성을 참조하세요.
  • 드문 경우지만 서비스 공급자는 고객별로 단일 애플리케이션 개체를 사용할 수 있지만 모든 고객에 걸쳐 대규모 애플리케이션을 관리하려면 상당한 유지 관리 비용이 필요합니다.
  • 서비스 공급자 테넌트에서는 게시자 확인을 자동화할 수 없습니다.

2단계 - 고객이 키 자격 증명 모음에 대한 액세스 권한 부여

단계 설명 최소 권한 Azure RBAC 역할 최소 권한의 Microsoft Entra 역할
1.
  • 권장: 앱에 로그인하도록 사용자를 보냅니다. 사용자가 로그인할 수 있는 경우 앱의 서비스 주체가 해당 테넌트에 존재하는 것입니다.
  • Microsoft Graph, Microsoft Graph PowerShell, Azure PowerShell 또는 Azure CLI를 사용하여 서비스 주체를 만듭니다.
  • 애플리케이션 ID를 사용하여 서비스 주체를 만들 수 있도록 관리자 동의 URL을 만들고 테넌트 수준 동의를 부여합니다.
  • 없음 애플리케이션 설치 권한이 있는 사용자
    2. Azure Key Vault 및 고객 관리형 키로 사용할 키를 만듭니다. 키 자격 증명 모음을 만들려면 사용자에게 Key Vault 기여자 역할이 할당되어야 합니다.

    사용자는 키 자격 증명 모음에 키를 추가하려면 Key Vault 암호화 책임자 역할이 할당되어야 합니다.
    없음
    3. Key Vault 암호화 서비스 암호화 책임자 역할을 할당하여 동의된 애플리케이션 ID에 Azure Key Vault에 대한 액세스 권한을 부여합니다. 애플리케이션에 Key Vault 암호화 서비스 암호화 사용자 역할을 할당하려면 사용자 액세스 관리자 역할이 할당되어 있어야 합니다. 없음
    4. 키 자격 증명 모음 URL 및 키 이름을 SaaS 제품의 고객 관리형 키 구성에 복사합니다. 없음 없음

    참고 항목

    CMK를 사용하여 암호화를 위해 관리형 HSM에 대한 액세스 권한을 부여하려면 여기에 있는 스토리지 계정 예제를 참조하세요. 관리형 HSM을 사용하여 키를 관리하는 방법에 대한 자세한 내용은 Azure CLI를 사용하여 관리형 HSM 관리를 참조하세요.

    서비스 공급자의 고객에 대한 고려 사항

    • 고객 테넌트, Tenant 2에서 관리자는 관리자가 아닌 사용자가 애플리케이션을 설치하지 못하도록 차단하는 정책을 설정할 수 있습니다. 이러한 정책은 관리자가 아닌 사용자가 서비스 주체를 만들지 못하도록 방지할 수 있습니다. 이러한 정책이 구성된 경우 서비스 주체를 만들 수 있는 권한이 있는 사용자가 개입해야 합니다.
    • Azure RBAC 또는 액세스 정책을 사용하여 Azure Key Vault에 대한 액세스 권한을 부여할 수 있습니다. 키 자격 증명 모음에 대한 액세스 권한을 부여할 때, 키 자격 증명 모음에 활성 메커니즘을 사용해야 합니다.
    • Microsoft Entra 애플리케이션 등록에는 애플리케이션 ID(클라이언트 ID)가 있습니다. 애플리케이션이 테넌트에 설치되면 서비스 주체가 만들어집니다. 서비스 주체는 앱 등록과 동일한 애플리케이션 ID를 공유하지만, 자체 개체 ID를 생성합니다. 애플리케이션에 리소스에 대한 액세스 권한을 부여할 때, 서비스 주체 Name 또는 ObjectID 속성을 사용해야 할 수 있습니다.

    3단계 - 서비스 공급자가 고객 관리형 키를 사용하여 Azure 리소스의 데이터를 암호화합니다.

    1단계와 2단계가 완료되면 서비스 공급자가 고객 테넌트의 키 및 키 자격 증명 모음과 ISV 테넌트의 Azure 리소스를 사용하여 Azure 리소스에 대한 암호화를 구성할 수 있습니다. 서비스 공급자는 해당 Azure 리소스에서 지원하는 클라이언트 도구, ARM 템플릿 또는 REST API를 사용하여 테넌트 간 고객 관리형 키를 구성할 수 있습니다.

    테넌트 간 고객 관리형 키 구성

    이 섹션에서는 테넌트 간 CMK(고객 관리형 키)를 구성하고 고객 데이터를 암호화하는 방법을 설명합니다. Tenant2의 키 자격 증명 모음에 저장된 CMK를 사용하여 Tenant1의 리소스에서 고객 데이터를 암호화하는 방법을 알아봅니다. Azure Portal, PowerShell 또는 Azure CLI를 사용할 수 있습니다.

    Azure Portal에 로그인하고 다음 단계를 따릅니다.

    서비스 공급자가 ID 구성

    다음 단계는 서비스 공급자의 테넌트 Tenant1에서 서비스 공급자가 수행합니다.

    서비스 공급자가 다중 테넌트 애플리케이션 등록을 새로 생성

    새로운 다중 테넌트 Microsoft Entra 애플리케이션 등록을 만들거나 기존 다중 테넌트 애플리케이션 등록으로 시작할 수 있습니다. 기존 애플리케이션 등록을 시작하는 경우 애플리케이션의 애플리케이션 ID(클라이언트 ID)를 적어 둡니다.

    새 등록을 만들려면 다음을 수행합니다.

    1. 검색 상자에 Microsoft Entra ID를 검색합니다. Microsoft Entra ID 확장을 찾아 선택합니다.

    2. 왼쪽 창에서 관리 > 앱 등록을 선택합니다.

    3. + 새 등록을 선택합니다.

    4. 애플리케이션 등록 이름을 제공하고 모든 조직 디렉터리의 계정(모든 Microsoft Entra 디렉터리 – 다중 테넌트)을 선택합니다.

    5. 등록을 선택합니다.

    6. 애플리케이션의 ApplicationId/ClientId를 확인합니다.

      새 다중 테넌트 애플리케이션 등록을 만드는 방법을 보여주는 스크린샷

    서비스 공급자는 사용자가 할당한 관리 ID 생성

    페더레이션 ID 자격 증명으로 사용할 사용자가 할당한 관리 ID를 만듭니다.

    1. 검색창에서 관리 ID를 검색합니다. 관리 ID 확장을 찾아 선택합니다.

    2. + 만들기를 선택합니다.

    3. 관리 ID의 리소스 그룹, 지역 및 이름을 입력합니다.

    4. 검토 + 만들기를 선택합니다.

    5. 배포가 성공하면 사용자가 할당한 관리 ID의 Azure ResourceId를 확인합니다. 속성에서 확인할 수 있습니다. 예시:

      /subscriptions/tttttttt-0000-tttt-0000-tttt0000tttt/resourcegroups/XTCMKDemo/providers/Microsoft.ManagedIdentity/userAssignedIdentities/ConsotoCMKDemoUA

      리소스 그룹 및 사용자가 할당한 관리 ID를 만드는 방법을 보여주는 스크린샷

    서비스 공급자는 사용자가 할당한 관리 ID를 애플리케이션의 페더레이션 자격 증명으로 구성

    애플리케이션의 ID를 가장할 수 있도록 애플리케이션에서 사용자가 할당한 관리 ID를 페더레이션 ID 자격 증명으로 구성합니다.

    1. Microsoft Entra ID > 앱 등록 > 애플리케이션으로 이동합니다.

    2. 인증서 및 비밀을 선택합니다.

    3. 페더레이션 자격 증명을 선택합니다.

      [인증서 및 비밀]로 이동하는 방법을 보여주는 스크린샷

    4. + 자격 증명 추가를 선택합니다.

    5. 페더레이션 자격 증명 시나리오에서 고객 관리형 키를 선택합니다.

    6. 관리 ID 선택을 클릭합니다. 창에서 구독을 선택합니다. 관리 ID에서 사용자가 할당한 관리 ID를 선택합니다. 선택 상자에서 이전에 만든 관리 ID를 검색한 다음, 창 아래쪽에서 선택을 클릭합니다.

      관리 ID를 선택하는 방법을 보여주는 스크린샷

    7. 자격 증명 세부 정보에서 자격 증명의 이름과 설명(선택 사항)을 입력하고 추가를 선택합니다.

      자격 증명을 추가하는 방법을 보여주는 스크린샷

    서비스 공급자가 고객과 애플리케이션 ID 공유

    다중 테넌트 애플리케이션의 애플리케이션 ID(클라이언트 ID)를 찾아서 고객과 공유합니다.

    고객이 서비스 공급자의 앱에 키 자격 증명 모음의 키에 대한 액세스 권한 부여

    다음 단계는 고객이 고객 테넌트 Tenant2에서 수행합니다. 고객은 Azure Portal, Azure PowerShell 또는 Azure CLI를 사용할 수 있습니다.

    단계를 실행하는 사용자는 애플리케이션 관리자, 클라우드 애플리케이션 관리자 또는 전역 관리자와 같은 권한 있는 역할을 가진 관리자여야 합니다.

    Azure Portal에 로그인하고 다음 단계를 따릅니다.

    고객이 고객 테넌트에 서비스 공급자 애플리케이션 설치

    고객의 테넌트에 서비스 공급자의 등록된 애플리케이션을 설치하려면 등록된 앱의 애플리케이션 ID를 사용하여 서비스 주체를 만듭니다. 다음 방법 중 하나를 사용하여 서비스 주체를 만들 수 있습니다.

    고객이 키 자격 증명 모음 생성

    키 자격 증명 모음을 만들려면 사용자의 계정에 Key Vault 기여자 역할 또는 키 자격 증명 모음을 만들 수 있는 다른 역할이 할당되어야 합니다.

    1. Azure Portal 메뉴 또는 홈페이지에서 + 리소스 만들기를 선택합니다. 검색창에 키 자격 증명 모음을 입력합니다. 결과 목록에서 키 자격 증명 모음을 선택합니다. 키 자격 증명 모음 페이지에서 만들기를 선택합니다.

    2. 기본 사항 탭에서 구독을 선택합니다. 리소스 그룹에서 새로 만들기를 선택하고 리소스 그룹 이름을 입력합니다.

    3. 고유한 키 자격 증명 모음 이름을 입력합니다.

    4. 지역 및 가격 책정 계층을 선택합니다.

    5. 새로운 키 자격 증명 모음에 제거 보호를 사용하도록 설정합니다.

    6. 액세스 정책 탭에서 권한 모델Azure 역할 기반 액세스 제어를 선택합니다.

    7. 검토 + 만들기를 선택한 다음, 만들기를 선택합니다.

      키 자격 증명 모음을 만드는 방법을 보여 주는 스크린샷

    Key Vault에 액세스하는 Key Vault 이름 및 URI 애플리케이션은 이 URI를 사용해야 합니다.

    자세한 내용은 빠른 시작 - Azure Portal을 사용하여 Azure Key Vault 만들기를 참조하세요.

    고객이 Key Vault 암호화 책임자 역할을 사용자 계정에 할당

    이 단계에서는 암호화 키를 만들 수 있습니다.

    1. 키 자격 증명 모음으로 이동하고, 왼쪽 창에서 액세스 제어(IAM)를 선택합니다.
    2. 이 리소스에 대한 액세스 권한 부여에서 역할 할당 추가를 선택합니다.
    3. Key Vault 암호화 책임자를 검색하여 선택합니다.
    4. 구성원 탭에서 사용자, 그룹 또는 서비스 주체를 선택합니다.
    5. 구성원을 선택하고 사용자 계정을 검색합니다.
    6. 검토 + 할당을 선택합니다.

    고객이 암호화 키 생성

    암호화 키를 만들려면 사용자의 계정에 Key Vault 암호화 책임자 역할 또는 키를 만들 수 있는 다른 역할이 할당되어야 합니다.

    1. Key Vault 속성 페이지에서 를 선택합니다.
    2. 생성/가져오기를 선택합니다.
    3. 키 만들기 화면에서 키의 이름을 지정합니다. 다른 값은 기본값으로 그대로 둡니다.
    4. 만들기를 실행합니다.
    5. 키 URI를 복사합니다.

    고객이 서비스 공급자의 애플리케이션에 키 자격 증명 모음에 대한 액세스 권한 부여

    키 자격 증명 모음에 액세스할 수 있도록 서비스 공급자의 등록된 애플리케이션에 Azure RBAC 역할 Key Vault 암호화 서비스 암호화 사용자를 할당합니다.

    1. 키 자격 증명 모음으로 이동하고, 왼쪽 창에서 액세스 제어(IAM)를 선택합니다.
    2. 이 리소스에 대한 액세스 권한 부여에서 역할 할당 추가를 선택합니다.
    3. Key Vault 암호화 서비스 암호화 사용자를 선택합니다.
    4. 구성원 탭에서 사용자, 그룹 또는 서비스 주체를 선택합니다.
    5. 구성원을 선택하고 서비스 공급자에서 설치한 애플리케이션의 이름을 검색합니다.
    6. 검토 + 할당을 선택합니다.

    이제 키 자격 증명 모음 URI와 키를 사용하여 고객 관리형 키를 구성할 수 있습니다.

    다른 테넌트의 키로 암호화된 Azure Cosmos DB 계정 만들기

    지금까지 서비스 공급자의 테넌트에서 다중 테넌트 애플리케이션을 구성했습니다. 또한 고객의 테넌트에 애플리케이션을 설치하고 고객의 테넌트에서 키 자격 증명 모음 및 키를 구성했습니다. 다음으로 서비스 공급자의 테넌트에서 Azure Cosmos DB 계정을 만들고 고객 테넌트의 키로 고객 관리형 키를 구성할 수 있습니다.

    고객 관리형 키를 사용하여 Azure Cosmos DB 계정을 만들 때 고객이 사용한 키에 대한 액세스 권한이 있는지 확인해야 합니다. 단일 테넌트 시나리오에서는 Azure Cosmos DB 보안 주체에 직접 키 자격 증명 모음 액세스 권한을 부여하거나 특정 관리 ID를 사용합니다. 테넌트 간 시나리오에서는 키 자격 증명 모음이 고객이 관리하는 다른 테넌트에 있기 때문에 더 이상 키 자격 증명 모음에 대한 직접 액세스에 의존할 수 없습니다. 이 제약 조건은 이전 섹션에서 테넌트 간 애플리케이션을 만들고 고객의 키 자격 증명 모음에 대한 액세스 권한을 부여하기 위해 애플리케이션 내부에 관리 ID를 등록한 이유입니다. 테넌트 간 애플리케이션 ID와 결합된 이 관리 ID는 테넌트 간 CMK Azure Cosmos DB 계정을 만들 때 사용할 것입니다. 자세한 내용은 이 문서의 3단계 - 서비스 공급자가 고객 관리형 키를 사용하여 Azure 리소스의 데이터 암호화 섹션을 참조하세요.

    키 자격 증명 모음에서 키의 새 버전을 사용할 수 있을 때마다 Azure Cosmos DB 계정에서 자동으로 업데이트됩니다.

    Azure Resource Manager JSON 템플릿 사용

    다음 특정 매개 변수를 사용하여 ARM 템플릿을 배포합니다.

    참고 항목

    Azure Resource Manager 템플릿 중 하나에서 이 샘플을 다시 만드는 경우 2022-05-15apiVersion을 사용합니다.

    매개 변수 설명 예제 값
    keyVaultKeyUri 서비스 공급자의 키 자격 증명 모음에 있는 고객 관리형 키의 식별자입니다. https://my-vault.vault.azure.com/keys/my-key
    identity 관리 ID를 Azure Cosmos DB 계정에 할당하도록 지정하는 개체입니다. "identity":{"type":"UserAssigned","userAssignedIdentities":{"/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-identity":{}}}
    defaultIdentity 관리 ID의 리소스 ID와 다중 테넌트 Microsoft Entra 애플리케이션의 애플리케이션 ID의 조합입니다. UserAssignedIdentity=/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-identity&FederatedClientId=aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e

    다음은 세 개의 매개 변수가 구성된 템플릿 세그먼트의 예제입니다.

    {
      "kind": "GlobalDocumentDB",
      "location": "East US 2",
      "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
          "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-identity": {}
        }
      },
      "properties": {
        "locations": [
          {
            "locationName": "East US 2",
            "failoverPriority": 0,
            "isZoneRedundant": false
          }
        ],
        "databaseAccountOfferType": "Standard",
        "keyVaultKeyUri": "https://my-vault.vault.azure.com/keys/my-key",
        "defaultIdentity": "UserAssignedIdentity=/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourcegroups/my-resource-group/providers/Microsoft.ManagedIdentity/userAssignedIdentities/my-identity&FederatedClientId=aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e"
      }
    }
    

    Important

    이 기능은 Azure PowerShell, Azure CLI 또는 Azure Portal에서 아직 지원되지 않습니다.

    새 Azure Cosmos DB 계정을 만들 때 특정 버전의 키 버전으로 고객 관리형 키를 구성할 수 없습니다. 키 자체는 버전 및 후행 백슬래시 없이 전달되어야 합니다.

    고객 관리형 키를 취소하거나 사용하지 않도록 설정하려면 Azure Key Vault를 사용하여 Azure Cosmos DB 계정에 대한 고객 관리형 키 구성을 참조하세요.

    참고 항목