데이터 암호화 구성

적용 대상: Azure Database for PostgreSQL - 유연한 서버

이 문서에서는 Azure Database for PostgreSQL 유연한 서버에 대한 데이터 암호화를 구성하는 단계별 지침을 제공합니다.

Important

Azure Database for PostgreSQL 유연한 서버의 데이터 암호화를 위한 시스템 또는 고객 관리형 암호화 키는 서버가 배포될 때만 선택할 수 있습니다.

이 문서에서는 새 서버를 만들고 해당 데이터 암호화 옵션을 구성하는 방법을 알아봅니다. 고객 관리형 암호화 키를 사용하도록 데이터 암호화가 구성된 기존 서버의 경우 다음을 알아봅니다.

• 서비스에서 암호화 키에 액세스하는 다른 사용자 할당 관리 ID를 선택하는 방법입니다.
• 다른 암호화 키를 지정하는 방법 또는 현재 데이터 암호화에 사용되는 암호화 키를 회전하는 방법입니다.

Azure Database for PostgreSQL - 유연한 서버의 컨텍스트에서 데이터 암호화에 대해 알아보려면 데이터 암호화를 참조하세요.

서버 프로비전 중 시스템 관리 키를 사용하여 데이터 암호화 구성

포털

Azure Portal 사용:

1. Azure Database for PostgreSQL 유연한 서버의 새 인스턴스를 프로비전하는 동안 보안 탭에 있습니다.

   

2. 데이터 암호화 키에서 서비스 관리형 키 라디오 단추를 선택합니다.

   

3. 서버와 함께 지역 중복 백업 스토리지를 프로비전할 수 있도록 설정하면 서버에서 두 개의 별도 암호화 키를 사용하므로 보안 탭의 측면이 약간 변경됩니다. 하나는 서버를 배포하는 주 지역용이고, 하나는 서버 백업이 비동기적으로 복제되는 쌍을 이루는 지역에 대한 것입니다.

   

CLI

az postgres flexible-server create 명령을 통해 새 서버를 프로비전하는 동안 시스템 할당 암호화 키를 사용하여 데이터 암호화를 사용하도록 설정할 수 있습니다.

az postgres flexible-server create --resource-group <resource_group> --name <server> ...

참고 항목

이전 명령에는 데이터 암호화를 위해 시스템 할당 키를 사용하여 서버를 만들어야 한다고 지정하는 특수 매개 변수가 없습니다. 시스템 할당 키를 사용한 데이터 암호화가 기본 옵션이기 때문입니다. 또한 프로비전된 서버의 다른 기능을 구성하는 방법에 따라 현재 상태 및 값이 다른 다른 매개 변수와 함께 제공되는 명령을 완료해야 합니다.

서버를 프로비전하는 동안 고객 관리형 키를 사용하여 데이터 암호화 구성

포털

Azure Portal 사용:

1. 아직 사용자가 할당한 관리 ID가 없는 경우 한 명의 사용자 할당 관리 ID를 만듭니다. 서버에 지역 중복 백업을 사용하도록 설정한 경우 다른 ID로 만들어야 합니다. 이러한 각 ID는 두 데이터 암호화 키 각각에 액세스하는 데 사용됩니다.

   참고 항목

   필수는 아니지만 지역 복원력을 유지하려면 서버와 동일한 지역에 사용자 관리 ID를 만드는 것이 좋습니다. 서버에서 지역 백업 중복성을 사용하도록 설정한 경우 지역 중복 백업에 대한 데이터 암호화 키에 액세스하는 데 사용되는 두 번째 사용자 관리 ID가 서버의 쌍을 이루는 지역에 만들어지는 것이 좋습니다.

2. 아직 하나의 키 저장소를 만들지 않은 경우 Azure Key Vault 를 하나 만들거나 관리형 HSM 하나를 만듭니다. 요구 사항을 충족 하는지 확인합니다. 또한 키 저장소를 구성하기 전과 키를 만들고 사용자에게 할당된 관리 ID에 필요한 권한을 할당하기 전에 권장 사항을 따릅니다. 서버에 지역 중복 백업을 사용하도록 설정한 경우 두 번째 키 저장소를 만들어야 합니다. 두 번째 키 저장소는 서버의 쌍을 이루는 지역에 복사된 백업이 암호화되는 데이터 암호화 키를 유지하는 데 사용됩니다.

   참고 항목

   데이터 암호화 키를 유지하는 데 사용되는 키 저장소는 서버와 동일한 지역에 배포되어야 합니다. 서버에서 지역 백업 중복성을 사용하도록 설정한 경우 지역 중복 백업에 대한 데이터 암호화 키를 유지하는 키 저장소를 서버의 쌍을 이루는 지역에 만들어야 합니다.

3. 키 저장소에 하나의 키를 만듭니다. 서버에 지역 중복 백업을 사용하도록 설정한 경우 각 키 저장소에 하나의 키가 필요합니다. 이러한 키 중 하나를 사용하여 모든 서버의 데이터(모든 시스템 및 사용자 데이터베이스, 임시 파일, 서버 로그, 미리 쓰기 로그 세그먼트 및 백업 포함)를 암호화합니다. 두 번째 키를 사용하여 서버의 쌍을 이루는 지역에 비동기적으로 복사되는 백업의 복사본을 암호화합니다.

4. Azure Database for PostgreSQL 유연한 서버의 새 인스턴스를 프로비전하는 동안 보안 탭에 있습니다.

   

5. 데이터 암호화 키에서 서비스 관리형 키 라디오 단추를 선택합니다.

   

6. 서버와 함께 지역 중복 백업 스토리지를 프로비전할 수 있도록 설정하면 서버에서 두 개의 별도 암호화 키를 사용하므로 보안 탭의 측면이 약간 변경됩니다. 하나는 서버를 배포하는 주 지역용이고, 하나는 서버 백업이 비동기적으로 복제되는 쌍을 이루는 지역에 대한 것입니다.

   

7. 사용자가 할당한 관리 ID에서 ID 변경을 선택합니다.

   

8. 사용자가 할당한 관리 ID 목록 중에서 서버에서 Azure Key Vault에 저장된 데이터 암호화 키에 액세스하는 데 사용할 ID를 선택합니다.

   

9. 추가를 선택합니다.

   

10. 키 선택을 선택합니다.

    

11. 구독 은 서버를 만들려는 구독의 이름으로 자동으로 채워집니다. 데이터 암호화 키를 유지하는 키 저장소는 서버와 동일한 구독에 있어야 합니다.

    

12. 키 저장소 유형에서 데이터 암호화 키를 저장하려는 키 저장소 유형에 해당하는 라디오 단추를 선택합니다. 이 예제에서는 Key Vault를 선택하지만 관리형 HSM을 선택하는 경우 환경은 비슷합니다.

    

13. 키 자격 증명 모음(또는 해당 스토리지 유형을 선택한 경우 관리형 HSM)을 확장하고 데이터 암호화 키가 있는 인스턴스를 선택합니다.

    

    참고 항목

    드롭다운 상자를 확장하면 사용 가능한 항목이 표시되지 않습니다. 서버와 동일한 지역에 배포된 키 자격 증명 모음의 모든 인스턴스를 나열할 때까지 몇 초 정도 걸립니다.

14. 키를 확장하고 데이터 암호화에 사용할 키의 이름을 선택합니다.

    

15. 버전을 확장하고 데이터 암호화에 사용할 키 버전의 식별자를 선택합니다.

    

16. 선택을 선택합니다.

    

17. 새 서버의 다른 모든 설정을 구성하고 검토 + 만들기를 선택합니다.

    

CLI

az postgres flexible-server create 명령을 통해 새 서버를 프로비전하는 동안 사용자 할당 암호화 키를 사용하여 데이터 암호화를 사용하도록 설정할 수 있습니다.

서버에 지역 중복 백업을 사용하도록 설정하지 않은 경우:

az postgres flexible-server create --resource-group <resource_group> --name <server> --geo-redundant-backup Disabled --identity <managed_identity_to_access_primary_encryption_key> --key <resource_identifier_of_primary_encryption_key> ...

참고 항목

이전 명령은 프로비전된 서버의 다른 기능을 구성하는 방법에 따라 현재 상태 및 값이 다른 다른 매개 변수를 사용하여 완료해야 합니다.

서버에 지역 중복 백업을 사용하도록 설정한 경우:

az postgres flexible-server create --resource-group <resource_group> --name <server> --geo-redundant-backup Enabled --identity <managed_identity_to_access_primary_encryption_key> --key <resource_identifier_of_primary_encryption_key> --backup-identity <managed_identity_to_access_geo_backups_encryption_key> --backup-key <resource_identifier_of_geo_backups_encryption_key> ...

참고 항목

이전 명령은 프로비전된 서버의 다른 기능을 구성하는 방법에 따라 현재 상태 및 값이 다른 다른 매개 변수를 사용하여 완료해야 합니다.

기존 서버에서 고객 관리형 키를 사용하여 데이터 암호화 구성

데이터 암호화에 시스템 관리형 키 또는 고객 관리형 키를 사용할지 여부를 결정할 수 있는 유일한 지점은 서버를 만드는 것입니다. 해당 결정을 내리고 서버를 만든 후에는 두 옵션 간에 전환할 수 없습니다. 유일한 대안은 서버에서 사용할 수 있는 백업을 새 서버로 복원해야 합니다. 복원을 구성하는 동안 새 서버의 데이터 암호화 구성을 변경할 수 있습니다.

고객 관리형 키를 사용하여 데이터 암호화를 사용하여 배포된 기존 서버의 경우 몇 가지 구성 변경을 수행할 수 있습니다. 변경할 수 있는 항목은 암호화에 사용되는 키에 대한 참조 및 서비스에서 키 저장소에 보관된 키에 액세스하는 데 사용하는 사용자 할당 관리 ID에 대한 참조입니다.

Azure Database for PostgreSQL 유연한 서버의 키에 대한 참조를 업데이트해야 합니다.

• 키 저장소에 저장된 키가 수동으로 또는 자동으로 회전되는 경우
• 다른 키 저장소에 저장된 동일하거나 다른 키를 사용하려는 경우

암호화 키에 액세스하려면 Azure Database for PostgreSQL 유연한 서버에서 사용하는 사용자 할당 관리 ID를 업데이트해야 합니다.

• 다른 ID를 사용하려는 경우

포털

Azure Portal 사용:

1. Azure Database for PostgreSQL 유연한 서버를 선택합니다.

2. 리소스 메뉴의 보안 섹션에서 데이터 암호화를 선택합니다.

   

3. 서버가 키를 유지하는 키 저장소에 액세스하는 사용자 할당 관리 ID를 변경하려면 사용자 할당 관리 ID 드롭다운을 확장하고 사용 가능한 ID를 선택합니다.

   

   참고 항목

   콤보 상자에 표시된 ID는 Azure Database for PostgreSQL 유연한 서버가 할당된 ID일 뿐입니다. 필수는 아니지만 지역 복원력을 유지하려면 서버와 동일한 지역에서 사용자 관리 ID를 선택하는 것이 좋습니다. 서버에서 지역 백업 중복성을 사용하도록 설정한 경우 지역 중복 백업에 대한 데이터 암호화 키에 액세스하는 데 사용되는 두 번째 사용자 관리 ID가 서버의 쌍을 이루는 지역에 있는 것이 좋습니다.

4. 데이터 암호화 키에 액세스하는 데 사용하려는 사용자가 할당한 관리 ID가 Azure Database for PostgreSQL 유연한 서버에 할당되지 않고 Microsoft Entra ID에 해당 개체가 있는 Azure 리소스로도 존재하지 않는 경우 만들기를 선택하여 만들 수 있습니다.

   

5. 사용자 할당 관리 ID 만들기 패널에서 만들려는 사용자 할당 관리 ID의 세부 정보를 완료하고 Azure Database for PostgreSQL 유연한 서버에 자동으로 할당하여 데이터 암호화 키에 액세스합니다.

   

6. 데이터 암호화 키에 액세스하는 데 사용하려는 사용자가 할당한 관리 ID가 Azure Database for PostgreSQL 유연한 서버에 할당되지 않았지만 Microsoft Entra ID에 해당 개체가 있는 Azure 리소스로 존재하는 경우 선택을 선택하여 할당할 수 있습니다.

   

7. 사용자가 할당한 관리 ID 목록 중에서 서버에서 Azure Key Vault에 저장된 데이터 암호화 키에 액세스하는 데 사용할 ID를 선택합니다.

   

8. 추가를 선택합니다.

   

9. 키를 회전하거나 다른 키를 사용하려는 경우 새 키 버전 또는 새 키를 가리키도록 Azure Database for PostgreSQL 유연한 서버를 업데이트해야 합니다. 이렇게 하려면 키의 리소스 식별자를 복사하여 키 식별자 상자에 붙여넣을 수 있습니다.

   

10. Azure Portal에 액세스하는 사용자에게 키 저장소에 저장된 키에 액세스할 수 있는 권한이 있는 경우 다른 방법을 사용하여 새 키 또는 새 키 버전을 선택할 수 있습니다. 이렇게 하려면 키 선택 방법에서 키 라디오 선택 단추를 선택합니다.

    

11. 키 선택을 선택합니다.

    

12. 구독 은 서버를 만들려는 구독의 이름으로 자동으로 채워집니다. 데이터 암호화 키를 유지하는 키 저장소는 서버와 동일한 구독에 있어야 합니다.

    

13. 키 저장소 유형에서 데이터 암호화 키를 저장하려는 키 저장소 유형에 해당하는 라디오 단추를 선택합니다. 이 예제에서는 Key Vault를 선택하지만 관리형 HSM을 선택하는 경우 환경은 비슷합니다.

    

14. 키 자격 증명 모음(또는 해당 스토리지 유형을 선택한 경우 관리형 HSM)을 확장하고 데이터 암호화 키가 있는 인스턴스를 선택합니다.

    

    참고 항목

    드롭다운 상자를 확장하면 사용 가능한 항목이 표시되지 않습니다. 서버와 동일한 지역에 배포된 키 자격 증명 모음의 모든 인스턴스를 나열할 때까지 몇 초 정도 걸립니다.

15. 키를 확장하고 데이터 암호화에 사용할 키의 이름을 선택합니다.

    

16. 버전을 확장하고 데이터 암호화에 사용할 키 버전의 식별자를 선택합니다.

    

17. 선택을 선택합니다.

    

18. 변경 내용에 만족하면 저장을 선택합니다.

    

CLI

az postgres 유연한 서버 업데이트 명령을 통해 기존 서버에 대해 사용자 할당 암호화 키를 사용하여 데이터 암호화를 구성할 수 있습니다.

az postgres flexible-server update --resource-group <resource_group> --name <server> --identity <managed_identity_to_access_primary_encryption_key> --key <resource_identifier_of_primary_encryption_key> ...

참고 항목

이전 명령은 기존 서버의 다른 기능을 구성하는 방법에 따라 현재 상태 및 값이 달라지는 다른 매개 변수를 사용하여 완료해야 할 수 있습니다.

키에 액세스하는 데 사용되는 사용자 할당 관리 ID만 변경하거나 데이터 암호화에 사용되는 키만 변경하거나 동시에 변경하려는 경우 매개 변수 --identity 와 --key 지역 --backup-identity --backup-key 중복 백업을 모두 제공해야 합니다. 둘 다 제공하지 않으면 다음 오류 중 하나가 발생합니다.

User assigned identity and keyvault key need to be provided together. Please provide --identity and --key together.

User assigned identity and keyvault key need to be provided together. Please provide --backup-identity and --backup-key together.

매개 변수에 전달된 --key 값(또는 --backup-key 지역 중복 백업용)이 가리키는 키가 없거나 리소스 식별자가 매개 변수에 전달된 --identity 관리 ID(지역 중복 백업의 경우 광석 --backup-identity )가 키에 액세스하는 데 필요한 권한이 없는 경우 다음 오류가 발생합니다.

Code: AzureKeyVaultKeyNameNotFound
Message: The operation could not be completed because the Azure Key Vault Key name '<key_vault_resource>' does not exist or User Assigned Identity does not have Get access to the Key (https://learn.microsoft.com/en-us/azure/postgresql/flexible-server/concepts-data-encryption#requirements-for-configuring-data-encryption-for-azure-database-for-postgresql-flexible-server).

서버에 지역 중복 백업을 사용하도록 설정한 경우 지역 중복 백업의 암호화에 사용되는 키와 해당 키에 액세스하는 데 사용되는 ID를 구성할 수 있습니다. 이렇게 하려면 해당 매개 변수와 --backup-key 매개 변수를 --backup-identity 사용할 수 있습니다.

az postgres flexible-server update --resource-group <resource_group> --name <server> --backup-identity <managed_identity_to_access_georedundant_encryption_key> --backup-key <resource_identifier_of_georedundant_encryption_key> ...

매개 변수 --backup-identity 와 --backup-key az postgres flexible server update 명령을 전달하고 지역 중복 백업을 사용하도록 설정하지 않은 기존 서버를 참조하면 다음 오류가 발생합니다.

Geo-redundant backup is not enabled. You cannot provide Geo-location user assigned identity and keyvault key.

존재하고 유효한 경우 매개 변수에 --identity --backup-identity 전달된 ID는 Azure Database for PostgreSQL 유연한 서버에 연결된 사용자 할당 관리 ID 목록에 자동으로 추가됩니다. 나중에 다른 오류와 함께 명령이 실패하더라도 이 경우입니다. 이러한 경우 az postgres 유연한 서버 ID 명령을 사용하여 Azure Database for PostgreSQL 유연한 서버에 할당된 사용자 할당 관리 ID를 나열, 할당 또는 제거할 수 있습니다. Azure Database for PostgreSQL 유연한 서버에서 사용자 할당 관리 ID를 구성하는 방법에 대한 자세한 내용은 사용자 할당 관리 ID를 기존 서버에 연결하고, 사용자 할당 관리 ID를 기존 서버에 분리하고, 연결된 사용자 할당 관리 ID를 표시합니다.

관련 콘텐츠

• 데이터 암호화.