고객 관리형 키를 사용하여 암호화된 이미지 버전 만들기
적용 대상: ✔️ Linux VM ✔️ Windows VM ✔️ 유연한 확장 집합 ✔️ 균일한 확장 집합
Azure Compute Gallery(이전의 Shared Image Gallery)의 이미지는 스냅샷으로 저장됩니다. 이러한 이미지는 서버 쪽 256비트 암호화 AES 암호화를 통해 자동으로 암호화됩니다. 서버 쪽 암호화는 FIPS 140-2 규격이기도 합니다. 암호화 모듈의 기본 Azure Managed Disks에 대한 자세한 정보는 Cryptography API: Next Generation을 참조하세요.
플랫폼 관리형 키를 사용하여 이미지를 암호화할 수도 있고 사용자 고유의 키를 사용할 수도 있습니다. 이 두 가지 기능을 함께 사용하여 암호화를 두 배로 강화할 수도 있습니다.` 사용자 고유의 키를 사용하여 암호화를 관리하는 경우 이미지의 모든 데이터를 암호화 및 암호 해독하는 데 사용할 고객 관리형 키를 지정할 수 있습니다.
고객 관리형 키를 통한 서버 쪽 암호화는 Azure Key Vault를 사용합니다. 사용자의 RSA 키를 키 자격 증명 모음으로 가져오거나 Azure Key Vault에서 새 RSA 키를 생성할 수 있습니다.
필수 조건
이 문서에서는 이미지를 복제하려는 각 지역에 디스크 암호화를 미리 설정하도록 요구합니다.
고객 관리형 키만 사용하려면 Azure Portal 또는 PowerShell을 사용하여 서버 쪽 암호화에 고객 관리형 키를 사용하는 방법에 대한 문서를 참조하세요.
플랫폼 관리형 키 및 고객 관리형 키를 모두 사용하려면(이중 암호화의 경우) Azure Portal 또는 PowerShell을 사용하여 미사용 데이터에 이중 암호화를 사용하도록 설정하는 방법에 대한 문서를 참조하세요.
Important
링크 https://aka.ms/diskencryptionupdates를 사용하여 Azure Portal에 액세스해야 합니다. 링크를 사용하지 않으면 미사용 데이터 이중 암호화가 공용 Azure Portal에 표시되지 않습니다.
제한 사항
고객 관리형 키를 사용하여 Azure Compute Gallery에서 이미지를 암호화하는 경우 다음과 같은 제한 사항이 적용됩니다.
암호화 키 집합은 이미지와 동일한 구독에 있어야 합니다.
암호화 키 집합은 지역별 리소스이므로 지역마다 서로 다른 암호화 키 집합이 필요합니다.
사용자 고유의 키를 사용하여 이미지를 암호화한 후에는 플랫폼 관리형 키를 사용하여 해당 이미지를 암호화할 수 없습니다.
CMK로 암호화된 ACG 이미지 버전 원본을 원본으로 사용하여 다른 ACG 이미지 버전을 만들 수 없습니다.
SSE+CMK 이미지 복제, SSE+CMK 암호화 디스크에서 이미지 만들기 등과 같은 일부 기능은 포털을 통해 지원되지 않습니다.
이미지 만들기
이미지 버전에 대한 디스크 암호화 집합을 지정하려면 New-AzGalleryImageVersion을 -TargetRegion 매개 변수와 함께 사용합니다.
$sourceId = <ID of the image version source>
$osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet'}
$dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet1';Lun=1}
$dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myDESet2';Lun=2}
$dataDiskImageEncryptions = @($dataDiskImageEncryption1,$dataDiskImageEncryption2)
$encryption1 = @{OSDiskImage=$osDiskImageEncryption;DataDiskImages=$dataDiskImageEncryptions}
$region1 = @{Name='West US';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption1}
$eastUS2osDiskImageEncryption = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet'}
$eastUS2dataDiskImageEncryption1 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet1';Lun=1}
$eastUS2dataDiskImageEncryption2 = @{DiskEncryptionSetId='subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/myRG/providers/Microsoft.Compute/diskEncryptionSets/myEastUS2DESet2';Lun=2}
$eastUS2DataDiskImageEncryptions = @($eastUS2dataDiskImageEncryption1,$eastUS2dataDiskImageEncryption2)
$encryption2 = @{OSDiskImage=$eastUS2osDiskImageEncryption;DataDiskImages=$eastUS2DataDiskImageEncryptions}
$region2 = @{Name='East US 2';ReplicaCount=1;StorageAccountType=Standard_LRS;Encryption=$encryption2}
$targetRegion = @($region1, $region2)
이미지 만들기
New-AzGalleryImageVersion `
-ResourceGroupName $rgname `
-GalleryName $galleryName `
-GalleryImageDefinitionName $imageDefinitionName `
-Name $versionName -Location $location `
-SourceImageId $sourceId `
-ReplicaCount 2 `
-StorageAccountType Standard_LRS `
-PublishingProfileEndOfLifeDate '2020-12-01' `
-TargetRegion $targetRegion
VM 만들기
Azure Compute Gallery에서 VM(가상 머신)을 만들고, 고객 관리형 키를 사용하여 디스크를 암호화할 수 있습니다. 구문은 이미지로부터 일반화된 VM 또는 특수화된 VM을 만드는 것과 같습니다. 확장 매개 변수 집합을 사용하여 Set-AzVMOSDisk -Name $($vmName +"_OSDisk") -DiskEncryptionSetId $diskEncryptionSet.Id -CreateOption FromImage을(를) VM 구성에 추가합니다.
데이터 디스크의 경우 Add-AzVMDataDisk를 사용할 때 -DiskEncryptionSetId $setID 매개 변수를 추가합니다.
다음 단계
서버 쪽 디스크 암호화에 대해 알아봅니다.
구매 계획 정보에 대한 자세한 내용은 이미지를 만들 때 Azure Marketplace 구매 계획 정보 제공을 참조하세요.