다음을 통해 공유

Azure Key Vault 암호에 환경 변수 사용

  • 아티클

환경 변수를 사용하면 Azure Key Vault에 저장된 시크릿을 참조할 수 있습니다. 그런 다음 이러한 암호는 Power Automate 흐름 및 사용자 지정 커넥터 내에서 사용할 수 있습니다. 암호는 다른 사용자 지정에서 또는 일반적으로 API를 통해 사용할 수 없습니다.

실제 암호은 Azure Key Vault에 저장되고 환경 변수는 키 자격 증명 모음 암호 위치를 참조합니다. 환경 변수와 함께 Azure Key Vault 암호를 사용하려면 Power Platform이 참조하려는 특정 암호를 참조할 수 있도록 Azure Key Vault를 구성해야 합니다.

비밀을 참조하는 환경 변수는 현재 흐름에서 동적 콘텐츠 선택기에서 사용할 수 없습니다. Power Automate

Azure Key Vault 구성

Power PlatformAzure Key Vault 비밀을 사용하려면 해당 볼트가 있는 Azure 구독에 PowerPlatform 리소스 공급자가 등록되어 있어야 하고 환경 변수를 생성하는 사용자에게 Azure Key Vault 리소스에 대한 적절한 권한이 있어야 합니다.

중요

  • Azure Key Vault 내에서 액세스 권한을 주장하는 데 사용되는 보안 역할에 최근 변경 사항이 있습니다. 이전 지침에는 Key Vault Reader 역할 할당이 포함되었습니다. 이전에 Key Vault 독자 역할로 키 볼트를 설정한 경우 Key Vault Secrets User 역할을 추가하여 사용자와 Microsoft Dataverse 사용자가 비밀을 검색할 수 있는 충분한 권한이 있는지 확인하세요.
  • 자격 증명 모음 액세스 정책 권한 모델을 사용하도록 구성된 키 자격 증명 모음이 여전히 있는 경우에도 서비스에서 Azure 역할 기반 액세스 제어 API를 사용하여 보안 역할 할당을 평가하고 있음을 알고 있습니다. 구성을 간소화하려면 자격 증명 모음 권한 모델을 Azure 역할 기반 액세스 제어로 전환하는 것이 좋습니다. 액세스 구성 탭에서 이 작업을 수행할 수 있습니다.

  1. Azure 구독에 Microsoft.PowerPlatform 리소스 공급자를 등록하세요. 따라와 다음 단계를 확인 및 구성하세요: 리소스 공급자 및 리소스 유형

    Power Platform 공급자를 Azure에 등록하세요

  2. Azure Key Vault 자격 증명 모음을 만듭니다. 침해 시 위협을 최소화할 수 있도록 Power Platform 환경마다 별도의 자격 증명 모음을 사용하는 것을 고려하십시오. Azure 역할 기반 액세스 제어 를 사용하여 키 볼트를 구성하는 것을 고려하세요. 권한 모델 추가 정보: Azure Key Vault 사용을 위한 모범 사례, 빠른 시작 - Azure 포털을 사용하여 Azure Key Vault 만들기

  3. 암호 유형의 환경 변수를 생성하거나 사용하는 사용자는 암호 내용을 검색할 수 있는 권한이 있어야 합니다. 새 사용자에게 비밀을 사용할 수 있는 권한을 부여하려면 액세스 제어(IAM) 영역을 선택하고 추가를 선택한 다음 드롭다운에서 역할 할당 추가 를 선택합니다. 추가 정보: Azure 역할 기반 액세스 제어를 통해 Key Vault 키, 인증서 및 비밀에 대한 액세스 제공

    Azure에서 내 접근 권한을 확인하세요

  4. 역할 할당 추가 마법사에서 기본 할당 유형을 직무 역할 로 두고 역할 탭으로 계속 진행합니다. Key Vault Secrets 사용자 역할 을 찾아 선택합니다. 멤버 탭으로 이동하여 멤버 선택 연결를 선택하고 측면 패널에서 사용자를 찾습니다. 사용자를 선택하고 구성원 섹션에 표시하면 계속해서 검토 및 할당 탭으로 이동하여 마법사를 완료합니다.

  5. Azure Key Vault에는 서비스 주체에게 Key Vault Secrets User 역할이 부여되어야 합니다. Dataverse 이 자격 증명 모음에 대해 존재하지 않는 경우 사용자 대신 Dataverse 애플리케이션 ID만 사용하여 이전에 최종 사용자 권한에 사용한 것과 동일한 방법을 사용하여 새 액세스 정책을 추가합니다. 테넌트에 여러 Dataverse 서비스 주체가 있는 경우 모두 선택하고 역할 할당을 저장하는 것이 좋습니다. 역할이 할당되면 역할 할당 목록에 나열된 각 Dataverse 항목을 검토하고 Dataverse 이름을 선택하여 세부 정보를 봅니다. 애플리케이션 ID가 00000007-0000-0000-c000-000000000000** 아닌 경우, 해당 ID를 선택한 다음 제거 를 선택하여 목록에서 제거하세요.

  6. Azure Key Vault 방화벽을 활성화한 경우 IP 주소가 Key Vault에 액세스할 수 있도록 허용해야 합니다. Power Platform Power Platform은 "신뢰할 수 있는 서비스 전용" 옵션에 포함되지 않습니다. 현재 서비스에서 사용되는 IP 주소는 Power Platform URL 및 IP 주소 범위 로 이동하세요.

  7. 아직 추가하지 않았다면 새 자격 증명 모음에 암호를 추가하십시오. 추가 정보: Azure 빠른 시작 - Azure 포털을 사용하여 Key Vault에서 비밀 설정 및 검색

Key Vault 암호에 대한 새 환경 변수 만들기

Azure Key Vault가 구성되고 자격 증명 모음에 암호가 등록되면 이제 환경 변수를 사용하여 Power Apps 내에서 참조할 수 있습니다.

참고

  • 암호에 대한 사용자 액세스 유효성 검사는 백그라운드에서 수행됩니다. 사용자에게 최소한 읽기 권한이 없으면 "이 변수는 제대로 저장되지 않았습니다. 사용자는 'Azure Key Vault 경로'에서 암호를 읽을 수 있는 권한이 없습니다."라는 유효성 검사 오류가 표시됩니다.
  • 현재 Azure Key Vault는 환경 변수로 지원되는 유일한 암호 저장소입니다.
  • Azure Key Vault는 Power Platform 구독과 동일한 테넌트에 있어야 합니다.

  1. Power Apps에 로그인한 후 솔루션 영역에서 개발에 사용 중인 비관리형 솔루션을 엽니다.

  2. 새로 만들기>더 보기>환경 변수를 선택하세요.

  3. 표시 이름 를 입력하고, 선택적으로 환경 변수에 대한 설명 을 입력합니다.

  4. 데이터 유형비밀비밀 저장소 as Azure Key Vault.

  5. 다음 옵션 중에서 선택합니다.

    • 새로운 Azure 키 보관소 값 참조를 선택하세요. 다음 단계에 정보를 추가하고 저장하면 환경 변수 레코드가 생성됩니다.
    • 기본값 표시를 확장하여 기본 Azure Key Vault 비밀을 생성하는 필드를 표시합니다. 다음 단계에 정보를 추가하고 저장하면 기본값 구분이 환경 변수 정의 레코드에 추가됩니다.

  6. 다음 정보를 입력합니다.

    • Azure 구독 ID: 키 볼트와 연결된 Azure 구독 ID입니다.

    • 리소스 그룹 이름: 비밀이 포함된 키 볼트가 있는 Azure 리소스 그룹입니다.

    • Azure 키 보관소 이름: 비밀이 포함된 키 보관소의 이름입니다.

    • 비밀 이름: Azure Key Vault에 있는 비밀의 이름입니다.

      구독 ID, 리소스 그룹 이름 및 주요 자격 증명 모음 이름은 키 자격 증명 모음의 Azure Portal 개요 페이지에서 찾을 수 있습니다. 암호 이름은 Azure Portal의 키 자격 증명 모음 페이지에서 설정암호를 선택하여 찾을 수 있습니다.

  7. 저장을 선택합니다.

Power Automate 흐름을 만들어 환경 변수 암호 테스트

Azure Key Vault에서 얻은 암호를 사용하는 방법을 보여주는 간단한 시나리오는 Power Automate 흐름을 만들어 웹 서비스에 대해 인증하는 데 암호를 사용하는 것입니다.

참고

이 예시에 사용되는 웹 서비스 URI는 작동하는 웹 서비스가 아닙니다.

  1. Power Apps에 로그인하고 솔루션을 선택한 다음, 원하는 비관리형 솔루션을 엽니다. 항목이 측면 패널 창을 경우 ...자세히를 선택한 다음 원하는 항목을 선택하세요.

  2. 신규>자동화>클라우드 흐름>인스턴트를 선택합니다.

  3. 흐름의 이름을 입력하고 수동으로 트리거 흐름을 선택한 다음 만들기를 선택합니다.

  4. 새로운 단계를 선택하고, Microsoft Dataverse 커넥터를 선택한 다음, 작업 탭에서 바인딩되지 않은 작업 수행을 선택합니다.

  5. 드롭다운 목록에서 RetrieveEnvironmentVariableSecretValue 라는 이름의 작업을 선택합니다.

  6. 이전 섹션에서 추가한 환경 변수의 고유 이름을 지정합니다(표시 이름가 아님). 이 예시에서는 new_TestSecret 이 사용됩니다.

  7. ...>이름 바꾸기 를 선택하면 다음 작업에서 더 쉽게 참조할 수 있도록 작업의 이름을 바꿀 수 있습니다. 이 스크린샷에서는 GetSecret으로 이름이 변경되었습니다.

    환경 변수 비밀을 테스트하기 위한 즉각적인 흐름 구성

  8. ...>설정 을 선택하면 GetSecret 작업 설정이 표시됩니다.

  9. 설정에서 보안 출력 옵션을 활성화한 다음 완료를 선택하세요. 이는 동작의 출력이 흐름 실행 기록에 노출되는 것을 방지하기 위한 것입니다.

    작업에 대한 보안 출력 설정 활성화

  10. 새로운 단계를 선택하고 HTTP 커넥터를 검색하여 선택하세요.

  11. 메서드GET 으로 선택하고 웹 서비스의 URI 를 입력합니다. 이 예에서는 가상의 웹 서비스 httpbin.org 가 사용됩니다.

  12. 고급 옵션 표시를 선택하고 인증기본으로 선택한 다음 사용자 이름을 입력합니다.

  13. 비밀번호 필드를 선택한 다음, 위의 단계 이름(이 예에서는 GetSecret ) 아래에 있는 동적 콘텐츠 탭에서 RetrieveEnvironmentVariableSecretValueResponse EnvironmentVariableSecretValue를 선택한 다음, 이를 표현식 outputs('GetSecretTest')?['body/EnvironmentVariableSecretValue'] 또는 body('GetSecretTest')['EnvironmentVariableSecretValue']으로 추가합니다.

    HTTP 커넥터를 사용하여 새로운 단계를 만듭니다.

  14. ...>설정 을 선택하면 HTTP 작업 설정이 표시됩니다.

  15. 설정에서 보안 입력보안 출력 옵션을 활성화한 다음 완료를 선택하세요. 이러한 옵션을 활성화하면 작업의 입력 및 출력이 흐름 실행 기록에 노출되는 것을 방지할 수 있습니다.

  16. 저장 을 선택하여 흐름을 생성합니다.

  17. 흐름을 수동으로 실행하여 테스트합니다.

    흐름의 실행 기록을 사용하여 출력을 확인할 수 있습니다.

    유량 출력

환경 변수 비밀을 사용하세요 Microsoft Copilot Studio

환경 변수 비밀은 Microsoft Copilot Studio 조금 다르게 작동합니다. 환경 변수가 있는 비밀을 사용하려면 Azure Key Vault 구성Key Vault 비밀에 대한 새 환경 변수 생성 섹션의 단계를 실행해야 합니다.

Azure Key Vault에 Copilot Studio 액세스 권한을 부여하세요

다음 단계를 수행하세요.

  1. 돌아가기를 Azure 키 보관소로 옮기세요.

  2. Copilot Studio 키 보관소에 접근해야 합니다. 비밀을 사용할 수 있는 권한을 부여하려면 Copilot Studio 왼쪽 탐색에서 액세스 제어(IAM) 를 선택하고, 추가를 선택한 다음, 역할 할당 추가를 선택합니다.

    Azure에서 내 접근 권한을 확인하세요

  3. Key Vault Secrets 사용자 역할을 선택한 후 다음을 선택합니다.

  4. 멤버 선택을 선택하고 Power Virtual Agents 서비스를 검색하여 선택한 다음 선택을 선택합니다.

  5. 화면 하단의 검토 + 할당 을 선택하세요. 정보를 검토하고 모든 내용이 정확하다면 다시 검토 + 할당 을 선택하세요.

Copilot가 Azure Key Vault의 비밀에 액세스할 수 있도록 태그를 추가합니다.

이 섹션의 이전 단계를 완료하면 Copilot Studio 이제 Azure Key Vault에 액세스할 수 있지만 아직 사용할 수는 없습니다. 작업, 따라와를 완료하려면 다음 단계를 따르세요.

  1. Microsoft Copilot Studio 로 이동하여 환경 변수 비밀번호에 사용하려는 에이전트를 열거나 새 비밀번호를 만드세요.

  2. 에이전트 토픽를 열거나 새 것을 만드세요.

  3. + 노드를 추가하려면 아이콘을 선택한 다음 메시지 보내기 {x} 를 선택하세요.

  4. 메시지 보내기 {x} 노드에서 변수 삽입 옵션을 선택합니다.

  5. 환경 탭을 선택합니다. Key Vault 비밀에 대한 새 환경 변수 만들기 단계에서 만든 환경 변수 비밀을 선택합니다.

  6. 저장 을 선택하여 토픽를 저장하세요.

  7. 테스트 창에서 방금 토픽 변수 비밀을 사용하여 메시지 보내기 노드를 추가한 토픽의 시작 문구 중 하나를 사용하여 토픽를 테스트합니다. 다음과 같은 오류가 발생합니다.

    오류 메시지: 봇는 환경 변수를 사용할 수 없습니다. 허용 목록에 봇를 추가하려면 값이 있는 태그 'AllowedBots'를 추가합니다.

    즉, Key Vault를 돌아가기에서 Azure로 변경하고 비밀을 편집해야 합니다. 나중에 다시 돌아올 수 있으니 열어두세요. Copilot Studio

  8. Azure Key Vault로 이동하세요. 왼쪽 탐색창에서, 개체 아래에 있는 비밀 을 선택하세요. 이름을 선택하여 공개하고 싶은 비밀을 선택하세요. Copilot Studio

  9. 비밀 버전을 선택하세요.

  10. 태그 옆에 있는 태그 0개를 선택합니다. 태그 이름태그 값을 추가합니다. Copilot Studio 의 오류 메시지는 두 속성의 정확한 값을 알려줍니다. 태그 이름AllowedBots 를 추가해야 하고, 태그 값 에 오류 메시지에 표시된 값을 추가해야 합니다. 이 값의 형식은 {envId}/{schemaName}입니다. 허용해야 할 부조종사가 여러 명인 경우 값을 쉼표로 구분하세요. 완료하면 확인을 선택합니다.

  11. 태그를 비밀번호에 적용하려면 적용 을 선택하세요.

  12. 돌아가기에서 Copilot Studio로. Copilot 테스트 창에서 새로 고침 을 선택하세요.

  13. 테스트 창에서 토픽의 시작 문구 중 하나를 사용하여 토픽를 다시 테스트합니다.

테스트 패널에 비밀번호 값이 표시됩니다.

환경 키 보관소의 모든 조종사가 Azure 키 보관소의 비밀에 액세스할 수 있도록 태그를 추가합니다.

또는 환경 키 보관소의 모든 부조종사가 Azure 키 보관소의 비밀에 액세스하도록 허용할 수 있습니다. 작업, 따라와를 완료하려면 다음 단계를 따르세요.

  1. Azure Key Vault로 이동하세요. 왼쪽 탐색창에서, 개체 아래에 있는 비밀 을 선택하세요. 이름을 선택하여 공개하고 싶은 비밀을 선택하세요. Copilot Studio
  2. 비밀 버전을 선택하세요.
  3. 태그 옆에 있는 태그 0개를 선택합니다. 태그 이름태그 값을 추가합니다. 태그 이름 아래에 허용된 환경 을 추가하고 태그 값 에 허용하려는 환경의 환경 ID를 추가합니다. 완료일 경우, 확인를 선택하세요
  4. 태그를 비밀번호에 적용하려면 적용 을 선택하세요.

제한 사항

환경 변수는 Azure를 참조합니다. Key Vault 비밀은 현재 Power Automate 흐름, Copilot Studio 에이전트 및 사용자 지정 커넥터와 함께 사용하도록 제한되어 있습니다.

참조 항목

캔버스 앱에서 데이터 원본 환경 변수 사용
Power Automate 솔루션 클라우드 흐름에 환경 변수 사용
환경 변수 개요.