주의사항

본 보도의 내용은 Azure Key Vault 스토리지 계정 키 기능망으로 되어 있으며 낡은 정보입니다.다음은 참고 정보로 보존되어 있습니다.

개요

Azure Storage 계정은 512비트 문자열로 구성된 두 개의 키(주 키, 보안 키)로 관리됩니다.저장 계정 이름과 키 중 하나를 사용하여 저장 계정에 저장된 데이터 객체(예: BLOB, 테이블의 엔티티, 대기열 메시지, Azure 파일 공유의 파일)에 액세스할 수 있습니다.

키 유출 및 재생성

계정 키를 알면 Azure에 저장된 모든 데이터에 접근할 수 있습니다. 키 유출은 심각한 데이터 유출을 초래할 수 있습니다.따라서 계정 키는 유연한 재생성 기능을 가지고 있다.키 유출 문제가 의심되면 메모리 관리자는 데이터 유출을 방지하기 위해 키를 다시 생성할 수 있습니다.

관건적인 정보의 운용·개발팀의 구성원이 팀에서 벗어났다는 것을 알았을 때

해킹 등으로 키 정보가 유출된 것으로 의심되는 경우

왜 두 가지 포인트가 있죠?

관리할 수 있는 두 가지 관건이 있는 이유는 관건을 다시 생성할 때 기존 응용 프로그램(주 관건 사용)에 대한 영향을 최소화하기 때문이다.전체 스토리지 서비스에 동기화하려면 키를 다시 생성하는 데 최대 10분이 걸립니다.따라서 다음 과정에서 키를 다시 생성하는 것이 좋습니다.

1. Azure ポータルで Secondary Key を再生成します。
2. Primary Key を利用している既存アプリケーションのキーを Secondary Key に変更します。アプリケーションをテストし発行します。
3. Azure ポータルで Primary Key を再生成します。

상기 단계에서 응용 프로그램의 정지 시간을 최소한으로 제어하는 동시에 두 개의 키를 다시 생성할 수 있지만, 이것은 응용 프로그램을 수정하고 다시 발행하는 데 시간이 필요하다.이용Azure Key Vault을 통해 이런 유출 대책을 더욱 안전하게 실시할 수 있다.

Azure Key Vault를 통한 키 유출 방지

Azure 저장소 계정 키 유출을 방지하기 위해 키를 기밀로 Azure 키 Vault에 저장하고 응용 프로그램에서 키를 보존하지 않고 필요에 따라 저장할 수 있습니다.이 방법을 사용하면 키를 다시 생성하더라도 응용 프로그램이 필요할 때마다 키를 읽거나 메모리에 캐시할 수 있으며, 사용이 실패하면 Azure 키 Vault에서 키를 다시 가져올 수 있습니다.
Azure Key Vault를 사용하면 Azure Active Directory 키를 사용하여 액세스를 제어할 수 있습니다.다음 그림은 사용자의 서비스가 Azure Key Vault에 저장된 키를 읽고 읽은 키를 사용하여 저장에 접근하는 과정을 보여 줍니다.또한 이 상황에서 Azure Automation 1시간마다 키를 다시 생성하여 키 유출을 방지하는 메커니즘을 채택했다.

참고 자료: Say goodbye to key management – manage access to Azure Storage data using Azure AD