고객 관리형 키가 구성된 Azure Cosmos DB 계정에 대한 해지 시나리오 문제 해결
적용 대상: 
NoSQL MongoDB Cassandra Gremlin 테이블
Azure Cosmos DB 계정에 저장된 데이터는 고객이 두 번째 암호화 계층으로 관리하는 키를 사용하여 자동으로 원활하게 암호화됩니다. Azure Cosmos DB 계정이 Azure Cosmos DB 계정 설정(KeyVaultKeyUri 참조)에 따라 Azure Key Vault 키에 더 이상 액세스할 수 없으면 계정이 해지 상태가 됩니다. 이 상태에서 허용되는 작업은 현재 할당된 기본 ID 또는 계정 삭제를 새로 고치는 계정 업데이트뿐입니다. 문서 읽기 또는 쓰기와 같은 데이터 평면 작업은 제한됩니다.
이 문제 해결 가이드에서는 가장 일반적인 오류가 발생할 경우 고객 관리형 키로 액세스를 복원하는 방법을 보여줍니다. 제한된 작업이 수행될 때마다 수신되는 오류 메시지를 확인하거나 Azure Cosmos DB 계정에서 customerManagedKeyStatus 속성을 읽어 확인합니다.
기본 ID는 Azure Key Vault 키에 액세스할 수 없습니다.
오류 원인
Azure Cosmos DB 계정과 연결된 기본 ID가 더 이상 Key Vault에 대한 가져오기, 래핑 또는 래핑 해제 호출을 수행할 권한이 없거나 키가 사용하지 않도록 설정되거나 만료된 경우 오류가 표시됩니다.
문제 해결
키가 사용하지 않도록 설정되거나 만료되지 않았는지 확인하세요. 반대로 액세스 정책을 사용하는 경우 Key Vault에 대한 가져오기, 래핑 및 래핑 해제 권한이 해당 Azure Cosmos DB 계정의 기본 ID로 ID 집합에 할당되었는지 확인합니다.
RBAC를 사용하는 경우 기본 ID에 대한 "Key Vault 암호화 서비스 암호화 사용자" 역할이 할당되었는지 확인합니다.
또 다른 옵션은 예상되는 권한으로 새 ID를 만들고 Azure Cosmos DB 계정 업데이트 작업을 통해 새 기본 ID로 설정하는 것입니다.
권한을 할당한 후 계정의 해지 상태가 중지될 때까지 최대 1시간 기다리세요. 문제가 2시간 넘게 해결되지 않으면 고객 서비스에 문의하세요.
Microsoft Entra 토큰 획득 오류
오류 원인
Azure Cosmos DB가 기본 ID Microsoft Entra 액세스 토큰을 가져올 수 없는 경우 이 오류가 표시됩니다. 이 토큰은 데이터 암호화 키를 래핑 및 래핑 해제하기 위해 Azure Key Vault와 통신하는 데 사용됩니다.
문제 해결
Azure Cosmos DB 계정에 할당된 현재 기본 ID가 Azure Key Vault에 액세스하는 데 필요한 해당 권한이 모든 있는 기존 Azure 리소스의 ID인지 확인합니다.
예를 들어 문제 해결 솔루션은 예상되는 권한으로 새 ID를 만들고 Azure Cosmos DB 계정 업데이트 작업을 통해 새 기본 ID로 설정하는 것입니다.
계정의 기본 ID를 업데이트한 후 계정의 해지 상태가 중지될 때까지 최대 1시간 기다려야 합니다. 문제가 2시간 넘게 해결되지 않으면 고객 서비스에 문의하세요.
Azure Key Vault 리소스를 찾을 수 없음
오류 원인
Azure Key Vault 또는 지정된 키를 찾을 수 없는 경우 이 오류가 표시됩니다.
문제 해결
Azure Key Vault 또는 지정된 키가 있는지 확인하고 실수로 삭제된 경우 복원한 다음 1시간 동안 기다립니다. 문제가 2시간 넘게 해결되지 않으면 고객 서비스에 문의하세요.
Azure 키 사용 안 함 또는 만료됨
오류 원인
Azure Key Vault 키가 만료되거나 삭제되면 이 오류가 표시됩니다.
문제 해결
키를 사용하지 않도록 설정한 경우 사용하도록 설정하세요. 만료된 경우 만료를 취소하고 계정이 해지되지 않으면 Azure Cosmos DB에서 키가 온라인 상태가 되면 키 버전을 업데이트하므로 더 이상 키를 자유롭게 회전할 수 있습니다.
잘못된 Azure Cosmos DB 기본 ID
오류 원인
Azure Cosmos DB 계정은 다음 ID 유형이 기본 ID로 설정되지 않은 경우 해지 상태로 전환됩니다.
- FirstPartyIdentity
- SystemAssignedIdentity
- UserAssignedIdentity
- DelegatedSystemAssignedIdentity
- DelegatedUserAssignedIdentity
문제 해결
기본 ID가 유효한 Azure 리소스의 ID이고 Azure Key Vault에 액세스하는 데 필요한 예상되는 권한이 모두 있는지 확인합니다. 권한이 할당된 후 계정의 해지 상태가 중지될 때까지 최대 1시간 기다리세요. 문제가 2시간 넘게 해결되지 않으면 고객 서비스에 문의하세요.
Key Vault URI 속성에서 잘못된 구문이 검색됨
오류 원인
내부 유효성 검사에서 Azure Cosmos DB 계정의 Key Vault URI 속성이 예상과 다르다는 것을 감지하면 이 오류가 표시됩니다.
문제 해결
계정의 KeyVaultkeyUri 속성을 유효한 Key Vault 키 URI로 업데이트해야 합니다. 유효한 Azure Key Vault 키 Uri의 예는 "https://ContosoKeyVault.vault.azure.net/keys"입니다. 키 버전을 포함할 필요가 없다는 것을 알아 두어야 합니다.
KeyVaultKeyUri 속성이 업데이트된 후 계정의 해지 상태가 중지될 때까지 최대 1시간 기다리세요. 문제가 2시간 넘게 해결되지 않으면 고객 서비스에 문의하세요.
내부 래핑 해제 프로시저 오류
오류 원인
Azure Cosmos DB 서비스가 키를 제대로 래핑 해제할 수 없는 경우 오류 메시지가 표시됩니다.
문제 해결
Key Vault 또는 고객 관리형 키가 최근에 삭제된 경우 리소스를 복원하고 1시간 동안 기다립니다. 문제가 2시간 넘게 해결되지 않으면 고객 서비스에 문의하세요.
Key Vault의 DNS를 확인할 수 없음
오류 원인
Key Vault DNS 이름을 확인할 수 없는 경우 이 오류 메시지가 표시됩니다. 이 오류는 Azure Key Vault 서비스 내에 Cosmos DB가 키에 액세스하지 못하도록 차단하는 주요 문제가 있음을 나타낼 수 있습니다.
문제 해결
Key Vault가 최근에 삭제된 경우 복원해야 합니다. 그렇지 않은 경우 계정을 다시 사용할 수 있을 때까지 2시간 이상 기다리세요. 이러한 솔루션 중 어느 것으로도 계정 차단이 해제되지 않으면 고객 서비스에 문의하세요.