다음을 통해 공유

Microsoft Entra ID를 사용하여 Azure 앱 구성에 액세스

  • 아티클

Azure 앱 Configuration은 Microsoft Entra ID를 사용하여 App Configuration 저장소에 대한 요청의 권한 부여를 지원합니다. Microsoft Entra ID를 사용하면 Azure RBAC(Azure 역할 기반 액세스 제어)를 활용하여 사용자 보안 주체, 관리 ID 또는 서비스 주체일 수 있는 권한을 보안 주체에 부여할 수 있습니다.

개요

Microsoft Entra ID를 사용하여 App Configuration 저장소에 액세스하려면 다음 두 단계를 수행합니다.

  1. 인증: 앱 구성에 대한 Microsoft Entra ID에서 보안 주체의 토큰을 획득합니다. 자세한 내용은 App Configuration에서 Microsoft Entra 인증을 참조하세요.

  2. 권한 부여: App Configuration 저장소에 요청의 일부로 토큰을 전달합니다. 지정된 App Configuration 저장소에 대한 액세스 권한을 부여하려면 보안 주체에 적절한 역할을 미리 할당해야 합니다. 자세한 내용은 App Configuration에서 Microsoft Entra 권한 부여를 참조하세요.

Azure App Configuration에 대한 Azure 기본 제공 역할

Azure는 Microsoft Entra ID를 사용하여 App Configuration에 대한 액세스 권한을 부여하기 위한 다음과 같은 기본 제공 역할을 제공합니다.

데이터 평면 액세스

데이터 평면 작업에 대한 요청은 App Configuration 저장소의 엔드포인트로 전송됩니다. 이러한 요청은 App Configuration 데이터와 관련이 있습니다.

  • 앱 구성 데이터 소유자: 이 역할을 사용하여 App Configuration 데이터에 대한 읽기, 쓰기 및 삭제 액세스 권한을 부여합니다. 이 역할은 App Configuration 리소스에 대한 액세스 권한을 부여하지 않습니다.
  • App Configuration Data 읽기 권한자: 이 역할을 사용하여 App Configuration 데이터에 대한 읽기 권한을 부여합니다. 이 역할은 App Configuration 리소스에 대한 액세스 권한을 부여하지 않습니다.

컨트롤 플레인 액세스

컨트롤 플레인 작업에 대한 모든 요청은 Azure Resource Manager URL로 전송됩니다. 이러한 요청은 App Configuration 리소스와 관련이 있습니다.

  • 앱 구성 기여자: 이 역할을 사용하여 App Configuration 리소스만 관리합니다. 이 역할은 다른 Azure 리소스를 관리하기 위한 액세스 권한을 부여하지 않습니다. 리소스의 액세스 키에 대한 액세스 권한을 부여합니다. 액세스 키를 사용하여 App Configuration 데이터에 액세스할 수 있지만 이 역할은 Microsoft Entra ID를 사용하여 데이터에 직접 액세스하는 것을 허용하지 않습니다. 삭제된 App Configuration 리소스를 복구할 수 있는 액세스 권한을 부여하지만 제거하지는 않습니다. 삭제된 App Configuration 리소스를 제거하려면 기여자 역할을 사용합니다.
  • 앱 구성 읽기 권한자: 이 역할을 사용하여 App Configuration 리소스만 읽습니다. 이 역할은 다른 Azure 리소스를 읽을 수 있는 액세스 권한을 부여하지 않습니다. 리소스의 액세스 키 또는 App Configuration에 저장된 데이터에 대한 액세스 권한을 부여하지 않습니다.
  • 참가자 또는 소유자: 이 역할을 사용하여 App Configuration 리소스를 관리하고 다른 Azure 리소스를 관리할 수도 있습니다. 이 역할은 권한 있는 관리자 역할입니다. 리소스의 액세스 키에 대한 액세스 권한을 부여합니다. 액세스 키를 사용하여 App Configuration 데이터에 액세스할 수 있지만 이 역할은 Microsoft Entra ID를 사용하여 데이터에 직접 액세스하는 것을 허용하지 않습니다.
  • 읽기 권한자: 이 역할을 사용하여 App Configuration 리소스를 읽는 동시에 다른 Azure 리소스도 읽을 수 있습니다. 이 역할은 리소스의 액세스 키와 App Configuration에 저장된 데이터에 대한 액세스 권한은 부여하지 않습니다.

참고 항목

ID에 역할이 할당되면 이 ID를 사용하여 App Configuration에 저장된 데이터에 액세스하기 전 권한이 전파되는 데 최대 15분이 걸릴 수 있습니다.

토큰 자격 증명으로 인증

애플리케이션이 Microsoft Entra ID로 인증할 수 있도록 Azure ID 라이브러리는 Microsoft Entra ID 인증을 위한 다양한 토큰 자격 증명을 지원합니다. 예를 들어 Visual Studio에서 애플리케이션을 개발할 때 Visual Studio 자격 증명, Kubernetes에서 애플리케이션이 실행되는 경우 워크로드 ID 자격 증명 또는 Azure Functions와 같은 Azure 서비스에 애플리케이션이 배포될 때 관리 ID 자격 증명을 선택할 수 있습니다.

DefaultAzureCredential 사용

가장 DefaultAzureCredential 일반적인 인증 방법의 순서가 지정된 시퀀스를 자동으로 시도하는 미리 구성된 토큰 자격 증명 체인입니다. 이 DefaultAzureCredential 기능을 사용하면 로컬 개발 및 Azure 환경 모두에서 동일한 코드를 유지할 수 있습니다. 그러나 각 환경에서 사용 중인 자격 증명을 알고 있어야 합니다. 권한 부여가 작동하려면 적절한 역할을 부여해야 합니다. 예를 들어 로컬 개발 중에 사용자 ID로 대체되는 것으로 예상되는 DefaultAzureCredential 경우 사용자 계정에 권한을 부여합니다. 마찬가지로, Azure Functions에서 관리 ID를 사용하도록 설정하고, 함수 앱이 Azure에서 실행되는 시점으로 대체되는 것으로 예상 DefaultAzureCredentialManagedIdentityCredential 때 필요한 역할을 할당합니다.

App Configuration 데이터 역할 할당

사용하는 자격 증명에 관계없이 App Configuration 저장소에 액세스하려면 먼저 적절한 역할을 할당해야 합니다. 애플리케이션이 App Configuration 저장소에서만 데이터를 읽어야 하는 경우 App Configuration 데이터 판독기 역할을 할당합니다. 애플리케이션도 App Configuration 저장소에 데이터를 작성해야 하는 경우 App Configuration 데이터 소유자 역할을 할당합니다.

자격 증명에 App Configuration Data 역할을 할당하려면 다음 단계를 수행합니다.

  1. Azure Portal에서 App Configuration 저장소로 이동하고 액세스 제어(IAM)를 선택합니다.

  2. 추가 ->역할 할당 추가를 선택합니다.

    역할을 할당할 수 있는 권한이 없으면 역할 할당 추가 옵션이 비활성화됩니다. 소유자 또는 사용자 액세스 관리자 역할이 있는 사용자만 역할 할당을 수행할 수 있습니다.

  3. 역할 탭에서 App Configuration 데이터 판독기 역할(또는 다른 앱 구성 역할 적절하게)을 선택한 다음, 다음을 선택합니다.

  4. 구성원 탭에서 마법사에 따라 액세스 권한을 부여할 자격 증명을 선택한 다음, 다음을 선택합니다.

  5. 마지막으로 검토 + 할당 탭에서 검토 + 할당을 선택하여 역할을 할당합니다.

다음 단계

관리 ID를 사용하여 App Configuration 저장소에 액세스하는 방법을 알아봅니다.