Azure Managed Redis를 사용하여 캐시 인증에 Microsoft Entra 사용(미리 보기)
Azure Managed Redis(미리 보기)는 캐시 인스턴스에 인증하는 두 가지 방법인 액세스 키와 Microsoft Entra를 제공합니다.
액세스 키 인증은 간단하지만 보안 및 암호 관리에 대한 일련의 과제가 함께 제공됩니다. 이와 대조적으로 이 문서에서는 캐시 인증을 위해 Microsoft Entra 토큰을 사용하는 방법을 알아봅니다.
Azure Managed Redis는 Microsoft Entra와 통합하여 암호 없는 인증 메커니즘을 제공합니다. Azure Managed Redis와 연결하도록 구성된 Entra ID에는 액세스 키를 사용하는 것과 동일한 권한이 할당됩니다.
이 문서에서는 서비스 주체 또는 관리 ID를 사용하여 Redis 인스턴스에 연결하는 방법을 알아봅니다.
필수 구성 요소 및 제한 사항
- Microsoft Entra 인증은 SSL 연결에 대해서만 지원됩니다.
- 일부 Redis 명령은 차단됩니다. 차단된 명령의 전체 목록은 Azure Managed Redis에서 지원되지 않는 Redis 명령을 참조하세요.
Important
Microsoft Entra 토큰을 사용하여 연결을 설정한 후에는 클라이언트 애플리케이션은 Microsoft Entra 토큰이 만료되기 전에 정기적으로 새로 고쳐야 합니다. 그런 다음 앱은 연결이 중단되는 것을 방지하기 위해 AUTH 명령을 Redis 서버로 보내야 합니다. 자세한 내용은 Microsoft Entra를 사용하도록 Redis 클라이언트 구성을 참조하세요.
캐시에서 Microsoft Entra 인증 사용
Azure Portal에서 Microsoft Entra 토큰 기반 인증을 구성하려는 Azure Managed Redis 인스턴스를 선택합니다.
리소스 메뉴에서 인증을 선택합니다.
작업 창에서 Microsoft Entra 인증 사용 탭을 선택합니다.
Microsoft Entra 인증 사용을 선택하고 "사용자 또는 서비스 주체" 또는 "관리 ID" 단추를 선택합니다. 입력한 사용자에게 선택 시 선택 시 액세스 키를 사용할 때와 동일한 권한이 자동으로 할당됩니다. 관리 ID 또는 서비스 주체를 입력하여 AMR 인스턴스에 연결할 수도 있습니다.
Azure CLI에서 Microsoft Entra ID를 사용하는 방법에 관한 자세한 내용은 ID 참조 페이지를 확인하세요.
캐시에서 액세스 키 인증을 사용하지 않도록 설정합니다.
Microsoft Entra를 사용하는 것이 캐시를 연결하는 안전한 방법입니다. Microsoft Entra를 사용하고 액세스 키는 사용하지 않는 것이 좋습니다.
Redis 인스턴스에 대한 액세스 키 인증을 사용하지 않도록 설정하면 액세스 키를 사용하든 Microsoft Entra 인증을 사용하든 모든 기존 클라이언트 연결이 종료됩니다. Microsoft Entra 기반 연결이 있는 경우 다시 연결하기 위한 적절한 다시 시도 메커니즘을 구현하려면 권장되는 Redis 클라이언트 모범 사례를 따릅니다.
액세스 키를 사용하지 않도록 설정하기 전에:
Microsoft Entra 인증을 사용하도록 설정해야 합니다.
지역 복제 캐시의 경우 다음을 수행해야 합니다.
- 캐시 연결을 해제합니다.
- 액세스 키를 사용하지 않도록 설정합니다.
- 캐시를 다시 연결합니다.
액세스 키를 사용하는 캐시가 있고 액세스 키를 사용하지 않도록 설정하려는 경우 다음 절차를 따르세요.
Azure Portal에서 액세스 키를 사용하지 않도록 설정하려는 Azure Managed Redis 인스턴스를 선택합니다.
리소스 메뉴에서 인증을 선택합니다.
작업 창에서 액세스 키를 선택합니다.
선택키 인증을 사용하지 않도록 구성합니다.
예를 선택하여 구성을 업데이트할 것인지 확인합니다.
Important
캐시에 대한 액세스 키 인증 사용 안 함" 설정이 변경되면 액세스 키 또는 Microsoft Entra를 사용하는 기존 클라이언트 연결이 모두 종료됩니다. Microsoft Entra 기반 연결을 다시 연결하기 위한 적절한 다시 시도 메커니즘을 구현하려면 모범 사례를 따릅니다. 자세한 내용은 연결 복원력을 참조하세요.
Microsoft Entra를 사용하도록 Redis 클라이언트 구성
대부분의 Azure Managed Redis 클라이언트는 암호 및 액세스 키가 인증에 사용된다고 가정하므로 Microsoft Entra를 사용하여 인증을 지원하도록 클라이언트 워크플로를 업데이트해야 할 수 있습니다. 이 섹션에서는 Microsoft Entra 토큰을 사용하여 Azure Managed Redis에 연결하도록 클라이언트 애플리케이션을 구성하는 방법에 대해 알아봅니다.
Microsoft Entra 클라이언트 워크플로
MSAL(Microsoft 인증 라이브러리)을 사용하여
https://redis.azure.com/.default또는acca5fbb-b7e4-4009-81f1-37e38fd66d78/.default범위에 대한 Microsoft Entra 토큰을 획득하도록 클라이언트 애플리케이션을 구성합니다.다음
User및Password을(를) 사용하도록 Redis 연결 논리를 업데이트합니다.User= 관리 ID 또는 서비스 사용자의 개체 IDPassword= MSAL을 사용하여 획득한 Microsoft Entra 토큰
다음을 사용하여 Microsoft Entra 토큰이 만료되기 전에 클라이언트가 Redis AUTH 명령을 자동으로 실행하는지 확인합니다.
User= 관리 ID 또는 서비스 사용자의 개체 IDPassword= 주기적으로 새로 고쳐지는 Microsoft Entra 토큰
클라이언트 라이브러리 지원
라이브러리 Microsoft.Azure.StackExchangeRedis 는 Microsoft Entra를 사용하여 Redis 클라이언트 애플리케이션에서 Azure Managed Redis로의 연결을 인증할 수 있는 확장 StackExchange.Redis 입니다. 확장은 만료되기 전에 앞서 토큰을 새로 고치는 것을 포함하여 인증 토큰을 관리하여 며칠 동안 지속적으로 Redis 연결을 유지합니다.
이 코드 샘플 에서는 Microsoft Entra를 Microsoft.Azure.StackExchangeRedis 사용하여 NuGet 패키지를 사용하여 Azure Managed Redis 인스턴스에 연결하는 방법을 보여 줍니다.
다음 표에는 코드 샘플에 대한 링크가 포함되어 있습니다. Microsoft Entra 토큰을 사용하여 Azure Managed Redis 인스턴스에 연결하는 방법을 보여 줍니다. 다양한 클라이언트 라이브러리가 여러 언어로 포함되어 있습니다.
| 클라이언트 라이브러리 | 언어 | 샘플 코드에 연결 |
|---|---|---|
| StackExchange.Redis | .NET | StackExchange.Redis 코드 샘플 |
| redis-py | Python | redis-py 코드 샘플 |
| Jedis | Java | Jedis 코드 샘플 |
| Lettuce | Java | Lettuce 코드 샘플 |
| Redisson | Java | Redisson 코드 샘플 |
| ioredis | Node.js | ioredis 코드 샘플 |
| node_redis | Node.js | node-redis 코드 샘플 |
Microsoft Entra 인증 모범 사례
- 서비스 거부 공격으로부터 캐시를 보호하도록 프라이빗 링크 또는 방화벽 규칙을 구성합니다.
- 연결 중단을 방지하기 위해 클라이언트 애플리케이션에서 토큰 만료 최소 3분 전에 새 Microsoft Entra 토큰을 보내도록 합니다.
- Redis 서버
AUTH명령을 주기적으로 호출할 때 명령이 엇갈리도록 지터를 추가하는 것이AUTH좋습니다. 이렇게 하면 Redis 서버가 동시에 너무 많은AUTH명령을 수신하지 않게 됩니다.