다음을 통해 공유

Azure Container Apps의 ID 관리 - 랜딩 존 가속기

  • 아티클

애플리케이션을 보호하기 위해 Microsoft Entra ID 또는 Microsoft Entra 외부 ID(미리 보기)와 같은 ID 공급자를 통해 인증 및 권한 부여를 사용하도록 설정할 수 있습니다.

서비스 주체 대신 관리 ID를 사용하여 컨테이너 앱의 다른 리소스에 연결하는 것이 좋습니다. 관리 ID는 자격 증명 관리의 필요성을 부정하므로 바람직합니다. 시스템 할당 또는 사용자 할당 관리 ID를 사용할 수 있습니다. 시스템 할당 관리 ID는 컨테이너 앱과 같이 연결된 Azure 리소스와 수명 주기를 공유하는 이점을 제공합니다. 반대로 사용자 할당 관리 ID는 여러 리소스에서 재사용할 수 있는 독립적인 Azure 리소스로, ID 관리에 대한 보다 효율적이고 중앙 집중화된 접근 방식을 촉진합니다.

권장 사항

  • 인증이 필요한 경우 Azure Entra ID 또는 Azure Entra ID B2C 를 ID 공급자로 사용합니다.

  • 애플리케이션 환경에 대해 별도의 앱 등록을 사용합니다. 예를 들어 개발 및 테스트 및 프로덕션에 대해 다른 등록을 만듭니다.

  • 시스템 할당 관리 ID를 사용하기 위한 강력한 요구 사항이 없는 한 사용자 할당 관리 ID를 사용합니다. 랜딩 존 가속기 구현은 다음과 같은 이유로 사용자 할당 관리 ID를 사용합니다.

    • 재사용성: ID가 할당된 Azure 리소스와 별도로 ID를 만들고 관리할 수 있으므로 여러 리소스에서 동일한 관리 ID를 다시 사용할 수 있으므로 ID 관리에 대한 보다 효율적이고 중앙 집중화된 접근 방식을 촉진할 수 있습니다.
    • ID 수명 주기 관리: 사용자 할당 관리 ID를 독립적으로 만들고, 삭제하고, 관리할 수 있으므로 이를 사용하는 Azure 리소스에 영향을 주지 않고 ID 관련 작업을 보다 쉽게 관리할 수 있습니다.
    • 사용 권한 부여: 사용자 할당 관리 ID를 사용하여 사용 권한을 더 유연하게 부여할 수 있습니다. 필요에 따라 특정 리소스 또는 서비스에 이러한 ID를 할당하여 다양한 리소스 및 서비스에 대한 액세스를 보다 쉽게 제어할 수 있습니다.

  • Azure 기본 제공 역할을 사용하여 리소스 및 사용자에게 최소 권한 권한을 할당합니다.

  • 프로덕션 환경에 대한 액세스가 제한되는지 확인합니다. 이상적으로는 프로덕션 환경에 대한 액세스 권한이 없습니다. 대신 자동화를 사용하여 배포를 처리하고 응급 액세스를 위한 Privileged Identity Management 를 사용합니다.

  • 별도의 Azure 구독에서 프로덕션 환경 및 비프로덕션 환경을 만들어 보안 경계를 설명합니다.