데이터에 액세스하기 위한 Azure 역할 할당
Microsoft Entra는 Azure RBAC(Azure 역할 기반 액세스 제어)를 통해 보안 리소스에 대한 액세스 권한을 권한 부여합니다. Azure Storage는 큐 데이터에 액세스하는 데 사용되는 일반 권한 집합을 포함하는 Azure 기본 제공 역할의 집합을 정의합니다.
Azure 역할이 Microsoft Entra 보안 주체에 할당되면 Azure는 해당 보안 주체에 해당 리소스에 대한 액세스 권한을 부여합니다. Microsoft Entra 보안 주체는 사용자, 그룹, 애플리케이션 서비스 주체 또는 Azure 리소스에 대한 관리 ID일 수 있습니다.
Microsoft Entra ID를 사용하여 큐 데이터에 대한 액세스 권한을 부여하는 방법에 대한 자세한 내용은 Microsoft Entra ID 사용하여 큐에 대한 액세스 권한 부여를 참조하세요.
참고 항목
이 문서에는 스토리지 계정의 큐 데이터에 액세스하기 위해 Azure 역할을 할당하는 방법이 나와 있습니다. Azure Storage에서 관리 작업의 역할을 할당하는 방법에 대한 자세한 내용은 Azure Storage 리소스 공급자를 사용하여 관리 리소스에 액세스를 참조하세요.
Azure 역할 할당
Azure Portal, PowerShell, Azure CLI 또는 Azure Resource Manager 템플릿을 사용하여 데이터 액세스 역할을 할당할 수 있습니다.
Microsoft Entra 자격 증명을 사용하여 Azure Portal의 큐 데이터에 액세스하려면 사용자에게 다음 역할 할당이 있어야 합니다.
- 데이터 액세스 역할(예: 스토리지 큐 데이터 참가자)
- Azure Resource Manager 읽기 권한자 역할
사용자에게 이러한 역할을 할당하는 방법을 알아보려면 Azure Portal을 사용하여 Azure 역할 할당에 제공된 지침을 따르세요.
읽기 권한자 역할은 사용자가 스토리지 계정 리소스를 볼 수 있지만 수정할 수는 없도록 허용하는 Azure Resource Manager 역할입니다. Azure Storage에서 데이터에 대한 읽기 권한은 제공하지 않고 계정 관리 리소스에 대해서만 제공합니다. 사용자가 Azure Portal의 큐 및 메시지로 이동할 수 있으려면 읽기 권한자 역할이 필요합니다.
예를 들어 샘플 큐라는 큐 수준에서 사용자 Mary에게 스토리지 큐 데이터 참가자 역할을 할당하면, Mary에게 해당 큐에 대한 읽기, 쓰기, 삭제 권한이 부여됩니다. 그러나 Mary가 Azure Portal에서 큐를 보려는 경우 스토리지 큐 데이터 참가자 역할 자체는 큐를 보기 위해 포털을 통해 큐로 이동할 수 있는 충분한 사용 권한을 제공하지 않습니다. 포털을 탐색하고 여기에 표시되는 다른 리소스를 보려면 추가 권한이 필요합니다.
Microsoft Entra 자격 증명으로 Azure Portal을 사용하려면 사용자에게 읽기 권한자 역할을 할당해야 합니다. 그러나 사용자에게 Microsoft.Storage/storageAccounts/listKeys/action 권한이 있는 역할이 할당된 경우 사용자는 공유 키 권한 부여를 통해 스토리지 계정 키와 함께 Portal을 사용할 수 있습니다. 스토리지 계정 키를 사용하려면 스토리지 계정에 공유 키 액세스가 허용되어야 합니다. 공유 키 액세스를 허용하거나 허용하지 않는 것에 대한 자세한 내용은 Azure Storage 계정에 대한 공유 키 권한 부여 방지를 참조하세요.
읽기 권한자 역할 이외의 추가 권한을 제공하는 Azure Resource Manager 역할을 할당할 수도 있습니다. 보안 모범 사례로 가능한 최소 사용 권한을 할당하는 것이 좋습니다. 자세한 내용은 Azure RBAC에 대한 모범 사례를 참조하세요.
참고 항목
Azure Portal에서 데이터 액세스를 위한 계정 키를 사용할 수도 있으므로 사용자가 데이터 액세스 역할을 자신에게 할당하기 전에 Azure Portal을 통해 스토리지 계정의 데이터에 액세스할 수 있습니다. 자세한 내용은 Azure Portal에서 큐 데이터에 대한 액세스 권한을 부여하는 방법 선택을 참조하세요.
Azure Storage의 Azure 역할 할당에 대한 다음 사항에 유의하세요.
- Azure Storage 계정을 만들 때 Microsoft Entra ID를 통해 데이터에 액세스할 수 있는 권한이 자동으로 할당되지 않습니다. Azure Storage에 Azure 역할을 자신에게 명시적으로 할당해야 합니다. 구독, 리소스 그룹, 스토리지 계정 또는 큐 수준으로 지정할 수 있습니다.
- 역할을 할당하거나 역할 할당을 제거하는 경우 변경 내용이 적용되는 데 최대 10분이 걸릴 수 있습니다.
- 데이터 작업이 있는 기본 제공 역할은 관리 그룹 범위에서 할당할 수 있습니다. 그러나 드문 시나리오에서는 데이터 작업 권한이 특정 리소스 종류에 적용되기까지 상당한 지연(최대 12시간)이 있을 수 있습니다. 권한은 결국 적용됩니다. 데이터 작업이 있는 기본 제공 역할의 경우 관리 그룹 범위에서 역할 할당을 추가하거나 제거하는 것은 Microsoft Entra PIM(Privileged Identity Management)과 같은 시기 적절한 권한 활성화 또는 해지가 필요한 시나리오에는 권장되지 않습니다.
- 스토리지 계정이 Azure Resource Manager 읽기 전용 잠금으로 잠긴 경우, 잠금으로 인해 스토리지 계정 또는 컨테이너로 범위가 지정된 Azure 역할을 할당할 수 없습니다.