권한 있는 ID 관리의 기능 설명

  • 5분

PIM(Privileged Identity Management)은 조직의 중요한 리소스에 대한 액세스를 관리, 제어 및 모니터링하도록 지원하는 Microsoft Entra ID의 서비스입니다. 여기에는 Microsoft Entra와 Azure의 리소스는 물론 Microsoft 365 또는 Microsoft Intune과 같은 기타 Microsoft Online Services의 리소스가 포함됩니다. PIM은 과도하거나 불필요하거나 오용된 액세스 권한의 위험을 완화합니다. 사용자가 권한을 원하는 이유를 이해하고 모든 역할을 활성화하는 다단계 인증을 적용하는 이유를 파악해야 합니다.

PIM은 다음과 같습니다.

  • JIT(Just-in-time)로서, 필요할 때만 권한이 부여된 액세스를 제공하고 그 이전에는 제공하지 않습니다.
  • 시간 제한.사용자가 리소스에 액세스할 수 있는 시간을 나타내는 시작 및 종료 날짜를 할당하여 지정합니다.
  • 승인 기반. 권한을 활성화하려면 특정 승인이 필요합니다.
  • 표시 가능. 권한 있는 역할이 활성화되면 알림을 보냅니다.
  • 감사 가능.모든 액세스 기록을 다운로드할 수 있습니다.

PIM을 사용하는 이유는 무엇인가요?

PIM은 보안 정보 또는 리소스에 대한 액세스 권한이 있는 사용자 수를 최소화하여 악의적인 작업자가 액세스 권한을 얻을 수 있는 가능성을 줄입니다. 권한 있는 사용자의 시간을 제한하여 권한 있는 사용자가 실수로 중요한 리소스에 영향을 주는 위험을 줄일 수 있습니다. PIM에서는 사용자가 관리자 권한으로 수행하는 작업도 감독합니다.

PIM으로 무엇을 할 수 있나요?

현재 다음에서 PIM을 사용할 수 있습니다.

  • Microsoft Entra 역할 – 디렉터리 역할이라고도 하는 Microsoft Entra 역할에는 Microsoft Entra ID 및 기타 Microsoft 365 온라인 서비스를 관리하기 위한 기본 제공 역할과 사용자 지정 역할이 포함됩니다.

  • Azure 역할 – 관리 그룹, 구독, 리소스 그룹 및 리소스에 대한 액세스 권한을 부여하는 Azure의 RBAC(역할 기반 액세스 제어) 역할입니다.

  • 그룹용 PIM – Just-In-Time 그룹 멤버 자격과 Just-In-Time 그룹 소유권을 제공합니다. Microsoft Entra의 그룹용 PIM는 Microsoft Entra 역할과 Azure 역할뿐만 아니라 Azure SQL, Azure Key Vault, Intune 및 기타 애플리케이션의 역할과 타사 애플리케이션을 포함하는 다양한 시나리오에 대한 액세스를 관리하는 데 사용할 수 있습니다.

일반 워크플로

PIM을 배포하는 데는 일반적으로 기본 워크플로의 일부인 몇 가지 단계가 있습니다. 이러한 단계는 할당, 활성화, 승인/거부 및 연장/갱신입니다.

  • 할당 - 할당 프로세스는 멤버에게 역할을 할당하는 것으로 시작됩니다. 리소스에 대한 액세스 권한을 부여하기 위해 관리자는 사용자, 그룹, 서비스 주체 또는 관리 ID에 역할을 할당합니다. 할당에는 다음 데이터가 포함됩니다.

    • 멤버 또는 소유자 - 역할에 할당할 멤버 또는 소유자입니다.
    • 범위 - 범위는 할당된 역할을 특정 리소스 집합으로 제한합니다.
    • 할당 유형 - 두 가지 옵션이 있습니다. 적격 할당에는 역할을 사용하는 작업을 수행하기 위해 역할의 구성원이 필요합니다. 작업에는 활성화 또는 지정된 승인자의 승인 요청하기가 포함될 수 있습니다. 활성 할당에는 역할을 사용하는 작업을 수행하기 위해 멤버가 필요하지 않습니다. 활성으로 할당된 멤버는 역할에 할당된 권한을 갖습니다.
    • 기간 - 할당 기간은 시작 및 종료 날짜로 정의하거나 영구적으로 설정합니다.

    할당 단계를 보여주는 화면 캡처.

  • 활성화 - 사용자가 역할에 적격한 경우 역할을 사용하기 전에 역할 할당을 활성화해야 합니다. 역할을 활성화하기 위해 사용자는 최대(관리자가 구성함) 내에서 특정 활성화 기간 및 활성화 요청 이유를 선택합니다.

    활성화 단계를 보여주는 화면 캡처.

  • 승인/거부 - 요청 승인이 보류 중일 때는 위임된 승인자가 전자 메일 알림을 받게 됩니다. 승인자는 PIM에서 이렇게 보류 중인 요청을 보거나 승인하거나 거부할 수 있습니다. 요청이 승인된 후 멤버는 역할 사용을 시작할 수 있습니다.

    승인 또는 거부 단계를 보여주는 화면 캡처.

  • 연장/갱신 – 역할 할당이 만료될 시기가 다가오면 사용자는 PIM을 사용하여 역할 할당 연장을 요청할 수 있습니다. 역할 할당이 이미 만료된 경우 사용자는 PIM을 통해 역할 할당 갱신을 요청할 수 있습니다.

    할당 연장 옵션을 보여주는 화면 캡처.

감사

PIM(Privileged Identity Management) 감사 기록을 사용하여 모든 권한 있는 역할에 대해 지난 30일 동안 수행된 모든 사용자 할당과 활성화를 볼 수 있습니다.

PIM 감사 기록을 보여주는 화면 캡처.