Azure Event Hubs에 대한 액세스 권한 부여
이벤트 허브에서 이벤트를 게시하거나 사용할 때마다 클라이언트가 Event Hubs 리소스에 액세스하려고 합니다. 안전한 리소스에 대한 모든 요청은 서비스에서 클라이언트가 데이터를 게시 또는 이용하는 데 필요한 권한을 가지고 있는지 확인할 수 있도록 권한을 부여해야 합니다.
Azure Event Hubs는 안전한 리소스에 대한 액세스 권한을 부여하는 다음과 같은 옵션을 제공합니다.
- Microsoft Entra ID
- 공유 액세스 서명
참고 항목
이 문서는 Event Hubs 및 Apache Kafka 시나리오에 모두 적용됩니다.
Microsoft Entra ID
Event Hubs 리소스와 Microsoft Entra 통합은 리소스에 대한 클라이언트의 액세스를 세밀하게 제어할 수 있는 Azure RBAC(역할 기반 액세스 제어)를 제공합니다. Azure RBAC를 사용하여 사용자, 그룹 또는 애플리케이션 서비스 주체일 수 있는 보안 주체에 권한을 부여할 수 있습니다. Microsoft Entra는 보안 주체를 인증하고 OAuth 2.0 토큰을 반환합니다. 토큰은 Event Hubs 리소스에 대한 액세스 요청에 권한을 부여하는 데 사용할 수 있습니다.
Microsoft Entra ID로 인증하는 방법에 대한 자세한 내용은 다음 문서를 참조하세요.
- Microsoft Entra ID를 사용하여 Azure Event Hubs에 대한 요청 인증
- Microsoft Entra ID를 사용하여 Event Hubs 리소스에 대한 액세스 권한을 부여합니다다.
공유 액세스 서명
Event Hubs 리소스에 대한 SAS(공유 액세스 서명)는 Event Hubs 리소스에 대해 위임된 액세스를 제한적으로 제공합니다. 서명이 유효한 시간 간격 또는 부여되는 권한에 제약 조건을 추가하면 리소스를 유연하게 관리할 수 있습니다. 자세한 내용은 SAS(공유 액세스 서명)를 사용하여 인증을 참조하세요.
Microsoft Entra ID에서 반환된 OAuth 2.0 토큰을 사용하는 사용자 또는 애플리케이션에 대한 권한 부여는 SAS(공유 액세스 서명)에 비해 보안이 우수하고 사용하기 간편합니다. Microsoft Entra ID를 사용하면 코드와 함께 액세스 토큰을 저장할 필요가 없으며 잠재적인 보안 취약성이 발생할 수 있습니다. SAS(공유 액세스 서명)를 계속 사용하여 Event Hubs 리소스에 대한 세분화된 액세스 권한을 부여할 수 있지만 Microsoft Entra ID는 SAS 토큰을 관리하거나 손상된 SAS 취소를 걱정할 필요 없이 유사한 기능을 제공합니다.
기본적으로 모든 Event Hubs 리소스는 보안을 유지하며 계정 소유자만 사용할 수 있습니다. 위에서 설명한 권한 부여 전략 중 하나를 사용하여 클라이언트에 Event Hub 리소스에 대한 액세스 권한을 부여할 수 있습니다. 최대 수준의 보안과 사용 편의성을 위해 가능한 경우 Microsoft Entra ID를 사용하는 것이 좋습니다.
SAS를 사용한 권한 부여에 대한 자세한 내용은 공유 액세스 서명을 사용하여 Event Hubs 리소스에 대한 액세스 권한 부여를 참조하세요.
다음 단계
- GitHub 리포지토리에 게시된 Azure RBAC 샘플을 검토합니다.
- 다음 문서를 참조하세요.