Azure Integration Services 랜딩 존 가속기 ID 및 액세스 관리 고려 사항
이 문서는 ID 및 액세스 관리를 위한 Azure 랜딩 존 디자인 영역 Azure 랜딩 존 문서에 제공된 지침을 기반으로 합니다. 다음 문서에 제공된 지침은 AIS(Azure Integration Services) 배포와 관련된 ID 및 액세스 관리와 관련된 디자인 고려 사항 및 권장 사항을 식별하는 데 도움이 됩니다. 중요 업무용 플랫폼을 지원하기 위해 AIS를 배포하는 경우 Azure 랜딩 존 디자인 영역에 대한 지침도 디자인에 포함되어야 합니다.
IAM(ID 및 액세스 관리) 개요
이 문서의 목적을 위해 IAM(ID 및 액세스 관리)은 Azure 내에서 리소스를 배포하거나 기본 데 사용할 수 있는 인증 및 권한 부여 옵션을 나타냅니다. 실제로 Azure Portal 또는 Resource Manager API를 통해 리소스를 만들고, 업데이트하고, 삭제하고, 관리할 수 있는 권한이 있는 ID를 식별하는 작업이 포함됩니다.
IAM은 서비스에 호출하고 액세스할 수 있는 ID를 정의하는 엔드포인트 보안과는 별개의 고려 사항입니다. 엔드포인트 보안은 이 시리즈의 별도 보안 문서에서 다룹니다. 즉, 두 디자인 영역이 겹치는 경우도 있습니다. Azure의 일부 서비스의 경우 엔드포인트에 대한 액세스는 리소스에 대한 액세스를 관리하는 데 사용되는 동일한 RBAC 컨트롤을 통해 구성됩니다.
디자인 고려 사항
업무 분리 및 운영 효율성을 고려하여 배포하는 리소스에 대한 Azure 리소스 관리 경계를 결정합니다.
팀에서 수행해야 하는 Azure 관리 및 관리 활동을 검토합니다. 배포할 AIS 리소스와 이를 사용하는 방법을 고려합니다. 조직 내에서 가능한 최상의 책임 분배를 결정합니다.
디자인 권장 사항
통합 서비스 리소스에 관리 ID 사용 - 이 권장 사항에 대한 자세한 설명은 이 시리즈의 보안 문서를 참조하세요.
통합 서비스 리소스에 대한 인증에 Microsoft Entra ID를 사용합니다.
조직 내 역할에 필요한 액세스 수준을 고려하고 역할별로 최소 권한 원칙을 적용합니다. 이러한 역할에는 플랫폼 소유자, 워크로드 소유자, devops 엔지니어 및 시스템 관리자가 포함될 수 있습니다.
최소 권한 원칙을 사용하여 AIS 애플리케이션을 관리하고 기본 역할을 고려해야 합니다. 이와 관련하여 질문할 질문:
Application Insights, Log Analytics 및 Storage 계정과 같은 원본의 로그 파일을 누가 확인해야 합니까?
누구든지 원래 요청 데이터(중요한 데이터 포함)를 확인해야 합니까?
원래 요청 데이터는 어디에서 볼 수 있나요(예: 회사 네트워크에서만)?
워크플로의 실행 기록을 볼 수 있는 사람은 누구인가요?
실패한 실행을 다시 제출할 수 있는 사람은 누구인가요?
API Management 구독 키에 대한 액세스 권한이 필요한 사람은 누구인가요?
Service Bus 토픽 또는 구독의 콘텐츠를 보거나 큐/토픽 메트릭을 볼 수 있는 사람은 누구인가요?
Key Vault를 관리할 수 있는 사람은 누구인가요?
Key Vault에서 키, 비밀 및 인증서를 추가, 편집 또는 삭제할 수 있는 사람은 누구인가요?
Key Vault에서 키, 비밀 또는 인증서를 보고 읽을 수 있는 사람은 누구인가요?
기존 기본 제공 Microsoft Entra 역할 및 그룹이 식별한 요구 사항을 충족합니까?
사용자 지정 역할을 만들어 액세스를 제한하거나 기본 제공 역할이 액세스를 충분히 잠그지 않을 때 사용 권한에 대해 더 세분성을 제공합니다. 예를 들어 논리 앱의 콜백 URL에 액세스하려면 단일 권한이 필요하지만 너무 광범위한 "기여자" 또는 "소유자" 이외의 액세스 유형에 대한 기본 제공 역할은 없습니다.
Azure Policy를 사용하여 특정 리소스에 대한 액세스를 제한하거나 회사 정책 준수를 적용하는 방법을 살펴봅니다. 예를 들어 암호화된 프로토콜을 사용하는 API Management API의 배포만 허용하는 정책을 만들 수 있습니다.
Azure에서 AIS의 관리 및 관리와 관련된 일반적인 활동을 검토하고 RBAC 권한을 적절하게 할당합니다. 사용 가능한 권한에 대한 자세한 내용은 리소스 공급자 작업을 참조 하세요.
일반적인 Azure 관리 작업의 몇 가지 예는 다음과 같습니다.
| Azure 리소스 | Azure 리소스 공급자 | 활동 |
|---|---|---|
| App Service 계획 | Microsoft.Web/serverfarms | 읽기, 조인, 다시 시작, VNet 커넥트 가져오기 |
| API 연결 | Microsoft.Web/connections | 업데이트, 확인 |
| Logic Apps 및 함수 | Microsoft.Web/sites | 읽기, 시작, 중지, 다시 시작, 교환, 구성 업데이트, 진단 읽기, VNet 커넥트 가져오기 |
| 통합 계정 | Microsoft.Logic/integrationAccounts | 어셈블리 읽기/추가/업데이트/삭제, 읽기/추가/업데이트/삭제 지도, 스키마 읽기/추가/업데이트/삭제, 규약 읽기/추가/업데이트/삭제, 파트너 읽기/추가/업데이트/삭제 |
| Service Bus | Microsoft.ServiceBus | 읽기, 커넥트ion 문자열 가져오기, DR 구성 업데이트, 큐 읽기, 항목 읽기, 구독 읽기 |
| 스토리지 계정 | Microsoft.Storage/storageAccounts | 읽기, 변경(예: 워크플로 실행 기록) |
| API Management | Microsoft.ApiManagement | 사용자 등록/삭제, API 읽기, 권한 부여 관리, 캐시 관리 |
| KeyVault | Microsoft.KeyVault/vaults | 자격 증명 모음 만들기, 액세스 정책 편집 |
다음 단계
중요한 디자인 영역을 검토하여 아키텍처에 대한 전체 고려 사항 및 권장 사항을 확인합니다.