다음을 통해 공유

ID 및 액세스 관리

  • 아티클

이 문서에서는 ID 및 액세스 관리에 대한 디자인 고려 사항 및 권장 사항을 검토합니다. Microsoft Azure에서 클라우드 규모 분석 플랫폼의 배포에 중점을 둡니다. 클라우드 규모 분석은 중요 업무용 요소이므로 Azure 랜딩 존 디자인 영역에 대한 지침도 디자인에 포함되어야 합니다.

이 문서는 Azure 랜딩 존에 대한 고려 사항 및 권장 사항을 기반으로 합니다. 자세한 내용은 계정 및 접근 관리을 참조하세요.

데이터 랜딩 존 디자인

클라우드 규모 분석은 Microsoft Entra ID를 사용하는 액세스 제어 모델을 지원합니다. 이 모델은 Azure RBAC(Azure 역할 기반 액세스 제어) 및 ACL(액세스 제어 목록)을 모두 사용합니다.

팀에서 수행하는 Azure 관리 및 관리 활동을 검토합니다. Azure에서 클라우드 규모의 분석을 고려해보세요. 조직 내에서 가능한 최상의 책임 분배를 결정합니다.

역할 할당

데이터 플랫폼 내에서 데이터 제품을 자율적으로 개발, 제공 및 제공하기 위해 데이터 애플리케이션 팀은 Azure 환경 내에서 액세스 권한이 거의 필요하지 않습니다. 각 RBAC 요구 사항을 논의하기 전에 다양한 액세스 모델을 개발 및 더 높은 환경에 사용해야 한다는 점을 강조하는 것이 중요합니다. 또한 역할 할당 수를 줄이고 RBAC 권한의 관리 및 검토 프로세스를 간소화하기 위해 가능한 한 보안 그룹을 사용해야 합니다. 이 단계는 구독따라 만들 수 있는 제한된 수의 역할 할당으로 인해 중요합니다.

개발 환경은 개발 팀과 해당 사용자 ID에 액세스할 수 있어야 합니다. 이 액세스를 통해 더 빠르게 반복하고, Azure 서비스 내의 특정 기능에 대해 알아보고, 문제를 효과적으로 해결할 수 있습니다. 개발 환경에 액세스하면 IaC(Infrastructure as Code) 및 기타 코드 아티팩트를 개발하거나 개선할 때 도움이 됩니다. 개발 환경 내의 구현이 예상대로 작동하면 더 높은 환경에 지속적으로 롤아웃할 수 있습니다. 테스트 및 운영과 같은 더 높은 환경은 데이터 애플리케이션 팀의 접근이 제한되도록 해야 합니다. 서비스 주체만 이러한 환경에 액세스할 수 있어야 하므로 CI/CD 파이프라인을 사용하여 서비스 주체 ID를 통해 모든 배포를 실행해야 합니다. 요약하자면, 개발 환경에서 액세스 권한은 서비스 주체 및 사용자 ID에 제공되어야 하며, 더 높은 환경에서는 서비스 주체 ID에만 액세스 권한을 제공해야 합니다.

데이터 애플리케이션 리소스 그룹 내의 리소스 간에 리소스 및 역할 할당을 만들려면 ContributorUser Access Administrator 권한이 제공되어야 합니다. 이러한 권한을 통해 팀은 Azure Policy경계 내에서 환경 내에서 서비스를 만들고 제어할 수 있습니다. 클라우드 규모 분석은 데이터 반출 위험을 극복하기 위해 프라이빗 엔드포인트를 사용하는 것이 좋습니다. 다른 연결 옵션은 정책을 통해 Azure 플랫폼 팀에 의해 차단되므로 데이터 애플리케이션 팀은 사용하려는 서비스에 필요한 네트워크 연결을 성공적으로 설정하기 위해 데이터 랜딩 존의 공유 가상 네트워크에 대한 액세스 권한이 필요합니다. 최소 권한 원칙을 따르고 서로 다른 데이터 애플리케이션 팀 간의 충돌을 극복하고 팀을 명확하게 분리하기 위해 클라우드 규모 분석은 데이터 애플리케이션 팀당 전용 서브넷을 만들고 해당 서브넷(자식 리소스 범위)에 Network Contributor 역할 할당을 만들 것을 제안합니다. 이 역할 할당을 통해 팀은 프라이빗 엔드포인트를 사용하여 서브넷에 조인할 수 있습니다.

이러한 두 가지 첫 번째 역할 할당을 통해 이러한 환경 내에서 데이터 서비스를 셀프 서비스 배포할 수 있습니다. 비용 관리 문제를 해결하기 위해 조직은 리소스 그룹에 비용 센터 태그를 추가하여 교차 청구 및 분산 비용 소유권을 사용하도록 설정해야 합니다. 이렇게 하면 팀 내에서 인지도를 높이고 필요한 SKU 및 서비스 계층과 관련하여 올바른 결정을 내릴 수 있습니다.

또한 데이터 랜딩 존 내에서 다른 공유 리소스의 셀프 서비스 사용을 사용하도록 설정하려면 몇 가지 추가 역할 할당이 필요합니다. Databricks 환경에 액세스해야 하는 경우 조직은 Microsoft Entra ID을 통해 SCIM Sync를 사용하여 액세스를 제공해야 합니다. 이 메커니즘은 Microsoft Entra ID에서 Databricks 데이터 평면으로 사용자 및 그룹을 자동으로 동기화하고 개인이 조직이나 비즈니스를 떠날 때 액세스 권한을 자동으로 제거하기 때문에 중요합니다. Azure Databricks 내에서 데이터 애플리케이션 팀은 작업 영역 내에서 워크로드를 실행할 수 있도록 미리 정의된 클러스터에 Can Restart 액세스 권한을 부여해야 합니다.

개별 팀은 Microsoft Purview 계정에 액세스하여 해당 데이터 랜딩 존 내에서 데이터 자산을 검색해야 합니다. 또한 대부분의 경우, 팀은 자신들이 소유하고 있는 카탈로그화된 데이터 자산을 편집할 수 있는 옵션이 필요합니다. 이를 통해 데이터 소유자 및 전문가의 연락처 정보와 같은 추가 세부 사항뿐만 아니라 데이터 세트의 열이 설명하는 내용과 포함된 정보에 대한 더 세부적인 정보를 제공할 수 있습니다.

역할 기반 액세스 제어 요구 사항 요약

데이터 랜딩 존을 배포하는 자동화를 위해 다음 역할이 필요합니다.

역할 이름

묘사

범위

프라이빗 DNS 영역 기여자

모든 데이터 서비스에 대한 모든 프라이빗 DNS 영역을 단일 구독 및 리소스 그룹에 배포합니다. 서비스 주체는 데이터 관리 랜딩 존 배포 중에 생성된 전역 DNS 리소스 그룹에서 Private DNS Zone Contributor 설정이 필요합니다. 이 역할은 프라이빗 엔드포인트에 대한 A-레코드를 배포하는 데 필요합니다.

(리소스 그룹 범위) /subscriptions/{{dataManagement}subscriptionId}/resourceGroups/{resourceGroupName}

네트워크 기여자

데이터 랜딩 존 네트워크와 데이터 관리 랜딩 존 네트워크 간에 가상 네트워크 피어링을 설정하려면 서비스 주체가 원격 가상 네트워크의 리소스 그룹에 Network Contributor 액세스 권한이 필요합니다.

(리소스 그룹 범위) /subscriptions/{{dataManagement}subscriptionId}/resourceGroups/{resourceGroupName}

사용자 액세스 관리자

이 권한은 integration-rg 리소스 그룹에 배포되는 자체 호스팅 통합 런타임을 다른 데이터 팩터리와 공유하는 데 필요합니다. 또한 해당 스토리지 계정 파일 시스템에서 Azure Data Factory 및 Azure Synapse Analytics 관리 ID 액세스를 할당해야 합니다.

(리소스 범위) /subscriptions/{{dataLandingZone}subscriptionId}

메모

프로덕션 시나리오에서 역할 할당 수를 줄일 수 있습니다. Network Contributor 역할 할당은 데이터 관리 랜딩 존과 데이터 랜딩 존 간에 가상 네트워크 피어링을 설정하는 데만 필요합니다. 이 고려 사항이 없으면 DNS 확인이 작동하지 않습니다. Azure Firewall에 대한 시야가 없으므로 인바운드 및 아웃바운드 트래픽이 삭제됩니다.

프라이빗 엔드포인트의 DNS A 레코드 배포가 deployIfNotExists 효과와 함께 Azure 정책을 통해 자동화되는 경우에도 Private DNS Zone Contributor 필요하지 않습니다. deployIfNotExists 정책을 사용하여 배포를 자동화할 수 있으므로 User Access Administrator 마찬가지입니다.

데이터 제품에 대한 역할 할당

데이터 랜딩 존 내에 데이터 제품을 배포하려면 다음 역할 할당이 필요합니다.

역할 이름

묘사

범위

프라이빗 DNS 영역 기여자

모든 데이터 서비스에 대한 모든 프라이빗 DNS 영역을 단일 구독 및 리소스 그룹에 배포합니다. 서비스 주체는 데이터 관리 랜딩 존 배포 중에 생성된 전역 DNS 리소스 그룹에서 Private DNS Zone Contributor 상태여야 합니다. 이 역할은 해당 프라이빗 엔드포인트에 대한 A-레코드를 배포하는 데 필요합니다.

(리소스 그룹 범위) /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}

기여자

모든 데이터 통합 스트리밍 서비스를 데이터 랜딩 존 구독 내의 단일 리소스 그룹에 배포합니다. 서비스 주체에는 해당 리소스 그룹에 대한 Contributor 역할 할당이 필요합니다.

(리소스 그룹 범위) /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}

네트워크 기여자

데이터 랜딩 존 배포 중에 만들어진 지정된 Private Link 서브넷에 프라이빗 엔드포인트를 배포하려면 서비스 주체가 해당 서브넷에 Network Contributor 액세스해야 합니다.

(자식 리소스 범위) /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName} /providers/Microsoft.Network/virtualNetworks/{virtualNetworkName}/subnets/{subnetName}"

다른 리소스에 대한 액세스

또한 Azure 외부에서 데이터 애플리케이션 팀은 리포지토리에 액세스하여 코드 아티팩트를 저장하고, 효과적으로 공동 작업하고, CI/CD를 통해 지속적으로 업데이트 및 변경 내용을 더 높은 환경으로 롤아웃해야 합니다. 또한 민첩한 개발, 스프린트 계획, 작업 추적 및 사용자 피드백 및 기능 요청을 허용할 수 있도록 프로젝트 보드를 제공해야 합니다.

마지막으로 CI/CD 자동화를 사용하려면 서비스 프린시플을 통해 대부분의 서비스에서 수행되는 Azure에 대한 연결을 설정해야 합니다. 따라서 팀은 프로젝트 내에서 자동화를 달성하기 위해 서비스 원칙에 액세스해야 합니다.

데이터에 대한 액세스 관리

데이터에 대한 액세스 관리는 Microsoft Entra 그룹을 사용하여 수행해야 합니다. Microsoft Entra 그룹에 사용자 원칙 이름 또는 서비스 주체 이름을 추가합니다. 서비스에 그룹을 추가하고 그룹에 권한을 부여합니다. 이 방법을 사용하면 세분화된 액세스 제어가 가능합니다.

데이터 관리 랜딩 존 및 데이터 자산을 관리하는 데이터 랜딩 존에 대한 보안을 구동하는 방법에 대한 자세한 내용은 Azure클라우드 규모 분석에 대한 인증을 참조하세요.

다음 단계