Azure의 클라우드 규모 분석에 대한 인증
인증은 사용자 또는 애플리케이션의 ID를 확인하는 프로세스입니다. 단일 원본 ID 공급자를 사용하여 ID 관리 및 인증을 처리하는 것이 좋습니다. 이 공급자는 디렉터리 서비스로 알려져 있습니다. 디렉터리 데이터를 저장하는 방법을 제공하고 네트워크 사용자 및 관리자가 이 데이터를 사용할 수 있도록 합니다.
모든 데이터 레이크 솔루션은 기존 디렉터리 서비스를 사용하고 통합해야 합니다. 대부분의 조직에서 모든 ID 관련 서비스에 대한 디렉터리 서비스는 Microsoft Entra ID입니다. 모든 서비스 및 사용자 계정에 대한 기본 및 중앙 집중식 데이터베이스입니다.
클라우드에서 Microsoft Entra ID는 중앙 집중식 ID 공급자이며 ID 관리를 위한 기본 설정 원본입니다. 사용자가 특정 위치에 있어야 하는 조건부 액세스 정책과 같은 기능을 사용하도록 인증 및 권한 부여를 Microsoft Entra ID에 위임합니다. Microsoft Entra ID는 다단계 인증도 지원하므로 액세스 보안 수준이 향상됩니다. 가능하면 Microsoft Entra ID를 통합하여 데이터 서비스를 구성해야 합니다.
데이터 서비스에서 Microsoft Entra ID를 지원하지 않는 경우 액세스 키 또는 토큰을 사용하여 인증을 수행해야 합니다. Azure Key Vault와 같은 키 관리 저장소에 액세스 키를 저장해야 합니다.
클라우드 규모 분석에 대한 인증 시나리오는 다음과 같습니다.
- 사용자 인증. 이 시나리오에서 Microsoft Entra ID는 자격 증명을 사용하여 사용자를 인증합니다.
- 서비스 간 인증. 이 시나리오에서 Azure 리소스는 Azure에서 자동으로 관리하는 관리 ID를 사용하여 서비스를 인증합니다.
- 애플리케이션-서비스 인증. 이 시나리오에서 애플리케이션은 서비스 주체를 사용하여 서비스를 인증합니다.
인증 시나리오
다음 섹션에서는 사용자 인증, 서비스-서비스 인증 및 애플리케이션-서비스 인증과 같은 각 인증 시나리오에 대해 설명합니다.
사용자 인증
데이터 서비스 또는 리소스에 연결하는 사용자는 자격 증명을 제공해야 합니다. 이 자격 증명은 사용자가 자신이 주장하는 사람임을 증명합니다. 그러면 해당 사용자가 서비스 또는 리소스에 액세스할 수 있습니다. 인증을 사용하면 서비스에서 사용자의 ID도 알 수 있습니다. 서비스에서 ID를 확인한 후 사용자가 보고 수행할 수 있는 작업을 결정합니다.
Azure Data Lake Storage, Azure SQL Database, Azure Synapse Analytics 및 Azure Databricks는 Microsoft Entra ID 통합을 지원합니다. 대화형 사용자 인증 모드를 사용하려면 사용자가 대화 상자에서 자격 증명을 제공해야 합니다.
Important
인증을 위해 애플리케이션에 사용자 자격 증명을 하드 코딩하지 마세요.
서비스 간 인증
서비스가 사용자 상호 작용 없이 다른 서비스에 액세스하는 경우 유효한 ID를 제공해야 합니다. 이 ID는 서비스의 신뢰성을 증명하고 액세스하는 서비스가 허용되는 작업을 결정할 수 있도록 합니다.
서비스 대 서비스 인증 시나리오에서는 관리 ID를 사용하여 Azure 서비스를 인증하는 것이 좋습니다. Azure 리소스에 대한 관리 ID는 명시적 자격 증명 없이 Microsoft Entra 인증을 지원하는 모든 서비스에 대한 인증을 허용합니다. 자세한 내용은 Azure 리소스에 대한 관리 ID란?을 참조하세요.
관리 ID는 Azure 리소스에서만 사용할 수 있는 서비스 주체입니다. 예를 들어 Azure Data Factory 인스턴스에 대한 관리 ID를 만들 수 있습니다. Microsoft Entra ID는 이 관리 ID를 Data Factory 인스턴스를 나타내는 개체로 등록합니다. 그런 다음 이 ID를 사용하여 코드의 자격 증명 없이 Data Lake Storage와 같은 모든 서비스에 인증할 수 있습니다. Azure는 서비스 인스턴스에서 사용하는 자격 증명을 관리합니다. ID는 Data Lake Storage의 폴더와 같은 Azure 서비스 리소스를 인증할 수 있습니다. Data Factory 인스턴스를 삭제하면 Azure는 Microsoft Entra ID에서 ID를 삭제합니다.
관리 ID를 사용할 경우의 이점
관리 ID를 사용하여 다른 Azure 서비스 또는 리소스에 Azure 서비스를 인증합니다. 관리 ID는 다음과 같은 이점을 제공합니다.
- 관리 ID는 이 ID가 만들어져 사용되는 서비스를 나타냅니다. 관리 ID는 대화형 사용자를 나타내지 않습니다.
- 관리 ID 자격 증명은 Microsoft Entra ID에 유지 관리되고 저장됩니다. 사용자가 유지할 암호가 없습니다.
- 관리 ID를 사용하는 경우 클라이언트 서비스는 암호를 사용하지 않습니다.
- 서비스 인스턴스가 삭제되면 시스템 할당 관리 ID가 삭제됩니다.
이러한 이점은 자격 증명이 더 잘 보호되고 보안 손상 가능성이 적다는 것을 의미합니다.
애플리케이션-서비스 인증
또 다른 액세스 시나리오는 모바일 또는 웹 애플리케이션과 같은 애플리케이션이 Azure 서비스에 액세스하는 경우입니다. 애플리케이션은 ID를 제공해야 하며, 이를 확인해야 합니다.
Azure 서비스 주체는 Azure 리소스에 인증하기 위해 관리 ID를 지원하지 않는 애플리케이션 및 서비스에 대한 대체 옵션입니다. 서비스 주체는 애플리케이션, 호스트된 서비스 및 자동화된 도구가 Azure 리소스에 액세스하기 위해 특별히 만들어진 ID입니다. 서비스 주체에 할당된 역할은 해당 액세스를 제어합니다. 보안상의 이유로, 사용자 ID로 로그인하는 것을 허용하는 대신 자동화된 도구 또는 애플리케이션에 서비스 주체 계정을 사용하는 것이 좋습니다. 자세한 내용은 Microsoft Entra ID의 애플리케이션 및 서비스 주체 개체를 참조하세요.
관리 ID와 서비스 주체 간의 차이점
| 서비스 주체 | 관리 ID |
|---|---|
| 특정 Azure 리소스에 액세스해야 하는 애플리케이션, 서비스 및 도구에 대해 Microsoft Entra ID에서 수동으로 만드는 보안 ID입니다. | 특수한 유형의 서비스 주체입니다. Azure 서비스를 만들 때 만들어지는 자동 ID입니다. |
| 모든 애플리케이션 또는 서비스에서 사용되며 특정 Azure 서비스에 연결되지 않습니다. | Azure 서비스 인스턴스 자체를 나타냅니다. 다른 Azure 서비스를 나타내는 데 사용할 수 없습니다. |
| 독립적인 수명 주기가 있습니다. 명시적으로 삭제해야 합니다. | Azure 서비스 인스턴스가 삭제되면 자동으로 삭제됩니다. |
| 암호 기반 또는 인증서 기반 인증입니다. | 인증을 위해 명시적 암호를 제공할 필요가 없습니다. |
참고 항목
관리 ID와 서비스 주체는 모두 Microsoft Entra ID에서만 만들어지고 유지 관리됩니다.
클라우드 규모 분석의 인증 모범 사례
클라우드 규모 분석에서 강력하고 안전한 인증 사례를 구현하는 것이 가장 중요합니다. 인증 모범 사례는 데이터베이스, 스토리지 및 분석 서비스를 비롯한 다양한 솔루션 계층에 적용됩니다. 조직은 Microsoft Entra ID를 사용하여 다단계 인증 및 조건부 액세스 정책과 같은 기능을 사용하여 보안을 향상시킬 수 있습니다.
| 층 | 서비스 | 추천 |
|---|---|---|
| 데이터베이스 | - SQL Database - SQL 관리 인스턴스 - Azure Synapse Analytics - Azure Database for MySQL - Azure Database for PostgreSQL |
Azure Database for PostgreSQL, Azure SQL및 Azure Database for MySQL 같은 데이터베이스로 인증하려면 Microsoft Entra ID를 사용합니다. |
| 보관 | Data Lake Storage | 공유 키 또는 공유 액세스 서명 대신 Data Lake Storage를 사용하여 사용자, 그룹 및 서비스 주체 또는 관리 ID와 같은 보안 주체에 대한 인증에 Microsoft Entra ID를 사용합니다. 이 방법은 다단계 인증 및 조건부 액세스 정책을 지원하므로 보안을 개선하는 데 도움이 됩니다. |
| 보관 | Azure Databricks의 Data Lake Storage | Unity 카탈로그을(를) 사용하여 직접 스토리지 수준 액세스 대신 스토리지 자격 증명을 만들고, 관리 ID 및 외부 위치를 사용하여 Data Lake Storage에 연결합니다. |
| 분석 | Azure Databricks | 도메인 간 ID 관리용 시스템을 사용하여 Microsoft Entra ID 사용자 및 그룹을동기화합니다. REST API를 사용하여 Azure Databricks 리소스에 액세스하려면 azure Databricks 서비스 주체 OAuth를. |
Important
Azure Databricks 사용자에게 Data Lake Storage에 대한 스토리지 수준 액세스를 직접 제공하면 액세스 제어 및 모니터링을 비롯한 Unity 카탈로그의 권한, 감사 및 보안 기능이 무시됩니다. 데이터를 더 안전하게 관리하고 관리하려면 Unity 카탈로그가 Azure Databricks 작업 영역 사용자를 위해 Data Lake Storage에 저장된 데이터에 대한 액세스를 관리해야 합니다.