다음을 통해 공유


Azure AI 검색에서 역할 기반 액세스 제어 사용 또는 사용 안 함

Azure AI Search는 기본적으로 키 기반 인증을 사용하지만 Azure RBAC(역할 기반 액세스 제어)를 통해 모든 컨트롤 플레인 및 데이터 평면 작업에 대한 Microsoft Entra ID 인증 및 권한 부여를 완벽하게 지원합니다.

Azure AI Search에 대한 권한 있는 데이터 평면 액세스에 대한 역할을 할당하려면 먼저 검색 서비스에서 역할 기반 액세스 제어를 사용하도록 설정해야 합니다. 서비스 관리(컨트롤 플레인)에 대한 역할이 기본 제공되며 사용하거나 사용하지 않도록 설정할 수 없습니다.

참고 항목

데이터 평면은 인덱싱 또는 쿼리와 같은 검색 서비스 엔드포인트에 대한 작업 또는 Search Service REST API 또는 동등한 Azure SDK 클라이언트 라이브러리에 지정된 다른 작업을 나타냅니다. 컨트롤 플레 인은 검색 서비스 만들기 또는 구성과 같은 Azure 리소스 관리를 나타냅니다.

필수 조건

  • 무료를 포함하여 모든 계층의 모든 지역의 검색 서비스입니다.

  • 소유자, 사용자 액세스 관리자 또는 Microsoft.Authorization/roleAssignments/write 권한이 있는 사용자 지정 역할입니다.

데이터 평면 작업에 대한 역할 기반 액세스 사용

OAuth2 액세스 토큰을 제공하는 데이터 요청에서 권한 부여 헤더를 인식하도록 검색 서비스를 구성합니다.

데이터 평면에 역할을 사용하도록 설정하면 변경 내용이 즉시 적용되지만 역할을 할당하기 전에 몇 초 정도 기다립니다.

권한이 없는 요청에 대한 기본 오류 모드는 http401WithBearerChallenge입니다. 또는 실패 모드를 http403(으)로 설정할 수 있습니다.

  1. Azure Portal에 로그인하고 Search Service 페이지를 엽니다.

  2. 설정을 선택한 다음 왼쪽 탐색 창에서 를 선택합니다.

    인증 옵션이 있는 키 페이지의 스크린샷.

  3. 현재 키를 사용하고 있고 클라이언트를 역할 기반 액세스 제어로 전환하는 데 시간이 필요한 경우 역할 기반 컨트롤 또는 둘 다를 선택합니다.

    옵션 설명
    API 키 않습니다(기본값). 권한 부여를 위해 요청 헤더에 API 키가 필요합니다.
    역할 기반 액세스 제어 작업을 완료하려면 역할 할당의 멤버 자격이 필요합니다. 요청의 인증 헤더도 필요합니다.
    모두 요청은 API 키 또는 역할 기반 액세스 제어를 사용하면 유효하지만 동일한 요청에 둘 다 제공하는 경우 API 키가 사용됩니다.
  4. 관리자로서 역할 전용 접근 방식을 선택하는 경우 사용자 계정에 데이터 평면 역할을 할당하여 Azure Portal에서 데이터 평면 작업에 대한 전체 관리 액세스를 복원합니다. 역할에는 Search Service 기여자, 검색 인덱스 데이터 기여자 및 검색 인덱스 데이터 읽기 권한자 등이 있습니다. 동등한 액세스 권한을 원하는 경우 처음 두 역할이 필요합니다.

    간혹 역할 할당이 적용되는 데 5~10분이 걸릴 수 있습니다. 이 경우 데이터 평면 작업에 사용되는 Azure Portal 페이지에 다음 메시지가 표시됩니다.

    권한이 부족함을 나타내는 포털 메시지의 스크린샷입니다.

역할 기반 액세스 제어 사용 안 함

데이터 평면 작업에 대한 역할 기반 액세스 제어를 사용하지 않도록 설정하고 대신 키 기반 인증을 사용할 수 있습니다. 예를 들어 권한 문제를 배제하기 위해 테스트 워크플로의 일부로 이 작업을 수행할 수 있습니다.

역할 기반 액세스를 사용하도록 설정하려면 이전에 수행한 단계를 역방향으로 수행합니다.

  1. Azure Portal에 로그인하고 검색 서비스 페이지를 엽니다.

  2. 설정을 선택한 다음 왼쪽 탐색 창에서 를 선택합니다.

  3. API 키를 선택합니다.

API 키 인증 사용 안 함

기본 제공 역할 및 Microsoft Entra 인증만 사용하는 경우 키 액세스 또는 로컬 인증을 서비스에서 사용하지 않도록 설정할 수 있습니다. API 키를 사용하지 않도록 설정하면 검색 서비스가 헤더에서 API 키를 전달하는 모든 데이터 관련 요청을 거부합니다.

관리자 API 키는 사용하지 않도록 설정할 수 있지만 삭제할 수는 없습니다. 쿼리 API 키는 삭제할 수 있습니다.

보안 기능을 사용하지 않도록 설정하려면 소유자 또는 기여자 권한이 필요합니다.

  1. Azure Portal에서 검색 서비스로 이동합니다.

  2. 왼쪽 탐색 창에서 를 선택합니다.

  3. 역할 기반 액세스 제어를 선택합니다.

변경 내용은 즉시 적용되지만 테스트하기 전에 몇 초 정도 기다립니다. 소유자, 서비스 관리자 또는 공동 관리자의 구성원으로 역할을 할당할 수 있는 권한이 있다고 가정하면 포털 기능을 사용하여 역할 기반 액세스를 테스트할 수 있습니다.

역할 기반 액세스 제어의 효과

  • Azure 역할 기반 액세스 제어를 사용하면 일부 요청의 대기 시간이 증가할 수 있습니다. 서비스 리소스(인덱스, 인덱서, 기술 세트 등)와 서비스 주체의 각 고유한 조합은 권한 부여 검사를 트리거합니다. 이러한 권한 부여 검사는 요청마다 최대 200밀리초의 대기 시간을 추가할 수 있습니다.

  • 요청이 다양한 서비스 주체에서 발생하는 드문 경우이며, 모든 다른 서비스 리소스(인덱스, 인덱서 등)를 대상으로 하므로 권한 부여 검사로 인해 제한이 발생할 수 있습니다. 제한은 검색 서비스 리소스와 서비스 주체의 고유한 조합이 1초 이내에 사용된 경우에만 발생합니다.

다음 단계