Azure 역할 할당 조건을 사용하여 큐에 대한 액세스 권한 부여
ABAC(특성 기반 액세스 제어)는 보안 주체, 리소스, 환경 및 요청 자체와 같은 액세스 요청과 관련된 특성을 기반으로 액세스 수준을 정의하는 권한 부여 전략입니다. ABAC를 사용하면 Azure 역할 할당 조건을 기반으로 리소스에 대한 보안 주체 액세스 권한을 부여할 수 있습니다.
Important
Azure ABAC(Azure 특성 기반 액세스 제어)는 표준 및 프리미엄 스토리지 계정 성능 계층 모두에서 request
, resource
, environment
및 principal
특성을 사용하여 Azure Blob Storage, Azure Data Lake Storage Gen2 및 Azure 큐에 대한 액세스를 제어하기 위한 GA(일반 공급)입니다. 현재 컨테이너 메타데이터 리소스 특성과 Blob 나열 포함 요청 특성은 미리 보기에 있습니다. Azure Storage용 ABAC의 전체 기능 상태 정보는 Azure Storage의 조건 기능 상태를 참조하세요.
베타, 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.
Azure 스토리지 조건 개요
Microsoft Entra ID(Microsoft Entra ID)를 사용하면 Azure RBAC를 통해 Azure Storage 리소스에 대한 요청을 권한 부여할 수 있습니다. Azure RBAC는 역할 정의 및 역할 할당을 사용하여 리소스에 대한 액세스 권한이 있는 사용자와 이러한 리소스로 수행할 수 있는 작업을 정의하여 리소스에 대한 액세스를 관리하는 데 도움이 됩니다. Azure Storage는 Azure 스토리지 데이터에 액세스하는 데 사용되는 일반 권한 집합을 포함하는 Azure 기본 제공 역할 세트를 정의합니다. 선택 권한 집합을 사용하여 사용자 지정 역할을 정의할 수도 있습니다. Azure Storage는 스토리지 계정 및 Blob 컨테이너 또는 큐에 대한 역할 할당을 지원합니다.
Azure ABAC는 특정 작업의 컨텍스트에서 역할 할당 조건을 추가하여 Azure RBAC를 기반으로 합니다. 역할 할당 조건은 스토리지 리소스에 대한 작업이 권한 부여될 때 평가되는 추가 검사입니다. 이 조건은 다음 중 하나와 연관된 특성을 사용하여 술어로 표현됩니다.
- 권한 부여를 요청하는 보안 주체
- 액세스가 요청되는 리소스
- 요청 매개 변수
- 요청이 시작된 환경
역할 할당 조건을 사용하면 다음과 같은 이점이 있습니다.
- 리소스에 대한 세분화된 액세스 사용 - 예를 들어 사용자에게 특정 큐의 메시지 피킹에 대한 액세스 권한을 부여하려는 경우 피킹 메시지 DataAction 및 큐 이름 스토리지 특성을 사용할 수 있습니다.
- 만들고 관리해야 하는 역할 할당 수 줄이기 - 보안 그룹에 대한 일반화된 역할 할당을 사용한 다음, 일치하는 조건을 사용하여 그룹의 개별 멤버에 대한 액세스를 제한하면 됩니다. 액세스 중인 특정 리소스(예: 큐)의 특성이 있는 보안 주체의 특성입니다.
- 비즈니스 의미가 있는 특성 측면에서 액세스 제어 규칙 표현 - 예를 들어 프로젝트 이름, 비즈니스 애플리케이션, 조직 기능 또는 분류 수준을 나타내는 특성을 사용하여 약관을 표현할 수 있습니다.
조건 사용의 장단점은 조직 전체에서 특성을 사용할 때 체계적이고 일관된 분류 체계가 필요하다는 것입니다. 액세스가 손상되지 않도록 특성을 보호해야 합니다. 또한 조건을 신중하게 설계하고 효과를 검토해야 합니다.
지원되는 특성 및 작업
이러한 목표를 달성하기 위해 DataActions에 대한 역할 할당 조건을 구성할 수 있습니다. 사용자 지정 역할과 함께 조건을 사용하거나 기본 제공 역할을 선택할 수 있습니다. 스토리지 리소스 공급자를 통한 관리 작업에는 조건이 지원되지 않습니다.
기본 제공 역할 또는 사용자 지정 역할에 조건을 추가할 수 있습니다. 역할 할당 조건을 사용할 수 있는 기본 제공 역할은 다음과 같습니다.
역할에 조건을 지원하는 작업이 포함되어 있는 한 사용자 지정 역할과 함께 조건을 사용할 수 있습니다.
Azure 역할 할당 조건 형식을 사용하면 조건에서 @Principal
, @Resource
또는 @Request
특성을 사용할 수 있습니다. @Principal
특성은 사용자, 엔터프라이즈 애플리케이션(서비스 주체) 또는 관리 ID와 같은 주체에 대한 사용자 지정 보안 특성입니다. @Resource
특성은 스토리지 계정 또는 큐와 같이 액세스 중인 스토리지 리소스의 기존 특성을 나타냅니다. @Request
특성은 스토리지 작업 요청에 포함된 특성 또는 매개 변수를 나타냅니다.
Azure RBAC는 현재 구독에서 2,000개의 역할 할당을 지원합니다. 수천 개의 Azure 역할 할당을 만들어야 하는 경우 이 제한이 발생할 수 있습니다. 수백 또는 수천 개의 역할 할당을 관리하는 것은 어려울 수 있습니다. 경우에 따라 조건을 사용하여 스토리지 계정의 역할 할당 수를 줄이고 관리하기 쉽게 만들 수 있습니다. 보안 주체에 대한 조건과 Microsoft Entra 사용자 지정 보안 특성을 사용하여 역할 할당 관리의 크기를 조정할 수 있습니다.
다음 단계
- Azure 역할 할당 조건의 필수 조건
- Azure Storage에서 Azure 역할 할당 조건에 대한 작업 및 특성
- Azure 역할 할당 조건 예
- Azure 역할 할당 조건 문제 해결