Azure Storage에 대한 요청 권한 부여
Blob, 파일, 큐 또는 테이블 서비스의 보안 리소스에 대해 수행된 모든 요청에는 권한이 부여되어야 합니다. 권한 부여는 스토리지 계정의 리소스에 대해 원하는 경우에만, 액세스 권한이 부여된 사용자나 애플리케이션에서만 액세스할 수 있도록 합니다.
중요
최적의 보안을 위해 Microsoft는 가능한 한 관리 ID와 함께 Microsoft Entra ID 사용하여 Blob, 큐 및 테이블 데이터에 대한 요청에 권한을 부여하는 것이 좋습니다. Microsoft Entra ID 및 관리 ID를 사용한 권한 부여는 공유 키 권한 부여를 통해 뛰어난 보안 및 사용 편의성을 제공합니다. 자세한 내용은 Microsoft Entra ID 권한 부여를 참조하세요. 관리 ID에 대한 자세한 내용은 Azure 리소스에 대한 관리 ID란?을 참조하세요.
온-프레미스 애플리케이션과 같이 Azure 외부에서 호스트되는 리소스의 경우 Azure Arc를 통해 관리 ID를 사용할 수 있습니다. 예를 들어 Azure Arc 지원 서버에서 실행되는 앱은 관리 ID를 사용하여 Azure 서비스에 연결할 수 있습니다. 자세한 내용은 Azure Arc 지원 서버를 사용하여 Azure 리소스에 대해 인증을 참조하세요.
SAS(공유 액세스 서명)를 사용하는 시나리오의 경우 사용자 위임 SAS를 사용하는 것이 좋습니다. 사용자 위임 SAS는 계정 키 대신 Microsoft Entra 자격 증명으로 보호됩니다. 공유 액세스 서명에 대한 자세한 내용은 사용자 위임 SAS Create 참조하세요.
다음 표에서는 리소스에 대한 액세스 권한을 부여하기 위해 Azure Storage에서 제공하는 옵션을 설명합니다.
Azure 아티팩트 | 공유 키(스토리지 계정 키) | 공유 액세스 서명(SAS) | Microsoft Entra ID | 온-프레미스 Active Directory Domain Services | 익명 공용 읽기 액세스 |
---|---|---|---|---|---|
Azure Blob | 지원됨 | 지원됨 | 지원됨 | 지원되지 않음 | 지원됨 |
Azure Files(SMB) | 지원됨 | 지원되지 않음 | Microsoft Entra Domain Services 또는 Microsoft Entra Kerberos에서 지원됨 | 지원되는 자격 증명은 Microsoft Entra ID 동기화해야 합니다. | 지원되지 않음 |
Azure Files(REST) | 지원됨 | 지원됨 | 지원됨 | 지원되지 않음 | 지원되지 않음 |
Azure 큐 | 지원됨 | 지원됨 | 지원됨 | 지원되지 않음 | 지원되지 않음 |
Azure Tables | 지원됨 | 지원됨 | 지원됨 | 지원되지 않음 | 지원되지 않음 |
각 권한 부여 옵션은 아래에 간략하게 설명되어 있습니다.
Microsoft Entra ID:Microsoft Entra Microsoft의 클라우드 기반 ID 및 액세스 관리 서비스입니다. Microsoft Entra ID 통합은 Blob, 파일, 큐 및 Table 서비스에 사용할 수 있습니다. Microsoft Entra ID 사용하면 RBAC(역할 기반 액세스 제어)를 통해 사용자, 그룹 또는 애플리케이션에 세분화된 액세스를 할당할 수 있습니다. Azure Storage와의 Microsoft Entra ID 통합에 대한 자세한 내용은 Microsoft Entra ID 권한 부여를 참조하세요.
Azure Files 대한 권한 부여를 Microsoft Entra Domain Services. Azure Files Microsoft Entra Domain Services 통해 SMB(서버 메시지 블록)를 통한 ID 기반 권한 부여를 지원합니다. 스토리지 계정에서 Azure Files 리소스에 대한 클라이언트의 액세스를 세밀하게 제어하기 위해 RBAC를 사용할 수 있습니다. 도메인 서비스를 사용하는 Azure Files 인증에 대한 자세한 내용은 id 기반 권한 부여 Azure Files 참조하세요.
Azure Files 대한 AD(Active Directory) 권한 부여 Azure Files AD를 통해 SMB를 통한 ID 기반 권한 부여를 지원합니다. AD 도메인 서비스는 온-프레미스 컴퓨터 또는 Azure VM에서 호스팅할 수 있습니다. 파일에 대한 SMB 액세스는 온-프레미스 또는 Azure에서 도메인에 가입된 컴퓨터의 AD 자격 증명을 사용하여 지원됩니다. 공유 수준 액세스 제어에 RBAC를 사용하고 디렉터리 및 파일 수준 권한 적용에 NTFS DACL을 사용할 수 있습니다. 도메인 서비스를 사용하는 Azure Files 인증에 대한 자세한 내용은 id 기반 권한 부여 Azure Files 참조하세요.
공유 키: 공유 키 권한 부여는 계정 액세스 키 및 기타 매개 변수를 사용하여 권한 부여 헤더의 요청에 전달되는 암호화된 서명 문자열을 생성합니다. 공유 키 권한 부여에 대한 자세한 내용은 공유 키를 사용하여 권한 부여를 참조하세요.
공유 액세스 서명: SAS(공유 액세스 서명)는 지정된 권한과 지정된 시간 간격 동안 계정의 특정 리소스에 대한 액세스를 위임합니다. SAS에 대한 자세한 내용은 공유 액세스 서명을 사용하여 액세스 위임을 참조하세요.
컨테이너 및 Blob에 대한 익명 액세스: 필요에 따라 컨테이너 또는 Blob 수준에서 Blob 리소스를 공개할 수 있습니다. 익명 읽기 권한을 위해 모든 사용자가 퍼블릭 컨테이너 또는 Blob에 액세스할 수 있습니다. 퍼블릭 컨테이너 및 Blob에 대한 읽기 요청에는 권한 부여가 필요하지 않습니다. 자세한 내용은 Azure Blob Storage에서 컨테이너 및 Blob에 대한 공용 읽기 액세스 사용을 참조하세요.
팁
Microsoft Entra ID 사용하여 Blob, 파일, 큐 및 테이블 데이터에 대한 액세스를 인증하고 권한을 부여하면 다른 권한 부여 옵션보다 뛰어난 보안 및 사용 편의성을 제공합니다. 예를 들어 Microsoft Entra ID 사용하면 공유 키 권한 부여와 마찬가지로 계정 액세스 키를 코드와 함께 저장할 필요가 없습니다. Blob 및 큐 애플리케이션에서 공유 키 권한 부여를 계속 사용할 수 있지만 가능한 경우 Microsoft Entra ID 이동하는 것이 좋습니다.
마찬가지로 SAS(공유 액세스 서명)를 계속 사용하여 스토리지 계정의 리소스에 대한 세분화된 액세스 권한을 부여할 수 있지만, Microsoft Entra ID SAS 토큰을 관리하거나 손상된 SAS 해지에 대해 걱정할 필요 없이 유사한 기능을 제공합니다.
Azure Storage의 Microsoft Entra ID 통합에 대한 자세한 내용은 Microsoft Entra ID 사용하여 Azure Blob 및 큐에 대한 액세스 권한 부여를 참조하세요.