Azure 관리되는 애플리케이션 개요

  • 아티클

Azure Managed Applications를 사용하면 고객이 배포 및 운영하기 쉬운 클라우드 솔루션을 제공할 수 있습니다. 게시자는 인프라를 구현하고 지속적인 지원을 제공할 수 있습니다. 관리되는 애플리케이션을 모든 고객에게 제공하려면 Azure Marketplace에 게시합니다. 조직의 사용자만 사용할 수 있게 하려면 내부 서비스 카탈로그에 게시합니다.

관리되는 애플리케이션은 한 가지 주요 차이점이 있지만 Azure Marketplace의 솔루션 템플릿과 유사합니다. 관리되는 애플리케이션에서 리소스는 애플리케이션 게시자가 또는 고객이 관리하는 관리형 리소스 그룹에 배포됩니다. 관리되는 리소스 그룹은 고객의 구독에 있지만, 게시자 테넌트의 ID는 관리되는 리소스 그룹에 대한 액세스 권한을 부여받을 수 있습니다. 게시자는 애플리케이션을 관리하는 경우 지속적인 솔루션 지원을 위한 비용을 지정합니다.

참고 항목

Azure 사용자 지정 공급자에 대한 설명서는 관리되는 애플리케이션에 포함되었습니다. 해당 설명서는 Azure 사용자 지정 공급자로 이동되었습니다.

게시자 및 고객 권한

관리되는 리소스 그룹의 경우 게시자의 관리 액세스 및 고객의 거부 할당은 선택 사항입니다. 관리되는 애플리케이션에 대한 게시자 및 고객 요구 사항에 따라 다양한 권한 시나리오를 사용할 수 있습니다.

  • 게시자 관리: 게시자는 고객의 Azure 테넌트에서 관리되는 리소스 그룹의 리소스에 대한 관리 액세스 권한을 갖습니다. 관리되는 리소스 그룹에 대한 고객 액세스는 거부 할당에 의해 제한됩니다. 게시자 관리형은 기본 관리형 애플리케이션 권한 시나리오입니다.
  • 게시자 및 고객 액세스: 게시자와 고객은 관리되는 리소스 그룹에 대한 모든 권한을 갖습니다. 거부 할당이 제거됩니다.
  • 잠금 모드: 게시자는 고객이 배포한 관리되는 애플리케이션 또는 관리되는 리소스 그룹에 액세스할 수 없습니다. 고객 액세스는 거부 할당에 의해 제한됩니다.
  • 고객 관리: 고객은 관리되는 리소스 그룹에 대한 전체 관리 액세스 권한을 가지며 게시자의 액세스 권한은 제거됩니다. 거부 할당은 없습니다. 게시자는 애플리케이션을 개발하고 Azure Marketplace에 게시하지만 애플리케이션을 관리하지는 않습니다. 게시자는 Azure Marketplace를 통해 청구하기 위해 애플리케이션에 라이선스를 부여합니다.

권한 시나리오 사용의 이점:

  • 보안상의 이유로 게시자는 관리되는 리소스 그룹, 고객의 테넌트 또는 관리되는 리소스 그룹의 데이터에 대한 영구 관리 액세스를 원하지 않습니다.
  • 게시자는 고객이 애플리케이션을 관리할 수 있도록 거부 할당을 제거하려고 합니다. 게시자는 고객에 대한 작업을 사용하거나 사용하지 않도록 설정하기 위해 거부 할당을 관리할 필요가 없습니다. 예를 들어 관리되는 애플리케이션에서 가상 머신을 다시 부팅하는 것과 같은 작업입니다.
  • 게시자가 애플리케이션을 관리하는 서비스 공급자가 될 필요가 없도록 고객에게 애플리케이션을 관리할 수 있는 모든 권한을 제공합니다.

관리되는 애플리케이션의 이점

관리되는 애플리케이션은 솔루션을 사용하는 고객의 장벽을 낮춥니다. 솔루션 사용을 위해 클라우드 인프라에 대한 전문 지식이 필요하지 않습니다. 게시자가 구성한 권한에 따라 고객은 중요한 리소스에 대한 액세스가 제한될 수 있으며 이를 관리할 때 실수하는 것에 대해 걱정할 필요가 없습니다.

관리되는 애플리케이션을 사용하면 고객과의 지속적 관계를 구현할 수 있습니다. 애플리케이션 관리를 위한 조건을 정의하고 모든 비용은 Azure 청구를 통해 관리합니다.

고객은 자신의 구독에서 관리되는 애플리케이션을 배포하지만 애플리케이션을 유지 관리, 업데이트 또는 서비스하지 않아도 됩니다. 그러나 고객이 관리되는 리소스 그룹의 리소스에 대한 모든 권한을 가질 수 있도록 하는 권한이 있습니다. 모든 고객이 승인된 버전을 사용하고 있는지 확인할 수 있습니다. 고객은 이러한 애플리케이션을 관리하기 위해 애플리케이션에 관한 도메인 지식을 쌓을 필요가 없습니다. 고객은 애플리케이션 관련 문제 해결 및 문제 진단을 염려하지 않고 애플리케이션 업데이트를 자동으로 얻을 수 있습니다.

IT 팀은 관리되는 애플리케이션을 통해 사전 승인된 솔루션을 조직 내 사용자에게 제공할 수 있습니다. 이러한 솔루션은 조직을 표준을 준수합니다.

관리되는 애플리케이션은 Azure 리소스에 대한 관리 ID를 지원합니다.

관리되는 애플리케이션의 형식

관리되는 애플리케이션을 내부적으로 서비스 카탈로그에 게시하거나 외부적으로 Azure Marketplace에 게시할 수 있습니다.

Diagram that shows how a managed application is published to service catalog or Azure Marketplace.

서비스 카탈로그

서비스 카탈로그는 조직 내 사용자에 대해 승인된 솔루션의 내부 카탈로그입니다. 카탈로그를 사용하여 조직 표준을 충족하고 조직을 위한 솔루션을 제공합니다. 직원은 서비스 카탈로그를 사용하여 IT 부서에서 권장하고 승인한 애플리케이션을 찾습니다. 조직의 다른 사용자와 공유하는 관리되는 애플리케이션에 액세스할 수 있습니다.

관리되는 애플리케이션을 서비스 카탈로그에 게시하는 방법에 대한 자세한 내용은 빠른 시작: 관리되는 애플리케이션 정의 만들기 및 게시를 참조하세요.

Azure Marketplace

서비스에 대한 요금을 청구하려는 공급업체는 Azure Marketplace를 통해 관리되는 애플리케이션을 제공할 수 있습니다. 공급업체가 애플리케이션을 게시한 후 조직 외부 사용자에게 제공할 수 있습니다. 이 방식을 사용하면 MSP(관리되는 서비스 공급자), ISV(독립 소프트웨어 공급업체) 또는 SI(시스템 통합업체)는 모든 Azure 고객에게 솔루션을 제공할 수 있습니다.

관리되는 애플리케이션을 Azure Marketplace에 게시하는 방법에 대한 자세한 내용은 Azure 애플리케이션 제품 만들기를 참조하세요.

관리되는 애플리케이션에 대한 리소스 그룹

일반적으로 관리되는 애플리케이션의 리소스는 두 리소스 그룹에 있습니다. 고객이 하나의 리소스 그룹을 관리하고 게시자가 다른 리소스 그룹을 관리합니다. 관리되는 애플리케이션을 정의되면 게시자가 액세스 수준을 지정합니다. 게시자는 영구 역할 할당을 요청하거나 기간이 제한된 할당에 대한 Just-In-Time 액세스를 요청할 수 있습니다. 게시자는 게시자 액세스 권한이 없도록 관리되는 애플리케이션을 구성할 수도 있습니다.

데이터 작업에 대한 액세스 제한은 현재 Azure의 모든 데이터 공급자에 대해 지원되지 않습니다.

다음 이미지에서는 고객의 Azure 구독과 게시자의 Azure 구독(기본 게시자 관리 권한) 간의 관계를 보여 줍니다. 관리되는 애플리케이션 및 관리되는 리소스 그룹은 고객의 구독에 있습니다. 게시자는 관리되는 애플리케이션의 리소스를 유지 관리하기 위해 관리되는 리소스 그룹에 대한 관리 액세스 권한이 있습니다. 게시자는 관리되는 리소스 그룹에 대한 읽기 전용 잠금(할당 거부)을 배치하여 리소스 관리에 대한 고객의 액세스를 제한합니다. 관리되는 리소스 그룹에 대한 액세스 권한이 있는 게시자의 ID는 잠금에서 제외됩니다.

Diagram that shows the relationship between customer and publisher Azure subscriptions for a managed resource group.

이미지에 표시된 대로 관리 액세스를 변경할 수 있습니다. 고객은 관리되는 리소스 그룹에 대한 모든 권한을 부여받을 수 있습니다. 또한 관리되는 리소스 그룹에 대한 게시자 액세스 권한을 제거할 수 있습니다.

애플리케이션 리소스 그룹

이 리소스 그룹은 관리되는 애플리케이션 인스턴스를 갖습니다. 이 리소스 그룹에는 하나의 리소스만 포함될 수 있습니다. 관리되는 애플리케이션의 리소스 형식은 Microsoft.Solutions/applications입니다.

고객은 리소스 그룹에 대한 전체 액세스 권한을 가지며 이를 사용하여 관리되는 애플리케이션의 수명 주기를 관리합니다.

관리되는 리소스 그룹

이 리소스 그룹은 관리되는 애플리케이션에 필요한 모든 리소스를 갖습니다. 예를 들어 애플리케이션의 가상 머신, 스토리지 계정 및 가상 네트워크가 있습니다. 권한 옵션이 변경되지 않는 한 고객은 관리되는 애플리케이션에 대한 개별 리소스를 관리하지 않으므로 이 리소스 그룹에 제한적으로 액세스할 수 있습니다. 이 리소스 그룹에 대한 게시자의 액세스는 관리되는 애플리케이션 정의에서 지정한 역할에 해당합니다. 예를 들어 게시자는 이 리소스 그룹에 대해 소유자 또는 참가자 역할을 요청할 수 있습니다. 액세스는 영구적이거나 특정 시간으로 제한됩니다. 게시자는 관리되는 리소스 그룹에 액세스할 수 없도록 선택할 수 있습니다.

관리되는 애플리케이션이 마켓플레이스에 게시될 때 게시자는 고객에게 관리되는 리소스 그룹의 리소스에 대해 특정 작업을 수행하는 기능을 부여하거나 전체 액세스 권한을 부여할 수 있습니다. 예를 들어 게시자는 고객이 가상 머신을 다시 시작할 수 있도록 지정할 수 있습니다. 읽기 작업 이외의 다른 모든 작업은 여전히 거부됩니다. 권한이 부여된 고객에 의해 관리되는 리소스 그룹의 리소스를 변경하면 관리되는 리소스 그룹을 포함하도록 범위가 지정된 고객의 테넌트 내의 Azure Policy 할당이 적용됩니다.

고객이 관리되는 애플리케이션을 삭제하면 관리되는 리소스 그룹도 삭제됩니다.

리소스 공급자

관리되는 애플리케이션은 ARM 템플릿 JSON과 함께 Microsoft.Solutions 리소스 공급자를 사용합니다. 자세한 내용은 리소스 종류 및 API 버전을 참조하세요.

Azure Policy

Azure Policy를 적용하여 관리형 애플리케이션을 감사할 수 있습니다. 관리형 애플리케이션의 배포된 인스턴스에서 데이터 및 보안 요구 사항을 충족하는지 확인하는 정책 정의를 적용합니다. 애플리케이션에서 중요한 데이터와 상호 작용하는 경우 해당 데이터를 보호해야 하는 방법을 평가했는지 확인합니다. 예를 들어 애플리케이션이 Microsoft 365에서 데이터와 상호 작용하는 경우 정책 정의를 적용하여 데이터 암호화가 활성화되어 있는지 확인합니다.

다음 단계

이 문서에서는 관리되는 애플리케이션을 사용하는 경우의 이점에 대해 알아보았습니다. 다음 문서로 이동하여 관리되는 애플리케이션 정의를 만듭니다.

빠른 시작: Azure 관리형 애플리케이션 정의 만들기 및 게시