관리 ID를 사용하여 Azure Key Vault 인증서에 액세스

Microsoft Entra ID에서 생성된 관리 ID를 사용하면 Azure Front Door 인스턴스가 Azure Key Vault와 같은 다른 Microsoft Entra 보안 리소스에 쉽고 안전하게 액세스할 수 있습니다. 이 ID 리소스는 Azure가 관리하므로 비밀을 만들거나 회전할 필요가 없습니다. 관리 ID에 대한 자세한 내용은 Azure 리소스용 관리 ID란?을 참조하세요.

Azure Front Door에 대한 관리 ID를 사용하도록 설정하고 Azure Key Vault에 액세스할 수 있는 적절한 권한을 부여하면 Front Door는 관리 ID만 사용하여 인증서에 액세스합니다. Key Vault에 관리 ID 권한을 추가하지 않으면, Key Vault에 대한 권한 없이 사용자 지정 인증서 자동 연결 및 새 인증서 추가가 실패합니다. 관리 ID를 사용하지 않도록 설정하면, Azure Front Door는 원래 구성된 Microsoft Entra 앱을 사용하도록 대체됩니다. 이 솔루션은 권장되지 않으며 나중에 사용 중지될 예정입니다.

Azure Front Door 프로필에는 두 가지 형식의 ID를 부여할 수 있습니다.

• 시스템 할당 ID는 서비스에 연결되어 있어 해당 서비스를 삭제하면 이 ID도 삭제됩니다. 서비스에는 시스템 할당 ID가 하나만 있을 수 있습니다.

• 사용자 할당 ID는 서비스에 할당할 수 있는 독립 실행형 Azure 리소스입니다. 서비스에는 여러 사용자 할당 ID가 있을 수 있습니다.

관리 ID는 Azure 구독이 호스트되는 Microsoft Entra 테넌트에 한정됩니다. 구독이 다른 디렉터리로 이동되면 업데이트되지 않습니다. 구독이 이동되면 ID를 다시 만들고 다시 구성해야 합니다.

RBAC(역할 기반 액세스 제어) 또는 액세스 정책을 사용하여 Azure Key Vault 액세스를 구성하는 옵션도 있습니다.

필수 조건

Azure Front Door에 대한 관리 ID를 설정하려면 먼저 Azure Front Door 표준 또는 프리미엄 프로필을 만들어야 합니다. 새로운 Front Door 프로필을 만들려면 Azure Front Door 만들기를 참조하세요.

관리 ID 사용

1. 기존 Azure Front Door 프로필로 이동합니다. 왼쪽 메뉴 창의 보안 아래에서 ID를 선택합니다.

   

2. 시스템 할당 또는 사용자 할당 관리 ID를 선택합니다.

   • 시스템 할당 - 관리 ID는 Azure Front Door 프로필 수명 주기에 대해 만들어지며 Azure Key Vault에 액세스하는 데 사용됩니다.

   • 사용자 할당 - Azure Key Vault에 인증하는 데 사용되는 독립형 관리 ID 리소스이며 자체적인 수명 주기가 있습니다.

   시스템 할당

   1. 상태를 켜기로 전환한 다음 저장을 선택합니다.

      

   2. Front Door 프로필에 대한 시스템 관리 ID를 만들 것인지 확인하는 메시지가 표시됩니다. 예를 선택하여 확인합니다.

      

   3. 시스템이 할당한 관리 ID가 만들어지고 Microsoft Entra ID에 등록되면 개체(주체) ID를 사용하여 Azure Key Vault에 Azure Front Door 액세스를 부여할 수 있습니다.

      

   사용자 할당

   사용자 관리 ID가 이미 만들어져 있어야 합니다. 새 ID를 만들려면 사용자 할당 관리 ID 만들기를 참조하세요.

   1. 사용자 할당 탭에서 + 추가를 선택하여 사용자 할당 관리 ID를 추가합니다.

      

   2. 사용자에게 할당된 관리 ID를 검색하고 선택합니다. 그런 다음 추가를 선택하여 사용자 관리 ID를 Azure Front Door 프로필에 추가합니다.

      

   3. 선택한 사용자 할당 관리 ID의 이름이 Azure Front Door 프로필에 표시됩니다.

      

   ---

Key Vault 액세스 구성

• 역할 기반 액세스 제어 - Azure Resource Manager를 사용하여 세분화된 액세스 제어를 통해 Azure Key Vault에 대한 Azure Front Door 액세스 권한을 부여합니다.
• 액세스 정책 - Azure Key Vault에 Azure Front Door 액세스 권한을 부여하는 네이티브 Azure Key Vault 액세스 제어.

자세한 내용은 Azure RBAC(Azure 역할 기반 액세스 제어)와 액세스 정책 비교를 참조하세요.

RBAC(역할 기반 액세스 제어)

1. Azure Key Vault로 이동합니다. 설정에서 액세스 제어(IAM)를 선택한 다음 + 추가를 선택합니다. 드롭다운 메뉴에서 역할 할당 추가를 선택합니다.

   

2. 역할 할당 추가 페이지의 검색 상자에서 Key Vault 비밀 사용자를 검색합니다. 그런 다음, 검색 결과에서 Key Vault 비밀 사용자를 선택합니다.

   

3. 멤버 탭을 선택한 다음 관리 ID를 선택합니다. + 멤버 선택을 선택하여 역할 할당에 관리 ID를 추가합니다.

   

4. Azure Front Door에 연결된 시스템 할당 또는 사용자 할당 관리 ID를 선택한 다음, 선택을 선택하여 역할 할당에 관리 ID를 추가합니다.

   

5. 검토 + 할당을 선택하여 역할 할당을 설정합니다.

   

액세스 정책

1. Azure Key Vault로 이동합니다. 설정에서 액세스 정책을 선택한 다음 + 만들기를 선택합니다.

   

2. 액세스 정책 만들기 페이지의 권한 탭에서 비밀 권한 아래의 목록 및 가져오기를 선택합니다. 그런 다음 다음을 선택하여 보안 주체 탭을 구성합니다.

   

3. 시스템 관리 ID를 사용하는 경우 주체 탭에서 개체(주체) ID를 붙여넣고 사용자 할당된 관리 ID를 사용하는 경우 이름을 입력합니다. 그런 다음 검토 + 만들기 탭을 선택합니다. Azure Front Door가 이미 선택되어 있으므로 애플리케이션 탭은 건너뜁니다.

   

4. 액세스 정책 설정을 검토한 다음 만들기를 선택하여 액세스 정책을 설정합니다.

   

액세스 확인

1. 관리 ID를 사용하도록 설정한 Azure Front Door 프로필로 이동하고 보안 아래에서 비밀을 선택합니다.

   

2. Front Door에서 사용되는 인증서의 액세스 역할 열 아래에 관리 ID가 표시되는지 확인합니다. 관리 ID를 처음으로 설정하는 경우 이 열을 보려면 Front Door에 인증서를 추가해야 합니다.

   

다음 단계

• 엔드투엔드 TLS 암호화에 대해 자세히 알아봅니다.
• Azure Front Door 사용자 지정 도메인에서 HTTPS를 구성하는 방법에 대해 알아봅니다.