SMB 액세스에 대한 Azure Files ID 기반 인증 옵션 개요
이 문서에서는 Azure 파일 공유가 온-프레미스 또는 Azure에서 도메인 서비스를 사용하여 SMB를 통한 Azure 파일 공유에 대한 ID 기반 액세스를 지원하는 방법에 대해 설명합니다. Azure 파일 공유에 대한 ID 기반 액세스를 사용하도록 설정하면 기존 디렉터리 서비스를 대체하지 않고도 기존 파일 서버를 Azure 파일 공유로 대체하여 원활한 사용자 액세스를 공유할 수 있습니다.
용어 설명
Azure 파일 공유용 ID 기반 인증과 관련된 몇 가지 핵심 용어를 알고 있는 것이 좋습니다.
Kerberos 인증
Kerberos는 사용자 또는 호스트의 ID를 확인하는 데 사용되는 인증 프로토콜입니다. Kerberos에 대한 자세한 내용은 Kerberos 인증 개요를 참조하세요.
SMB(서버 메시지 블록) 프로토콜
SMB는 산업 표준 네트워크 파일 공유 프로토콜입니다. SMB에 대한 자세한 내용은 Microsoft SMB Protocol and CIFS Protocol Overview(Microsoft SMB 프로토콜 및 CIFS 프로토콜 개요)를 참조하세요.
Microsoft Entra ID
Microsoft Entra ID(이전의 Azure AD)는 Microsoft의 다중 테넌트 클라우드 기반 디렉터리 및 ID 관리 서비스입니다. Microsoft Entra ID에서는 핵심 디렉터리 서비스, 애플리케이션 액세스 관리 및 ID 보호가 하나의 솔루션으로 결합되어 있습니다.
Microsoft Entra Domain Services
Microsoft Entra Domain Services는 도메인 가입, 그룹 정책, LDAP, Kerberos/NTLM 인증 등 관리되는 도메인 서비스를 제공합니다. 이러한 서비스는 Active Directory Domain Services와 완벽하게 호환됩니다. 자세한 내용은 Microsoft Entra Domain Services를 참조하세요.
온-프레미스 AD DS(Active Directory Domain Services)
Azure Files와 통합된 온-프레미스 AD DS(Active Directory Domain Services)는 네트워크 사용자 및 관리자가 디렉터리 데이터를 사용할 수 있도록 하면서 디렉터리 데이터를 저장하는 방법을 제공합니다. 보안은 디렉터리의 개체에 대한 로그온 인증과 액세스 제어를 통해 AD DS와 통합됩니다. 관리자는 단일 네트워크 로그온을 통해 네트워크에서 디렉터리 데이터 및 조직을 관리할 수 있으며, 권한 있는 네트워크 사용자는 네트워크의 모든 위치에서 리소스에 액세스할 수 있습니다. AD DS는 일반적으로 온-프레미스 환경 또는 클라우드 호스트 VM에서 기업에 의해 채택되며 AD DS 자격 증명이 액세스 제어를 위해 사용됩니다. 자세한 내용은 Active Directory Domain Services 개요를 참조하세요.
Azure RBAC(Azure 역할 기반 액세스 제어)
Azure RBAC를 사용하면 Azure에 대한 액세스를 세부적으로 관리할 수 있습니다. Azure RBAC를 사용하면 사용자에게 작업을 수행하는 데 필요한 최소한의 권한을 부여하여 리소스에 대한 액세스를 관리할 수 있습니다. 자세한 내용은 Azure 역할 기반 액세스 제어가 무엇인가요?를 참조하세요.
하이브리드 ID
하이브리드 사용자 ID는 온-프레미스 Microsoft Entra Connect Sync 애플리케이션 또는 Microsoft Entra Connect 클라우드 동기화(Microsoft Entra Admin Center에서 설치할 수 있는 간단한 에이전트)를 사용하여 Microsoft Entra ID에 동기화되는 AD DS의 ID입니다.
지원되는 인증 시나리오
Azure Files는 다음 방법을 통해 SMB를 통한 ID 기반 인증을 지원합니다. 스토리지 계정당 하나의 메서드만 사용할 수 있습니다.
- 온-프레미스 AD DS 인증: 온-프레미스 AD DS 가입 또는 Microsoft Entra Domain Services 가입 Windows 컴퓨터는 Microsoft Entra ID에 동기화된 온-프레미스 Active Directory 자격 증명을 사용하여 SMB를 통해 Azure 파일 공유에 액세스할 수 있습니다. 클라이언트는 AD DS에 대한 방해받지 않는 네트워크 연결이 있어야 합니다. 디바이스가 AD에 도메인 조인되는 Azure의 VM 또는 온프레미스에 이미 AD DS가 설정된 경우 Azure 파일 공유 인증에 AD DS를 사용해야 합니다.
- Microsoft Entra Domain Services 인증: Microsoft Entra Domain Services에 가입된 클라우드 기반 Windows VM은 Microsoft Entra 자격 증명을 사용하여 Azure 파일 공유에 액세스할 수 있습니다. 이 솔루션에서 Microsoft Entra ID는 고객을 대신하여 고객의 Microsoft Entra 테넌트의 자식인 기존 Windows Server AD 도메인을 실행합니다.
- 하이브리드 ID용 Microsoft Entra Kerberos: 하이브리드 사용자 ID를 인증하기 위해 Microsoft Entra ID를 사용하면 Microsoft Entra 사용자가 Kerberos 인증을 사용하여 Azure 파일 공유에 액세스할 수 있습니다. 즉, 최종 사용자는 Microsoft Entra 하이브리드 가입 및 Microsoft Entra 가입 VM의 도메인 컨트롤러에 대한 네트워크 연결 없이 인터넷을 통해 Azure 파일 공유에 액세스할 수 있습니다. 클라우드 전용 ID는 현재 지원되지 않습니다.
- Linux 클라이언트에 대한 AD Kerberos 인증: Linux 클라이언트는 온-프레미스 AD DS 또는 Microsoft Entra Domain Services를 사용하여 Azure Files에 대해 SMB를 통한 Kerberos 인증을 사용할 수 있습니다.
제한 사항
- 컴퓨터 계정을 Microsoft Entra ID의 ID에 동기화할 수 없으므로 Azure RBAC를 사용하여 컴퓨터 계정(컴퓨터 계정)에 공유 수준 권한을 할당하는 인증 방법은 없습니다. 컴퓨터 계정이 ID 기반 인증을 사용하여 Azure 파일 공유에 액세스할 수 있게 하려면 기본 공유 수준 권한을 사용하거나 서비스 로그인 계정을 대신 사용하는 것이 좋습니다.
- NFS(네트워크 파일 시스템) 공유에서는 ID 기반 인증이 지원되지 않습니다.
일반 사용 예
Azure Files를 사용한 ID 기반 인증은 다양한 시나리오에서 유용할 수 있습니다.
온-프레미스 파일 서버 바꾸기
분산된 온-프레미스 파일 서버를 사용 중단하고 교체하는 것은 모든 기업이 IT 현대화 과정에서 경험하는 일반적인 문제입니다. 온-프레미스 AD DS 인증을 사용하는 Azure 파일 공유는 데이터를 Azure Files로 마이그레이션할 수 있는 경우에 가장 적합합니다. 완전히 마이그레이션하면 클라이언트 쪽 변경을 최소화하면서 고가용성 및 확장성 이점을 최대한 활용할 수 있습니다. 최종 사용자에게 원활한 마이그레이션 환경을 제공하므로 기존 도메인 조인 컴퓨터를 사용하여 동일한 자격 증명으로 데이터에 계속 액세스할 수 있습니다.
Azure로 애플리케이션 리프트 앤 시프트
애플리케이션을 클라우드로 리프트 앤 시프트하는 경우 데이터에 대해 동일한 인증 모델을 유지하려고 할 수 있습니다. ID 기반 액세스 제어 환경을 Azure 파일 공유로 확장하는 것이므로 애플리케이션을 최신 인증 방법으로 변경하고 클라우드 채택을 신속하게 처리할 필요가 없습니다. Azure 파일 공유는 인증을 위해 Microsoft Entra Domain Services 또는 온-프레미스 AD DS와 통합하는 옵션을 제공합니다. 100% 클라우드 네이티브로 전환하고 클라우드 인프라를 관리하는 노력을 최소화할 계획인 경우 Microsoft Entra Domain Services가 완전 관리형 도메인 서비스로 더 적합할 수 있습니다. AD DS 기능과의 완전한 호환성이 필요한 경우에는 VM에서 도메인 컨트롤러를 자체 호스팅하여 AD DS 환경을 클라우드로 확장할 수도 있습니다. 어느 방법을 사용하든 비즈니스 요구 사항에 가장 적합한 도메인 서비스를 유연하게 선택할 수 있습니다.
백업 및 재해 복구(DR)
기본 파일 스토리지를 온-프레미스에 유지하는 경우 비즈니스 연속성을 개선하기 위해 백업 또는 DR에 적합한 스토리지로 Azure 파일 공유를 사용할 수 있습니다. Azure 파일 공유를 사용하여 Windows DACL(임의 액세스 제어 목록)을 유지하면서 기존 파일 서버에서 데이터를 백업할 수 있습니다. DR 시나리오의 경우 장애 조치(failover) 시 적절한 액세스 제어 적용을 지원하도록 인증 옵션을 구성할 수 있습니다.
ID 기반 인증의 이점
Azure Files에 대한 ID 기반 인증은 공유 키 인증을 사용하는 경우에 비해 다음과 같은 여러 이점을 제공합니다.
기존 ID 기반 파일 공유 액세스 환경을 클라우드로 확장
기존 파일 서버를 Azure 파일 공유로 대체하여 애플리케이션을 클라우드로 리프트 앤 시프트하려는 경우 애플리케이션이 온-프레미스 AD DS 또는 Microsoft Entra Domain Services 자격 증명으로 인증하여 파일 데이터에 액세스하도록 할 수 있습니다. Azure Files는 온-프레미스 AD DS 또는 Microsoft Entra Domain Services 도메인 가입 VM에서 온-프레미스 AD DS 또는 Microsoft Entra Domain Services 자격 증명을 사용하여 SMB를 통해 Azure 파일 공유에 액세스하도록 지원합니다.Azure 파일 공유에 대한 세부적인 액세스 제어 적용
공유, 디렉터리 또는 파일 수준에서 특정 ID에 사용 권한을 부여할 수 있습니다. 예를 들어 프로젝트 협업을 위해 단일 Azure 파일 공유를 사용하는 여러 팀이 있다고 가정할 수 있습니다. 이런 경우 중요하지 않은 디렉터리에 대한 액세스 권한은 모든 팀에 부여하면서 중요한 재무 데이터가 포함된 디렉터리에 대한 액세스 권한은 재무 팀으로만 제한할 수 있습니다.데이터와 함께 Windows ACL(NTFS 권한이라고도 함) 백업
Azure 파일 공유를 사용하여 기존 온-프레미스 파일 공유를 백업할 수 있습니다. SMB를 통해 Azure 파일 공유로 파일 공유를 백업하는 경우 Azure Files에서는 데이터와 함께 ACL이 유지됩니다.
작동 방식
Azure 파일 공유는 Kerberos 프로토콜을 사용하여 AD 원본으로 인증합니다. 클라이언트에서 실행되는 사용자 또는 애플리케이션과 연결된 ID가 Azure 파일 공유의 데이터에 액세스하려고 하면 ID를 인증하기 위해 AD 원본으로 요청이 전송됩니다. 인증에 성공하면 Kerberos 토큰이 반환됩니다. 클라이언트에서 Kerberos 토큰이 포함된 요청을 보내면 Azure 파일 공유에서 해당 토큰을 사용하여 요청에 권한을 부여합니다. Azure 파일 공유는 Kerberos 토큰만 수신하고 사용자의 액세스 자격 증명은 수신하지 않습니다.
AD DS, Microsoft Entra Domain Services, Microsoft Entra Kerberos(하이브리드 ID만 해당) 등 세 가지 AD 원본 중 하나를 사용하여 신규 및 기존 스토리지 계정에서 ID 기반 인증을 사용하도록 설정할 수 있습니다. 스토리지 계정의 파일 액세스 인증에는 하나의 AD 원본만 사용할 수 있으며, 이는 계정의 모든 파일 공유에 적용됩니다. 스토리지 계정에서 ID 기반 인증을 사용하도록 설정하려면 먼저 도메인 환경을 설정해야 합니다.
AD DS
온-프레미스 AD DS 인증의 경우 AD 도메인 컨트롤러를 설정하고 컴퓨터 또는 VM을 도메인 조인해야 합니다. Azure VM 또는 온-프레미스에서 도메인 컨트롤러를 호스트할 수 있습니다. 어느 원본을 사용하든 도메인 가입된 클라이언트는 도메인 컨트롤러에 대한 방해받지 않는 네트워크 연결이 있어야 하므로 도메인 서비스의 회사 네트워크 또는 VNET(가상 네트워크) 내에 있어야 합니다.
다음 다이어그램은 SMB를 통해 Azure 파일 공유에 대한 온-프레미스 AD DS 인증을 보여 줍니다. Microsoft Entra Connect Sync 또는 Microsoft Entra Connect 클라우드 동기화를 사용하여 온-프레미스 AD DS를 Microsoft Entra ID로 동기화해야 합니다. 온-프레미스 AD DS 및 Microsoft Entra ID 모두에 있는 하이브리드 사용자 ID만 Azure 파일 공유 액세스에 대해 인증 및 권한을 부여받을 수 있습니다. 이는 디렉터리/파일 수준 사용 권한은 AD DS의 ID에 적용되는 반면, 공유 수준 권한은 Microsoft Entra ID에 표시된 ID에 대해 구성되기 때문입니다. 동일한 하이브리드 사용자에 대해 사용 권한을 올바르게 구성해야 합니다.
AD DS 인증을 사용하도록 설정하는 방법을 알아보려면 먼저 개요 - Azure 파일 공유에 SMB를 통한 온-프레미스 Active Directory Domain Services 인증을 읽은 다음 Azure 파일 공유에 AD DS 인증 사용을 참조하세요.
Microsoft Entra Domain Services
Microsoft Entra Domain Services 인증의 경우 Microsoft Entra Domain Services를 사용하도록 설정하고 파일 데이터에 액세스하려는 VM을 도메인 가입시켜야 합니다. 도메인 가입된 VM은 Microsoft Entra Domain Services와 동일한 VNET(가상 네트워크)에 있어야 합니다.
다음 다이어그램은 Azure 파일 공유에 대한 SMB를 통한 Microsoft Entra Domain Services 인증 워크플로를 나타냅니다. 이것은 온-프레미스 AD DS 인증과 유사한 패턴을 따르지만 두 가지 큰 차이점이 있습니다.
스토리지 계정을 나타내기 위해 Microsoft Entra Domain Services에서 ID를 만들 필요가 없습니다. 이 작업은 백그라운드에서 활성화 프로세스를 통해 수행됩니다.
Microsoft Entra ID에 있는 모든 사용자는 인증 및 권한을 부여받을 수 있습니다. 사용자는 클라우드 전용이거나 하이브리드일 수 있습니다. Microsoft Entra ID에서 Microsoft Entra Domain Services로의 동기화는 사용자 구성 필요 없이 플랫폼에서 관리됩니다. 그러나 클라이언트는 Microsoft Entra Domain Services 호스팅 도메인에 가입해야 합니다. Microsoft Entra에 가입하거나 등록할 수 없습니다. Microsoft Entra Domain Services는 비 Azure 클라이언트(예: 사용자 랩톱, 워크스테이션, 다른 클라우드의 VM 등)가 Microsoft Entra Domain Services 호스팅 도메인에 도메인 가입되는 것을 지원하지 않습니다. 그러나 DOMAINNAME\username과 같은 명시적 자격 증명을 제공하거나 정규화된 도메인 이름(username@FQDN)을 사용하여 비도메인 조인 클라이언트에서 파일 공유를 탑재할 수 있습니다.
Microsoft Entra Domain Services 인증을 사용하도록 설정하는 방법을 알아보려면 Azure Files에서 Microsoft Entra Domain Services 인증 사용을 참조하세요.
하이브리드 ID용 Microsoft Entra Kerberos
하이브리드 사용자 ID를 인증하기 위해 Microsoft Entra ID를 사용하도록 설정하고 구성하면 Microsoft Entra 사용자가 Kerberos 인증을 사용하여 Azure 파일 공유에 액세스할 수 있습니다. 이 구성은 Microsoft Entra ID를 사용하여 업계 표준 SMB 프로토콜로 파일 공유에 액세스하는 데 필요한 Kerberos 티켓을 발급합니다. 즉, 최종 사용자는 Microsoft Entra 하이브리드 가입 및 Microsoft Entra 가입 VM의 도메인 컨트롤러에 대한 네트워크 연결 없이 인터넷을 통해 Azure 파일 공유에 액세스할 수 있습니다. 그러나 사용자 및 그룹에 대한 디렉터리 및 파일 수준 권한을 구성하려면 온-프레미스 도메인 컨트롤러에 대한 방해받지 않는 네트워크 연결이 필요합니다.
Important
Microsoft Entra Kerberos 인증은 하이브리드 사용자 ID만 지원하며 클라우드 전용 ID는 지원하지 않습니다. 기존 AD DS 배포가 필요하며 Microsoft Entra Connect Sync 또는 Microsoft Entra Connect 클라우드 동기화를 사용하여 Microsoft Entra ID로 동기화해야 합니다. 클라이언트는 Microsoft Entra 가입 또는 Microsoft Entra 하이브리드 가입되어야 합니다. Microsoft Entra Kerberos는 Microsoft Entra Domain Services에 가입되거나 AD에만 가입된 클라이언트에서 지원되지 않습니다.
하이브리드 ID에 대해 Microsoft Entra Kerberos 인증을 사용하는 방법에 대한 자세한 내용은 Azure Files에서 하이브리드 ID에 Microsoft Entra Kerberos 인증 사용을 참조하세요.
이 기능을 사용하여 Microsoft Entra 가입 VM에 대한 Azure 파일 공유에 FSLogix 프로필을 저장할 수도 있습니다. 자세한 내용은 Azure Files 및 Microsoft Entra ID를 사용하여 프로필 컨테이너 만들기를 참조하세요.
Access Control
Azure Files는 공유 수준 및 디렉터리/파일 수준에 대한 사용자 액세스 권한 부여를 적용합니다. Azure RBAC를 통해 관리되는 Microsoft Entra 사용자 또는 그룹에 대해 공유 수준 권한 할당을 수행할 수 있습니다. Azure RBAC에서는 파일 액세스에 사용하는 자격 증명을 사용할 수 있거나 Microsoft Entra ID와 동기화해야 합니다. Microsoft Entra ID의 사용자 또는 그룹에 스토리지 파일 데이터 SMB 공유 읽기 권한자 같은 Azure 기본 제공 역할을 할당하여 Azure 파일 공유에 대한 액세스 권한을 부여할 수 있습니다.
디렉터리/파일 수준에서 Azure Files는 Windows 파일 서버와 마찬가지로 Windows ACL을 유지, 상속 및 적용할 수 있도록 지원합니다. 기존 파일 공유와 Azure 파일 공유 간에 SMB를 통해 데이터를 복사할 때 Windows ACL을 유지하도록 선택할 수 있습니다. 권한 부여를 적용할지 여부와 관계없이 Azure 파일 공유를 사용하여 데이터와 함께 ACL을 백업할 수 있습니다.
Azure Files에 대한 공유 수준 권한 구성
스토리지 계정에서 AD 원본을 사용하도록 설정한 후에는 파일 공유에 액세스하려면 다음 중 하나를 수행해야 합니다.
- 모든 인증된 사용자 및 그룹에 적용되는 기본 공유 수준 권한 설정
- 사용자 및 그룹에 기본 제공 Azure RBAC 역할 할당
- Microsoft Entra ID에 대한 사용자 지정 역할을 구성하고 스토리지 계정의 파일 공유에 대한 액세스 권한을 할당합니다.
할당된 공유 수준 사용 권한을 사용하면 권한이 부여된 ID에서 공유만 액세스할 수 있으며 그 외에는 루트 디렉터리도 액세스할 수 없습니다. 디렉터리 및 파일 수준 권한을 별도로 구성해야 합니다.
Azure Files에 대한 디렉터리 또는 파일 수준 권한 구성
Azure 파일 공유는 루트 디렉터리를 포함하여 디렉터리와 파일 수준 모두에 표준 Windows ACL을 적용합니다. 디렉터리 또는 파일 수준 권한 구성은 SMB와 REST를 통해서 지원됩니다. VM에서 대상 파일 공유를 탑재하고 Windows 파일 탐색기, Windows icacls 또는 Set-ACL 명령을 사용하여 권한을 구성합니다.
슈퍼 사용자 권한은 스토리지 계정 키 사용
스토리지 계정 키를 보유한 사용자는 슈퍼 사용자 권한으로 Azure 파일 공유에 액세스할 수 있습니다. 슈퍼 사용자 권한은 모든 액세스 제어 제한 사항을 무시합니다.
Important
권장 보안 모범 사례는 스토리지 계정 키를 공유하지 않고, 가능하면 ID 기반 인증을 활용하는 것입니다.
Azure 파일 공유로 데이터를 가져올 때 디렉터리 및 파일 ACL 유지
Azure Files는 Azure 파일 공유에 데이터를 복사할 때 디렉터리 또는 파일 수준 ACL을 유지하도록 지원합니다. Azure 파일 동기화 또는 일반적인 파일 이동 도구 집합을 사용하여 디렉터리 또는 파일의 ACL을 Azure 파일 공유에 복사할 수 있습니다. 예를 들어 robocopy를 /copy:s
플래그와 함께 사용하여 데이터와 ACL을 Azure 파일 공유로 복사할 수 있습니다. ACL은 기본적으로 유지되므로 사용자가 ACL을 유지하기 위해 스토리지 계정에서 ID 기반 인증을 사용하도록 설정할 필요는 없습니다.
가격 책정
스토리지 계정에 대해 SMB를 통한 ID 기반 인증을 사용하도록 설정하는 데는 서비스 요금이 추가되지 않습니다. 가격 책정에 대한 자세한 내용은 Azure Files 가격 책정 및 Microsoft Entra Domain Services 가격 책정을 참조하세요.
다음 단계
Azure Files 및 SMB를 통한 ID 기반 인증에 대한 자세한 내용은 다음 리소스를 참조하세요.