Share via

Microsoft Entra 사용 권한 관리에 대한 빠른 시작 가이드

  • 아티클

Microsoft Entra 사용 권한 관리에 대한 빠른 시작 가이드를 시작합니다.

사용 권한 관리는 모든 ID에 할당된 권한에 대한 포괄적인 가시성을 제공하는 CIEM(클라우드 인프라 권한 관리) 솔루션입니다. 이러한 ID에는 Microsoft Azure, AWS(Amazon Web Services), GCP(Google Cloud Platform)의 다중 클라우드 인프라에서 과도한 권한이 부여된 워크로드 및 사용자 ID, 작업 및 리소스가 있습니다. 사용 권한 관리는 사용하지 않는 권한이나 과도한 권한을 감지하고, 자동으로 적절히 스케일링하고, 지속적으로 모니터링하여 클라우드 권한을 효과적으로 보호하고 관리하는 데 도움이 됩니다.

이 빠른 시작 가이드를 사용하면 다중 클라우드 환경을 설정하고, 데이터 컬렉션을 구성하고, 권한 액세스를 사용하여 클라우드 ID를 관리하고 안전하게 보호할 수 있습니다.

필수 조건

시작하기 전에 온보딩 프로세스를 위해 다음 도구에 액세스해야 합니다.

  • BASH 환경(Azure CLI 포함)을 사용하여 Azure CLI 또는 Azure Cloud Shell을 통해 로컬 BASH 셸에 액세스합니다.
  • AWS, Azure, GCP 콘솔에 대한 액세스입니다.
  • AWS 및 GCP 온보딩에 필요한 Microsoft Entra 테넌트에서 새 앱 등록을 만들려면 사용자에게 Permissions Management 관리istrator 역할 할당이 있어야 합니다.

1단계: Permissions Management 설정

사용 권한 관리를 사용하려면 Microsoft Entra 테넌트(예: Microsoft Entra 관리 센터)가 있어야 합니다.

  • Azure 계정이 있으면 자동으로 Microsoft Entra 관리 센터 테넌트가 있습니다.
  • 아직 계정이 없으면 entra.microsoft.com에서 무료 계정을 만드세요.

위의 사항을 충족하는 경우 다음을 계속 진행합니다.

조직에서 Microsoft Entra 사용 권한 관리를 사용하도록 설정

권한 관리 관리 주관자인지 확인합니다. 사용 권한 관리 역할 및 사용 권한에 대하여 자세히 알아봅니다.

Microsoft Entra가 Microsoft Entra 테넌트에서 Azure 역할과 교차하는 위치를 보여 주는 다이어그램입니다.

2단계: 다중 클라우드 환경 온보딩

지금까지

  1. Microsoft Entra 관리 센터 테넌트에서 사용 권한 관리 관리자 역할을 할당하였습니다.
  2. 사용 권한 관리를 위해 라이선스를 구매하거나 45일 무료 평가판을 활성화했습니다.
  3. 사용 권한 관리를 성공적으로 시작했습니다.

이제 사용 권한 관리에서 컨트롤러 및 데이터 컬렉션 모드의 역할 및 설정에 대해 알아보겠습니다.

컨트롤러 설정

컨트롤러는 사용 권한 관리에서 사용자에게 부여한 액세스 수준을 결정할 수 있는 옵션을 제공합니다.

  • 온보딩 중에 컨트롤러를 사용하도록 설정하면 사용자가 AWS, Azure 또는 GCP 콘솔로 이동하지 않고도 사용 권한 관리를 통해 사용 권한을 올바르게 조정하고 직접 수정할 수 있도록 사용 권한 관리 관리자 액세스 또는 읽기 및 쓰기 액세스 권한이 부여됩니다. 

  • 온보딩하는 동안 컨트롤러를 사용하지 않거나 사용하지 않도록 설정하면 사용 권한 관리 사용자에게 환경에 대한 읽기 전용 액세스 권한이 부여됩니다.

참고 항목

온보딩하는 동안 컨트롤러를 사용하도록 설정하지 않으면 온보딩이 완료된 후 컨트롤러를 사용하도록 설정하는 옵션이 있습니다. 온보딩 후 사용 권한 관리에서 컨트롤러를 설정하려면 온보딩 후 컨트롤러 사용 또는 사용 안 함을 참조하세요. AWS 환경의 경우 컨트롤러를 사용하도록 설정한 후에는 컨트롤러를 사용하지 않도록 설정할 수 없습니다.

온보딩하는 동안 컨트롤러 설정을 지정하려면 다음을 수행합니다.

  1. 사용을 선택하여 사용 권한 관리에 대한 읽기 및 쓰기 액세스 권한을 부여합니다.
  2. 사용 안 함을 선택하여 사용 권한 관리에 대한 읽기 전용 액세스 권한을 부여합니다.

데이터 수집 구성

사용 권한 관리에서 데이터를 수집하기 위해 선택할 수 있는 세 가지 모드가 있습니다.

  • 자동(권장) 사용 권한 관리는 모든 현재 및 향후 구독을 자동으로 검색, 온보딩, 모니터링합니다.

  • 수동 사용 권한 관리의 개별 구독을 수동으로 입력하여 검색, 온보딩, 모니터링합니다. 데이터 컬렉션당 최대 100개의 구독을 입력할 수 있습니다.

  • 선택 사용 권한 관리는 모든 현재 구독을 자동으로 검색합니다. 검색되면 온보딩 및 모니터링할 구독을 선택합니다.

참고 항목

자동 또는 선택 모드를 사용하려면 데이터 컬렉션을 구성하는 동안 컨트롤러를 사용하도록 설정해야 합니다.

데이터 컬렉션을 구성하려면 다음을 수행합니다.

  1. 권한 관리에서 데이터 수집기 페이지로 이동합니다.
  2. 클라우드 환경(AWS, Azure 또는 GCP)을 선택합니다.
  3. 구성 만들기를 클릭합니다.

참고 항목

데이터 수집 프로세스는 다소 시간이 걸리며 대부분의 경우 약 4~5시간 간격으로 발생합니다. 시간 프레임은 가지고 있는 권한 부여 시스템의 크기와 수집에 사용할 수 있는 데이터의 양에 따라 달라집니다.

AWS(Amazon Web Services) 온보딩

사용 권한 관리는 Microsoft Entra에서 호스트되므로 AWS 환경을 온보딩하기 위해 수행해야 할 더 많은 단계가 있습니다.

AWS를 사용 권한 관리에 연결하려면 사용 권한 관리를 사용하도록 설정된 Microsoft Entra 관리 센터 테넌트에서 Microsoft Entra 애플리케이션을 만들어야 합니다. 이 Microsoft Entra 애플리케이션은 AWS 환경에 대한 OIDC 연결을 설정하는 데 사용됩니다.

OIDC(OpenID Connect)는 OAuth 2.0 사양 패밀리를 기반으로 하는 상호 운용 가능한 인증 프로토콜입니다.

Microsoft Entra ID와 AWS 클라우드 환경 간의 연결을 보여 주는 다이어그램

필수 조건

Microsoft Entra ID에서 새 앱 등록을 만들려면 사용자에게 Permissions Management 관리istrator 역할 할당이 있어야 합니다.

계정 ID 및 역할:

  • AWS OIDC 계정: OIDC IdP를 통해 OIDC 연결을 만들고 호스트하도록 지정된 AWS 멤버 계정
  • AWS 로깅 계정(선택 사항이지만 권장됨)
  • AWS 관리 계정(선택 사항이지만 권장됨)
  • 사용 권한 관리에서 모니터링하고 관리하는 AWS 멤버 계정(수동 모드의 경우)

자동 또는 데이터 컬렉션 모드 선택을 사용하려면 AWS 관리 계정을 연결해야 합니다.

이 단계에서는 AWS CloudTrail 활동 로그(AWS Trails에 있음)를 사용하여 S3 버킷의 이름을 입력하여 컨트롤러를 사용하도록 설정할 수 있습니다.

AWS 환경을 온보딩하고 데이터 컬렉션을 구성하려면 AWS(Amazon Web Services) 계정 온보딩을 참조하세요.

Microsoft Azure 온보딩

Microsoft Entra 테넌트에서 사용 권한 관리를 사용하도록 설정하면 CIEM의 엔터프라이즈 애플리케이션이 만들어집니다. Azure 환경을 온보딩하려면 사용 권한 관리를 위해 이 애플리케이션에 사용 권한을 부여합니다.

  1. 사용 권한 관리가 사용하도록 설정된 Microsoft Entra 테넌트에서 CIEM(클라우드 인프라 권한 관리) 엔터프라이즈 애플리케이션을 찾습니다.

  2. 사용 권한 관리가 환경에서 Microsoft Entra 구독을 읽을 수 있도록 CIEM 애플리케이션에 읽기 권한자 역할을 할당합니다.

Azure 구독에 대한 Microsoft Entra 역할 연결 간의 연결을 보여 주는 다이어그램

필수 조건

  • CIEM 애플리케이션에 역할을 할당할 수 있는 구독 또는 관리 그룹 범위에서 Microsoft.Authorization/roleAssignments/write 권한이 있는 사용자입니다.

  • 자동 또는 데이터 컬렉션 모드 선택을 사용하려면 관리 그룹 범위에서 읽기 권한자 역할을 할당해야 합니다.

  • 컨트롤러를 사용하려면 CIEM 애플리케이션에 사용자 액세스 관리자 역할을 할당해야 합니다.

Azure 환경을 온보딩하고 데이터 컬렉션을 구성하려면 Microsoft Azure 구독 온보딩을 참조하세요.

GCP(Google Cloud Platform)

사용 권한 관리는 Microsoft Azure에서 호스트되므로 GCP 환경을 온보딩하기 위해 수행해야 하는 추가 단계가 있습니다.

GCP를 사용 권한 관리에 연결하려면 사용 권한 관리를 사용하도록 설정된 Microsoft Entr 테넌트에서 Microsoft Entra 관리 센터 애플리케이션을 만들어야 합니다. 이 Microsoft Entra 관리 센터 애플리케이션은 GCP 환경에 대한 OIDC 연결을 설정하는 데 사용됩니다.

OIDC(OpenID Connect)는 OAuth 2.0 사양 패밀리를 기반으로 하는 상호 운용 가능한 인증 프로토콜입니다.

Microsoft Entra OIDC 애플리케이션과 GCP 클라우드 환경 간의 연결을 보여 주는 다이어그램

필수 조건

AWS 및 GCP 온보딩에는 Microsoft Entra에서 새로운 앱 등록을 만들 수 있는 사용자(OIDC 연결을 용이하게 하는 데 필요)가 필요합니다.

ID 세부 정보:

  • GCP OIDC 프로젝트: OIDC IdP를 통해 OIDC 연결을 만들고 호스트하도록 지정된 GCP 프로젝트입니다.
    • 프로젝트 번호 및 프로젝트 ID
  • GCP OIDC 워크로드 ID
    • 풀 ID, 풀 공급자 ID
  • GCP OIDC 서비스 계정
    • G 제품군 IdP 비밀 이름 및 G 제품군 IdP 사용자 메일(선택 사항)
    • 온보딩하려는 GCP 프로젝트의 ID(수동 모드의 경우 선택 사항)

조직, 폴더 또는 프로젝트 수준의 GCP 서비스 계정에 뷰어보안 검토자 역할을 할당하여 사용 권한 관리에 GCP 환경에 대한 읽기 권한을 부여합니다.

이 단계에서는 조직, 폴더 또는 프로젝트 수준의 GCP 서비스 계정에 역할 관리자보안 관리자 역할을 할당하여 컨트롤러 모드를 사용하는 옵션이 있습니다.

참고 항목

사용 권한 관리 기본 범위는 프로젝트 수준에 있습니다.

GCP 환경을 온보딩하고 데이터 컬렉션을 구성하려면 GCP 프로젝트 온보딩을 참조하세요.

요약

축하합니다! 사용자 환경의 데이터 컬렉션 구성을 완료했으며 데이터 컬렉션 프로세스가 시작되었습니다. 데이터 수집 프로세스에는 다소 시간이 걸립니다. 대부분의 경우 약 4-5시간입니다. 시간 프레임은 온보딩한 권한 부여 시스템의 양과 수집에 사용할 수 있는 데이터의 양에 따라 달라집니다.

사용 권한 관리 UI의 상태 열에는 현재 데이터 컬렉션 단계가 표시됩니다.

  • 보류 중: 권한 관리가 아직 검색 또는 온보딩을 시작하지 않았습니다.
  • 검색 중: 권한 관리가 권한 부여 시스템을 검색하고 있습니다.
  • 진행 중: 권한 관리가 권한 부여 시스템 검색을 완료하고 온보딩 중입니다.
  • 온보딩됨: 데이터 수집이 완료되었으며 검색된 모든 권한 부여 시스템이 권한 관리에 온보딩되었습니다.

참고 항목

데이터 컬렉션 프로세스가 계속되는 동안 사용 권한 관리에서 사용자 및 그룹 설정을 시작할 수 있습니다.

다음 단계

참조: