학습
인증
Microsoft Certified: Identity and Access Administrator Associate - Certifications
ID 솔루션을 현대화하고, 하이브리드 솔루션을 구현하고, ID 거버넌스를 구현하는 Microsoft Entra ID의 기능을 시연합니다.
Azure 리소스에 대한 관리 ID는 Microsoft Entra ID의 기능입니다. Azure 리소스에 대한 관리 ID를 지원하는 각 Azure 서비스는 자체 타임라인을 따릅니다. 시작하기 전에 리소스의 관리 ID 가용성 상태와 알려진 문제를 검토하세요.
참고
Azure 리소스에 대한 관리 ID는 이전에 MSI(관리 서비스 ID)로 알려진 서비스에 대한 새 이름입니다.
다음 Azure CLI 명령을 사용하여 시스템이 할당한 관리 ID가 있는 리소스 목록을 찾을 수 있습니다.
az resource list --query "[?identity.type=='SystemAssigned'].{Name:name, principalId:identity.principalId}" --output table
Microsoft.Compute/virtualMachines/write
가 필요합니다. 이 작업은 Virtual Machine 기여자와 같은 리소스별 기본 제공 역할에 포함됩니다.Microsoft.Compute/virtualMachines/write
가 필요합니다. 또한 사용자 할당 ID에 대해 Microsoft.ManagedIdentity/userAssignedIdentities/*/assign/action
작업이 필요합니다. 이 작업은 관리 ID 연산자 기본 제공 역할에 포함되어 있습니다.Azure Policy를 이용하여 사용자 측에서 사용자가 할당한 관리 ID를 만들지 못하게 할 수 있습니다.
Azure Portal에 로그인하고 정책으로 이동합니다.
정의를 선택합니다.
+ 정책 정의를 선택하고 필요한 정보를 입력합니다.
정책 규칙 섹션에 다음을 붙여넣습니다.
{
"mode": "All",
"policyRule": {
"if": {
"field": "type",
"equals": "Microsoft.ManagedIdentity/userAssignedIdentities"
},
"then": {
"effect": "deny"
}
},
"parameters": {}
}
정책을 만든 후 사용하려는 리소스 그룹에 할당합니다.
이 시점에서는 리소스 그룹에 사용자가 할당한 관리 ID를 만들 수 없습니다.
아니요, 디렉터리에서 관리 ID와 Microsoft Entra 앱 등록은 동일한 항목이 아닙니다.
앱 등록은 애플리케이션 개체 및 서비스 주체의 두 가지 구성 요소로 이루어집니다. Azure 리소스의 관리 ID에는 구성 요소 중 하나인 서비스 주체 개체만 있습니다.
관리 ID는 일반적으로 MS Graph의 앱 권한을 부여하는 데 사용되는 애플리케이션 개체가 디렉터리에 없습니다. 대신 관리 ID의 MS 그래프 권한을 직접 서비스 주체에게 부여해야 합니다.
참고
관리 ID 인증 방법은 예고 없이 변경될 수 있는 내부 구현 세부 정보입니다.
관리 ID는 인증서 기반 인증을 사용합니다. 각 관리 ID 자격 증명은 90일 후에 만료되며 45일 후에 롤업됩니다.
어떤 이유로든 다른 사용자가 할당한 관리 ID가 리소스에 할당되면 IMDS에 대한 요청이 오류
Multiple user assigned identities exist, please specify the clientId / resourceId of the identity in the token request
와 함께 실패하기 시작합니다. 현재 리소스에 대해 할당된 관리 ID가 하나만 있는 경우에도 요청에 ID를 명시적으로 지정하는 것이 좋습니다.
간단히 말하자면 그렇습니다. 둘 이상의 Azure 지역에서 사용자가 할당한 관리 ID를 사용할 수 있습니다. 자세히 말하면, 사용자가 할당한 관리 ID는 지역 리소스로 만들지만 Microsoft Entra ID에서 만든 연결된 SP(서비스 주체)는 전역적으로 사용할 수 있습니다. 모든 Azure 지역에서 서비스 주체를 사용할 수 있으며 해당 가용성은 Microsoft Entra ID의 가용성에 따라 달라집니다. 예를 들어, 사용자가 할당한 관리 ID를 중남부 지역에서 만들었고 해당 지역을 사용할 수 없게 되면 관련 문제는 관리 ID 자체의 컨트롤 플레인 활동에만 영향을 줍니다. 관리 ID를 사용하도록 이미 구성된 리소스에서 수행하는 활동은 영향을 받지 않습니다.
현재 Azure 리소스에 대한 관리 ID는 Azure Cloud Services(클래식)를 지원하지 않습니다. "
ID의 보안 경계는 ID가 연결된 리소스입니다. 예를 들어, Azure 리소스에 대한 관리 ID를 갖는 가상 머신의 보안 경계는 바로 가상 머신입니다. 해당 VM에서 실행되는 모든 코드는 관리 ID 엔드포인트를 호출하고 토큰을 요청할 수 있습니다. 이 환경은 관리 ID를 지원하는 다른 리소스로 작업할 때와 유사한 환경입니다.
아니요, 구독을 다른 디렉터리로 이동하면 관리 ID를 수동으로 다시 만들고 다시 Azure 역할 할당을 부여해야 합니다.
아니요, 관리 ID는 현재 디렉터리 간 시나리오를 지원하지 않습니다.
관리 ID 한도는 Azure 서비스 한도, Azure Instance Metadata Service(IMDS) 한도 및 Microsoft Entra ID 서비스 한도에 따라 달라집니다.
사용자 할당 관리 ID를 다른 리소스 그룹으로 이동하는 것은 지원되지 않습니다.
관리 ID 토큰은 성능 및 복원력을 위해 기본 Azure 인프라에 의해 캐시됩니다. 관리 ID에 대한 백 엔드 서비스는 약 24시간 동안 리소스 URI당 캐시를 유지 관리합니다. 예를 들어 관리 ID의 권한에 대한 변경 내용이 적용되는 데 몇 시간이 걸릴 수 있습니다. 현재는 관리 ID의 토큰이 만료되기 전에 강제로 새로 고칠 수 없습니다. 자세한 내용은 권한 부여에 관리 ID 사용 제한을 참조하세요.
예, 관리 ID는 30일 동안 일시 삭제됩니다. 일시 삭제된 관리 ID 서비스 주체를 볼 수 있지만 복원하거나 영구적으로 삭제할 수는 없습니다.
관리 ID가 삭제되면 이전에 해당 ID와 연결된 Azure 리소스는 더 이상 해당 ID에 대한 새 토큰을 요청할 수 없습니다. ID가 삭제되기 전에 발급된 토큰은 원래 만료될 때까지 계속 유효합니다. 일부 대상 엔드포인트의 권한 부여 시스템은 ID에 대한 디렉터리에서 다른 검사를 수행할 수 있습니다. 이 경우 개체를 찾을 수 없어 요청이 실패합니다. 그러나 Azure RBAC와 같은 일부 시스템은 만료될 때까지 해당 토큰의 요청을 계속 수락합니다.
학습
인증
Microsoft Certified: Identity and Access Administrator Associate - Certifications
ID 솔루션을 현대화하고, 하이브리드 솔루션을 구현하고, ID 거버넌스를 구현하는 Microsoft Entra ID의 기능을 시연합니다.
설명서
관리 ID의 알려진 문제 - Managed identities for Azure resources
Azure 리소스에 대한 관리 ID 관련 알려진 문제
사용자 할당 관리 ID 관리 - Managed identities for Azure resources
사용자가 할당한 관리 ID 만들기
Azure 리소스에 대한 관리 ID가 Azure 가상 머신과 함께 작동하는 방법 - Managed identities for Azure resources
Azure 가상 머신을 사용하는 Azure 리소스에 대한 관리 ID의 설명.