다음을 통해 공유

Microsoft Entra ID를 사용하여 Azure App Configuration에 대한 액세스 권한 부여하기

  • 아티클

HMAC(해시 기반 메시지 인증 코드)를 사용하는 것 외에도 Azure App Configuration 지원은 Microsoft Entra ID를 사용하여 App Configuration 인스턴스 요청에 권한을 부여할 수 있습니다. Microsoft Entra ID에서는 Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하여 보안 주체에 권한을 부여할 수 있습니다. 보안 주체는 사용자, 관리 ID 또는 애플리케이션 서비스 주체일 수 있습니다. 역할 및 역할 할당에 대한 자세한 내용은 다양한 역할 이해를 참조하세요.

개요

App Configuration 리소스에 액세스하기 위한 보안 주체의 요청에는 권한이 부여되어야 합니다. Microsoft Entra ID를 사용하면 리소스에 대한 액세스가 2단계 프로세스로 이루어집니다.

  1. 보안 주체의 ID가 인증되고 OAuth 2.0 토큰이 반환됩니다. 토큰을 요청하는 리소스 이름은 {tenantID}가 서비스 사용자의 Microsoft Entra 테넌트 ID와 일치하는 https://login.microsoftonline.com/{tenantID}입니다.
  2. 토큰은 지정된 리소스에 대한 액세스 권한을 부여하기 위해 App Configuration 서비스에 요청의 일부로 전달됩니다.

인증 단계를 수행하려면 런타임 시 애플리케이션 요청에 OAuth 2.0 액세스 토큰을 포함해야 합니다. 애플리케이션이 Azure Functions 앱, Azure 웹앱 또는 Azure VM과 같은 Azure 엔터티 내에서 실행되는 경우 관리 ID를 사용하여 리소스에 액세스할 수 있습니다. Azure App Configuration에 대한 관리 ID의 요청을 인증하는 방법에 대한 자세한 내용은 Microsoft Entra ID 및 Azure 리소스 관리 ID를 사용하여 Azure App Configuration 리소스에 대한 액세스 권한 부여를 참조하세요.

권한 부여 단계에서는 보안 주체에 하나 이상의 Azure 역할을 할당해야 합니다. Azure App Configuration은 App Configuration 리소스에 대한 권한 세트를 포함하는 Azure 역할을 제공합니다. 보안 주체에 할당된 역할에 따라 보안 주체에 제공되는 권한이 결정됩니다. Azure 역할에 대한 자세한 내용은 Azure App Configuration에 대한 Azure 기본 제공 역할을 참조하세요.

액세스 권한을 위한 Azure 역할 할당

Microsoft Entra는 Azure RBAC(Azure 역할 기반 액세스 제어)를 통해 보안 리소스에 대한 액세스 권한을 권한 부여합니다.

Azure 역할이 Microsoft Entra 보안 주체에 할당되면 Azure는 해당 보안 주체에 해당 리소스에 대한 액세스 권한을 부여합니다. 액세스 범위는 App Configuration 리소스에 지정됩니다. Microsoft Entra 보안 주체는 사용자, 그룹, 애플리케이션 서비스 주체 또는 Azure 리소스에 대한 관리 ID일 수 있습니다.

Azure App Configuration에 대한 Azure 기본 제공 역할

Azure는 Microsoft Entra ID를 사용하여 App Configuration 데이터에 대한 액세스 권한을 부여하기 위해 다음과 같은 Azure 기본 제공 역할을 제공합니다.

  • App Configuration Data 소유자: 이 역할을 사용하여 App Configuration 데이터에 대한 읽기/쓰기/삭제 액세스 권한을 부여합니다. 이 역할은 App Configuration 리소스에 대한 액세스 권한을 부여하지 않습니다.
  • App Configuration Data 읽기 권한자: 이 역할을 사용하여 App Configuration 데이터에 대한 읽기 권한을 부여합니다. 이 역할은 App Configuration 리소스에 대한 액세스 권한을 부여하지 않습니다.
  • 참가자 또는 소유자: 이 역할을 사용하여 App Configuration 리소스를 관리합니다. 리소스의 액세스 키에 대한 액세스 권한을 부여합니다. 액세스 키를 사용하여 App Configuration 데이터에 액세스할 수 있지만 이 역할은 Microsoft Entra ID를 사용하여 데이터에 직접 액세스하는 것을 허용하지 않습니다. 배포하는 동안 ARM 템플릿, Bicep 또는 Terraform을 통해 App Configuration 데이터에 액세스하는 경우 이 역할이 필요합니다. 자세한 내용은 배포를 참조하세요.
  • 읽기 권한자: 이 역할을 사용하여 App Configuration 리소스에 대한 읽기 권한을 부여합니다. 이 역할은 리소스의 액세스 키와 App Configuration에 저장된 데이터에 대한 액세스 권한은 부여하지 않습니다.

참고 항목

ID에 역할이 할당되면 이 ID를 사용하여 App Configuration에 저장된 데이터에 액세스하기 전 권한이 전파되는 데 최대 15분이 걸릴 수 있습니다.

다음 단계

관리 ID를 사용하여 App Configuration 서비스를 관리하는 방법에 대해 자세히 알아보세요.