Azure App Configuration 인스턴스에 대한 액세스 키 인증 관리

Azure App Configuration 리소스에 대한 모든 요청은 인증되어야 합니다. 기본적으로 요청은 Microsoft Entra 자격 증명 또는 액세스 키를 사용하여 인증할 수 있습니다. 이 두 가지 유형의 인증 체계 중에서 Microsoft Entra ID는 액세스 키에 대해 우수한 보안과 사용 편의성을 제공하며 Microsoft에서 권장합니다. 클라이언트가 Microsoft Entra ID를 사용하여 요청을 인증하도록 요구하려면 Azure App Configuration 리소스에 대한 액세스 키 사용을 사용하지 않도록 설정할 수 있습니다. 액세스 키를 사용하여 요청을 인증하려는 경우 보안을 강화하기 위해 주기적으로 액세스 키를 회전하는 것이 좋습니다. 자세한 내용은 애플리케이션 비밀을 보호하기 위한 권장 사항을 참조하세요.

액세스 키 인증 사용

액세스 키는 기본적으로 사용하도록 설정되어 있으며 코드의 액세스 키를 사용하여 요청을 인증할 수 있습니다.

Azure Portal

Azure Portal Azure App Configuration 리소스에 대한 액세스 키 인증을 허용하려면 다음 단계를 수행합니다.

1. Azure Portal에서 Azure 앱 구성 리소스로 이동합니다.

2. 설정에서 액세스 키 설정을 찾습니다.

   

3. 액세스 키 사용하도록 설정 토글을 사용으로 설정합니다.

   

Azure CLI

Azure App Configuration 리소스에 대한 액세스 키를 사용하도록 설정하려면 다음 명령을 사용합니다. --disable-local-auth 옵션이 false로 설정되어 액세스 키 기반 인증이 사용하도록 설정됩니다.

az appconfig update \
    --name <app-configuration-name> \
    --resource-group <resource-group> \
    --disable-local-auth false

액세스 키 인증이 사용하도록 설정되어 있는지 확인

액세스 키 인증이 사용하도록 설정되어 있는지 확인하려면 읽기 전용 및 읽기-쓰기 액세스 키 목록을 가져올 수 있는지 확인합니다. 이 목록은 액세스 키 인증이 사용하도록 설정된 경우에만 존재합니다.

Azure Portal

Azure Portal에서 Azure App Configuration 리소스에 대해 액세스 키 인증이 사용하도록 설정되어 있는지 확인하려면 다음 단계를 따릅니다.

1. Azure Portal에서 Azure 앱 구성 리소스로 이동합니다.

2. 설정에서 액세스 키 설정을 찾습니다.

   

3. 표시된 액세스 키가 있는지, 그리고 액세스 키 사용 전환 상태가 사용하도록 설정되어 있는지 확인합니다.

   

Azure CLI

Azure App Configuration 리소스에 대해 액세스 키 인증이 사용하도록 설정되어 있는지 확인하려면 다음 명령을 사용합니다. 이 명령은 Azure App Configuration 리소스에 대한 액세스 키를 나열합니다. 액세스 키 인증이 사용하도록 설정되면 읽기 전용 액세스 키와 읽기-쓰기 액세스 키가 반환됩니다.

az appconfig credential list \
    --name <app-configuration-name> \
    --resource-group <resource-group>

액세스 키 인증 사용 안 함

액세스 키 인증을 사용하지 않도록 하면 모든 액세스 키가 삭제됩니다. 실행 중인 애플리케이션이 인증에 액세스 키를 사용하는 경우 액세스 키 인증을 사용하지 않도록 설정하면 실패하기 시작합니다. Microsoft Entra ID를 사용하여 인증된 요청만 성공합니다. Microsoft Entra ID 사용에 대한 자세한 내용은 Microsoft Entra ID를 사용하여 Azure App Configuration에 대한 액세스 권한 부여를 참조하세요. 액세스 키 인증을 다시 사용하도록 설정하면 새 액세스 키 집합이 생성되고 이전 액세스 키를 사용하려는 모든 애플리케이션이 계속 실패합니다.

Warning

클라이언트가 현재 액세스 키를 사용하여 Azure App Configuration 리소스의 데이터에 액세스하는 경우 액세스 키 인증을 사용하지 않도록 설정하기 전에 해당 클라이언트를 Microsoft Entra ID로 마이그레이션하는 것이 좋습니다.

Azure Portal

Azure Portal Azure App Configuration 리소스에 대한 액세스 키 인증을 허용되지 않는 경우 다음 단계를 수행합니다.

1. Azure Portal에서 Azure 앱 구성 리소스로 이동합니다.

2. 설정에서 액세스 키 설정을 찾습니다.

   

3. 액세스 키 사용 토글을 사용 안함으로 설정합니다.

   

Azure CLI

Azure App Configuration 리소스에 대한 액세스 키를 사용하지 않도록 설정하려면 다음 명령을 사용합니다. --disable-local-auth 옵션이 true로 설정되어 액세스 키 기반 인증이 사용하지 않도록 설정됩니다.

az appconfig update \
    --name <app-configuration-name> \
    --resource-group <resource-group> \
    --disable-local-auth true

액세스 키 인증을 사용할 수 없는지 확인

액세스 키 인증이 더 이상 허용되지 않는지 확인하기 위해 Azure 앱 구성 리소스에 대한 액세스 키를 나열하는 요청을 수행할 수 있습니다. 액세스 키 인증을 사용하지 않도록 설정한 경우에는 액세스 키가 없으며 목록 작업에서 빈 목록이 반환됩니다.

Azure Portal

Azure Portal에서 Azure 앱 구성 리소스에 대한 액세스 키 인증을 사용하지 않도록 설정되었는지 확인하려면 다음 단계를 수행합니다.

1. Azure Portal에서 Azure 앱 구성 리소스로 이동합니다.

2. 설정에서 액세스 키 설정을 찾습니다.

   

3. 표시된 액세스 키가 없고 액세스 키 사용의 전환 상태가 꺼져 있는지 확인합니다.

   

Azure CLI

Azure App Configuration 리소스에 대해 액세스 키 인증이 사용하지 않도록 설정되어 있는지 확인하려면 다음 명령을 사용합니다. 이 명령은 Azure 앱 구성 리소스에 대한 액세스 키를 나열하고, 액세스 키 인증을 사용하지 않도록 설정된 경우 목록이 비어 있게 됩니다.

az appconfig credential list \
    --name <app-configuration-name> \
    --resource-group <resource-group>

액세스 키 인증을 허용하거나 허용하지 않는 권한

Azure 앱 구성 리소스에 대한 액세스 키 인증의 상태를 수정하려면 사용자에게 Azure 앱 구성 리소스를 만들고 관리할 수 있는 권한이 있어야 합니다. 이러한 권한을 제공하는 Azure RBAC(Azure 역할 기반 액세스 제어) 역할에는 Microsoft.AppConfiguration/configurationStores/write 또는 Microsoft.AppConfiguration/configurationStores/* 작업이 포함됩니다. 이 작업이 포함된 기본 제공 역할은 다음과 같습니다.

• Azure Resource Manager Owner 역할
• Azure Resource Manager 기여자 역할

이러한 역할은 Microsoft Entra ID를 통해 Azure App Configuration 리소스의 데이터에 대한 액세스를 제공하지 않습니다. 그러나 여기에는 리소스의 액세스 키에 대한 액세스 권한을 부여하는 Microsoft.AppConfiguration/configurationStores/listKeys/action 작업 권한이 포함됩니다. 이 권한이 있는 사용자는 액세스 키를 사용하여 리소스의 모든 데이터에 액세스할 수 있습니다.

사용자가 리소스에 대한 액세스 키 인증을 허용하거나 허용하지 않도록 허용하려면 역할 할당의 범위를 Azure 앱 구성 리소스 수준 이상으로 지정해야 합니다. 역할 범위에 대한 자세한 내용은 Azure RBAC의 범위 이해를 참조하세요.

이러한 역할은 App Configuration 리소스를 만들거나 해당 속성을 업데이트하는 기능이 필요한 사용자에게만 제한적으로 할당해야 합니다. 최소 권한의 원칙을 사용하여 사용자에게 작업을 수행하는 데 필요한 최소 권한을 부여합니다. Azure RBAC를 사용하여 액세스를 관리하는 방법에 대한 자세한 내용은 Azure RBAC 모범 사례를 참조하세요.

참고 항목

클래식 구독 관리자 역할인 서비스 관리자 및 공동 관리자에는 Azure Resource Manager 소유자 역할에 해당하는 항목이 포함됩니다. 소유자 역할은 모든 작업을 포함하므로 이러한 관리 역할 중 하나가 있는 사용자는 App Configuration 리소스를 만들고 관리할 수도 있습니다. 자세한 내용은 Azure 역할, Microsoft Entra 역할 및 클래식 구독 관리자 역할을 참조하세요.

참고 항목

App Configuration 저장소의 액세스 키 인증을 사용하지 않도록 설정되고 ARM 인증 모드 로컬인 경우 ARM 템플릿 키-값을 읽고 쓰는 기능도 사용하지 않도록 설정됩니다. ARM 템플릿에 사용되는 Microsoft.AppConfiguration/configurationStores/keyValues 리소스에 액세스하려면 로컬 ARM 인증 모드로 액세스 키 인증이 필요하기 때문입니다. 통과 ARM 인증 모드를 사용하는 것이 좋습니다. 자세한 내용은 배포 개요를 참조하세요.

액세스 키 회전

Microsoft에서는 유출된 비밀로 인한 공격 벡터 위험을 완화하기 위해 액세스 키를 주기적으로 회전하는 것이 좋습니다. 각 Azure App Configuration 리소스에는 원활한 비밀 회전을 용이하게 하기 위해 기본 키와 보조 키로 지정된 두 개의 읽기 전용 액세스 키와 두 개의 읽기-쓰기 액세스 키가 포함되어 있습니다. 이 설정을 사용하면 가동 중지 시간을 발생시키지 않고도 애플리케이션에서 액세스 키를 번갈아 사용할 수 있습니다.

다음 절차를 사용하여 키를 회전할 수 있습니다.

1. 프로덕션에서 두 키를 모두 사용하는 경우 하나의 액세스 키만 사용되도록 코드를 변경합니다. 이 예에서는 저장소의 기본 키를 계속 사용하기로 결정했다고 가정해 보겠습니다. 보조 키를 다시 생성하면 해당 키의 이전 버전이 즉시 작동을 멈추고 이전 키를 사용하는 클라이언트에 401 액세스 거부 오류가 발생하므로 코드에는 키가 하나만 있어야 합니다.

2. 기본 키가 유일한 키로 사용되면 보조 키를 다시 생성할 수 있습니다.

   Azure Portal

   Azure Portal의 리소스 페이지로 이동하여 설정>액세스 설정 메뉴를 열고 보조 키에서 다시 생성을 선택합니다.

   

   Azure CLI

   App Configuration 저장소에 대한 액세스 키를 다시 생성하려면 다음 명령을 사용합니다.

   az appconfig credential regenerate  \
       --name <app-configuration-name> \
       --resource-group <resource-group> \
       --id <key-to-be-regenerated>
   

3. 다음으로, 새로 생성된 보조 키를 사용하도록 코드를 업데이트합니다. 다음 단계로 진행하기 전에 애플리케이션 로그를 검토하여 모든 애플리케이션 인스턴스가 기본 키에서 보조 키로 전환되었는지 확인하는 것이 좋습니다.

4. 마지막으로, 기본 키를 다시 생성하여 무효화할 수 있습니다. 다음에는 동일한 프로세스를 사용하여 보조 키와 기본 키 간에 액세스 키를 번갈아 사용할 수 있습니다.

다음 단계

• 고객 관리 키를 사용하여 앱 구성 데이터 암호화
• Azure App Configuration의 프라이빗 엔드포인트 사용