Azure Managed Applications의 Just-In-Time 액세스 사용 및 요청

  • 아티클

관리형 애플리케이션의 소비자는 관리되는 리소스 그룹에 대한 영구 액세스 권한을 부여하는 것을 꺼릴 수 있습니다. 관리형 애플리케이션의 게시자는 관리되는 리소스에 액세스해야 하는 경우 소비자에게 정확하게 알려 주는 것이 좋습니다. 소비자가 관리되는 리소스에 대한 액세스 권한 부여를 더욱 강력하게 제어할 수 있도록 하기 위해 Azure Managed Applications는 JIT(Just-In-Time) 액세스라는 기능을 제공합니다. JIT 액세스를 사용하면 문제 해결 또는 유지 관리를 위해 관리형 애플리케이션의 리소스에 대한 높은 액세스 권한을 요청할 수 있습니다. 항상 리소스에 대한 읽기 전용 액세스 권한을 가지지만 특정 기간 동안 더 큰 액세스 권한을 가질 수 있습니다.

권한 부여 워크플로는 다음과 같습니다.

  1. 게시자가 Marketplace에 관리형 애플리케이션을 추가하고 JIT 액세스를 사용할 수 있도록 지정합니다.

  2. 배포하는 동안 소비자가 관리형 애플리케이션의 해당 인스턴스에 대한 JIT 액세스를 사용하도록 설정합니다.

  3. 배포 후 소비자가 JIT 액세스에 대한 설정을 변경할 수 있습니다.

  4. 게시자가 관리되는 리소스를 업데이트하거나 관련 문제를 해결해야 하는 경우 액세스 요청을 보냅니다.

  5. 소비자가 게시자의 요청을 승인합니다.

이 문서에서는 게시자가 JIT 액세스를 사용하도록 설정하고 요청을 제출하기 위해 수행하는 작업에 대해 중점적으로 다룹니다. JIT 액세스 요청 승인에 대해 알아보려면 Azure Managed Applications의 Just-In-Time 액세스 승인을 참조하세요.

UI에 JIT 액세스 단계 추가

CreateUiDefinition.json 파일에는 소비자가 JIT 액세스를 사용하도록 설정하는 단계가 포함되어 있습니다. 제품에 대한 JIT 기능을 지원하려면 CreateUiDefinition.json 파일에 다음 콘텐츠를 추가합니다.

"단계":

{
    "name": "jitConfiguration",
    "label": "JIT Configuration",
    "subLabel": {
        "preValidation": "Configure JIT settings for your application",
        "postValidation": "Done"
    },
    "bladeTitle": "JIT Configuration",
    "elements": [
        {
          "name": "jitConfigurationControl",
          "type": "Microsoft.Solutions.JitConfigurator",
          "label": "JIT Configuration"
        }
    ]
}

"출력":

"jitAccessPolicy": "[steps('jitConfiguration').jitConfigurationControl]"

JIT 액세스 사용

파트너 센터에서 제품을 만들 때 JIT 액세스를 사용하도록 설정해야 합니다.

  1. 파트너 센터의 상업용 Marketplace 포털에 로그인합니다.

  2. 새 관리형 애플리케이션을 만드는 방법은 Azure 애플리케이션 제품 만들기의 단계를 따르세요.

  3. 기술 구성 페이지에서 JIT(Just-In-Time) 액세스 사용 확인란을 선택합니다.

    Enable just-in-time access

게시자는 UI에 JIT 구성 단계를 추가하고 상업용 Marketplace 제품에서 JIT 액세스를 사용하도록 설정했습니다. 소비자는 관리형 애플리케이션을 배포할 때 해당 인스턴스에 대한 JIT 액세스를 설정할 수 있습니다.

액세스 요청

소비자의 관리되는 리소스에 액세스해야 하는 경우 특정 역할, 시간 및 기간에 대한 요청을 보냅니다. 그런 다음, 소비자가 요청을 승인해야 합니다.

JIT 액세스 요청을 보내려면 다음을 수행합니다.

  1. 액세스해야 하는 관리형 애플리케이션에 대한 JIT 액세스를 선택합니다.

  2. 적격 역할을 선택하고 작업 열에서 원하는 역할에 활성화를 선택합니다.

    Activate request for access

  3. 역할 활성화 양식에서 역할이 활성화될 시작 시간 및 기간을 선택합니다. 활성화를 선택하여 요청을 보냅니다.

    Activate access

  4. 알림을 보고 새 JIT 요청이 소비자에게 성공적으로 전송되었는지 확인합니다.

    Notification

    이제 소비자가 요청을 승인할 때까지 기다려야 합니다.

  5. 관리형 애플리케이션에 대한 모든 JIT 요청의 상태를 보려면 JIT 액세스요청 기록을 선택합니다.

    View status

알려진 문제

JIT 액세스를 요청하는 계정의 보안 주체 ID는 관리형 애플리케이션 정의에 명시적으로 포함해야 합니다. 계정은 패키지에 지정된 그룹을 통해 포함할 수 없습니다. 이 제한 사항은 향후 릴리스에서 수정될 예정입니다.

다음 단계

JIT 액세스 요청 승인에 대해 알아보려면 Azure Managed Applications의 Just-In-Time 액세스 승인을 참조하세요.