Azure Backup에서 Resource Guard를 사용하여 다중 사용자 권한 부여 구성

이 문서에서는 Azure Backup에 대한 MUA(다중 사용자 권한 부여)를 구성하여 추가 보호 계층을 Recovery Services 자격 증명 모음의 중요한 작업에 추가하는 방법을 설명합니다.

이 문서에서는 다른 테넌트에서 최대 보호를 제공하는 리소스 가드를 만드는 방법을 보여줍니다. 또한 리소스 가드가 있는 테넌트에서 Microsoft Entra Privileged Identity Management를 사용하여 중요 작업을 수행하기 위한 요청 및 요청 승인 방법을 보여줍니다. 선택적으로 다른 메커니즘을 사용하여 설정에 따라 Resource Guard에 대한 JIT 권한을 관리할 수 있습니다.

참고 항목

• Azure Backup에 대한 다중 사용자 권한 부여는 모든 공용 Azure 지역에서 사용할 수 있습니다.
• 이제 백업 자격 증명 모음에 리소스 가드를 사용한 다중 사용자 권한 부여가 일반 공급됩니다. 자세히 알아보기.

시작하기 전에

• Resource Guard 및 Recovery Services 자격 증명 모음이 동일한 Azure 지역에 있는지 확인합니다.
• 백업 관리자에게 Resource Guard에 대한 기여자 권한이 없도록 합니다. 최대 격리를 보장하기 위해 동일한 디렉터리의 다른 구독 또는 다른 디렉터리에 Resource Guard를 둘 수 있습니다.
• Recovery Services 자격 증명 모음과 Resource Guard(다른 구독 또는 테넌트에 있음)가 포함된 구독이 Microsoft.RecoveryServices 및 Microsoft.DataProtection 공급자를 사용하도록 등록되어 있는지 확인합니다. 자세한 내용은 Azure 리소스 공급자 및 형식을 참조하세요.

다양한 MUA 사용 시나리오에 대해 알아봅니다.

Resource Guard 만들기

보안 관리자는 Resource Guard를 만듭니다. 자격 증명 모음으로 다른 구독 또는 다른 테넌트에서 만드는 것이 좋습니다. 그러나 자격 증명 모음과 동일한 지역에 있어야 합니다. 백업 관리자는 Resource Guard 또는 Resource Guard가 포함된 구독에 대한 기여자 액세스 권한이 없습니다.

클라이언트 선택

Azure Portal

자격 증명 모음 테넌트와 다른 테넌트에서 리소스 가드를 만들려면 다음 단계를 수행합니다.

1. Azure Portal에서 리소스 가드를 만들려는 디렉터리로 이동합니다.

   

2. 검색 창에서 리소스 가드를 검색하고 드롭다운 목록에서 해당하는 항목을 선택합니다.

   

   • 만들기를 선택하여 리소스 가드 만들기를 시작합니다.
   • 블레이드 만들기에서 이 Resource Guard에 필요한 세부 정보를 입력합니다.
     • Resource Guard가 Recovery Services 자격 증명 모음과 동일한 Azure 지역에 있는지 확인합니다.
     • 또한 필요할 때 연결된 자격 증명 모음에서 작업을 수행하기 위해 액세스 권한을 얻거나 요청하는 방법에 대한 설명을 추가하는 것이 좋습니다. 이 설명은 백업 관리자가 필요한 권한을 얻는 데 도움이 되도록 연결된 자격 증명 모음에도 표시됩니다. 필요한 경우 나중에 설명을 편집할 수 있지만 항상 잘 정의된 설명을 갖는 것이 좋습니다.

3. 보호된 작업 탭에서 이 Resource Guard를 사용하여 보호해야 하는 작업을 선택합니다.

   리소스 가드를 만든 후 보호할 작업을 선택할 수도 있습니다.

4. 선택적으로 요구 사항에 따라 Resource Guard에 태그를 추가합니다.

5. 검토 + 만들기를 선택하고 리소스 가드의 상태 및 성공적인 만들기에 대한 알림을 따릅니다.

PowerShell

리소스 가드를 만들려면 다음 cmdlet을 실행합니다.

New-AzDataProtectionResourceGuard -Location “Location” -Name “ResourceGuardName” -ResourceGroupName “rgName”

CLI

리소스 가드를 만들려면 다음 명령을 실행합니다.

az dataprotection resource-guard create --location "Location" --tags key1="val1" --resource-group "RgName" --resource-guard-name "ResourceGuardName"

Resource Guard를 사용하여 보호할 작업 선택

지원되는 모든 중요 작업 중에서 Resource Guard를 사용하여 보호할 작업을 선택합니다. 기본적으로 지원되는 모든 중요 작업이 사용하도록 설정됩니다. 그러나 보안 관리자는 리소스 가드를 사용하여 MUA의 범위에 속하는 특정 작업을 면제할 수 있습니다.

클라이언트 선택

Azure Portal

작업을 면제하려면 다음 단계를 수행합니다.

1. 위에서 만든 리소스 가드에서 속성>Recovery Services 자격 증명 모음 탭으로 이동합니다.

2. 리소스 가드를 사용하여 권한이 부여되지 않도록 제외하려는 작업에 대해 사용 안 함을 선택합니다.

   참고 항목

   보호된 작업을 사용하지 않도록 설정할 수 없습니다. 즉 일시 삭제 사용 안 함 및 MUA 보호 제거를 사용하지 않도록 설정할 수 없습니다.

3. 선택적으로 이 블레이드를 사용하여 Resource Guard에 대한 설명을 업데이트할 수도 있습니다.

4. 저장을 선택합니다.

   

PowerShell

리소스 가드로 보호에서 제외 작업을 업데이트하려면 다음 cmdlet을 실행합니다.

$resourceGuard = Get-AzDataProtectionResourceGuard -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxx" -ResourceGroupName "rgName" -Name "resGuardName"
$criticalOperations = $resourceGuard.ResourceGuardOperation.VaultCriticalOperation
$operationsToBeExcluded = $criticalOperations | Where-Object { $_ -match "backupSecurityPIN/action" -or $_ -match "backupInstances/delete" }


Update-AzDataProtectionResourceGuard -SubscriptionId "xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxx" -ResourceGroupName "rgName" -Name $resourceGuard.Name -CriticalOperationExclusionList $operationsToBeExcluded

• 첫 번째 명령은 업데이트해야 하는 리소스 가드를 가져옵니다.
• 두 번째 명령과 세 번째 명령은 업데이트하려는 중요한 작업을 가져옵니다.
• 네 번째 명령은 몇 가지 중요한 작업을 리소스 가드에서 제외합니다.

CLI

리소스 가드로 보호되지 않도록 제외할 작업을 업데이트하려면 다음 명령을 실행합니다.

az dataprotection resource-guard update --name
                                       --resource-group
                                       [--critical-operation-exclusion-list {deleteProtection, getSecurityPIN, updatePolicy, updateProtection}]
                                       [--resource-type {Microsoft.RecoveryServices/vaults}]
                                       [--tags]
                                       [--type]

예제:

az dataprotection resource-guard update --resource-group "RgName" --resource-guard-name "ResourceGuardName" --resource-type "Microsoft.RecoveryServices/vaults" --critical-operation-exclusion-list deleteProtection getSecurityPIN updatePolicy   

Resource Guard에서 백업 관리자에게 권한을 할당하여 MUA를 사용하도록 설정합니다.

Vault에서 MUA를 사용하도록 설정하려면 Vault 관리자에게 Resource Guard 또는 Resource Guard가 포함된 구독에 대한 읽기 권한자 역할이 있어야 합니다. Resource Guard에 대한 읽기 권한자 역할을 할당하려면:

1. 위에서 만든 리소스 가드에서 액세스 제어(IAM) 블레이드로 이동한 다음, 역할 할당 추가로 이동합니다.

   

2. 기본 제공 역할 목록에서 읽기 권한자를 선택하고 다음을 선택합니다.

   

3. 멤버 선택을 클릭하고 백업 관리자 이메일 ID를 추가하여 읽기 권한자로 추가합니다. 이 경우 백업 관리자는 다른 테넌트에 있으므로 리소스 가드가 포함된 테넌트에 게스트로 추가됩니다.

4. 선택을 클릭한 다음 검토 + 할당을 진행하여 역할 할당을 완료합니다.

   

Recovery Services 자격 증명 모음에서 MUA 사용

리소스 가드에 대한 reader 역할 할당이 완료되면 본인이 관리하는 자격 증명 모음에서 다중 사용자 권한 부여를 사용하도록 설정합니다(백업 관리자로).

클라이언트 선택

Azure Portal

자격 증명 모음에서 MUA를 사용하도록 설정하려면 다음 단계를 수행합니다.

1. Recovery Services 자격 증명 모음으로 이동합니다. 왼쪽 탐색 패널의 속성으로 이동한 다음 다중 사용자 권한 부여으로 이동하고 업데이트를 선택합니다.

   

2. 이제 MUA를 사용하도록 설정하고 다음 방법 중 하나를 사용하여 리소스 가드를 선택하는 옵션이 제공됩니다.

   • Resource Guard의 URI를 지정하거나 읽기 권한자 액세스 권한이 있고 자격 증명 모음과 동일한 지역인 Resource Guard의 URI를 지정해야 합니다. 개요 화면에서 Resource Guard의 URI(Resource Guard ID)를 찾을 수 있습니다.

     

   • 또는 읽기 권한자 액세스 권한이 있는 Resource Guard 목록과 해당 지역에서 사용할 수 있는 Resource Guard를 선택할 수 있습니다.

     1. Resource Guard 선택을 클릭합니다.
     2. 드롭다운 목록을 선택한 다음 리소스 가드가 있는 디렉터리를 선택합니다.
     3. 인증을 선택하여 ID와 액세스 권한의 유효성을 검사합니다.
     4. 인증 후 표시된 목록에서 Resource Guard를 선택합니다.

     

3. 모두 마쳤으면 저장을 선택하여 MUA를 사용하도록 설정합니다.

   

PowerShell

Recovery Services 자격 증명 모음에서 MUA를 사용하도록 설정하려면 다음 cmdlet을 실행합니다.

$token = (Get-AzAccessToken -TenantId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx").Token
Set-AzRecoveryServicesResourceGuardMapping -VaultId “VaultArmId” -ResourceGuardId "ResourceGuardArmId" -Token $token

• 첫 번째 명령은 리소스 가드가 있는 리소스 가드 테넌트의 액세스 토큰을 가져옵니다.
• 두 번째 명령은 RSVault $vault와 리소스 가드 간에 매핑을 만듭니다.

참고 항목

토큰 매개 변수는 선택 사항이며 테넌트 간 보호된 작업을 인증하는 데만 필요합니다.

CLI

Recovery Services 자격 증명 모음에서 MUA를 사용하도록 설정하려면 다음 명령을 실행합니다.

az backup vault resource-guard-mapping update --resource-guard-id
                                             [--ids]
                                             [--name]
                                             [--resource-group]
                                             [--tenant-id]

테넌트 ID는 리소스 가드가 다른 테넌트에 있을 때 필요합니다.

예제:

az backup vault resource-guard-mapping update --resource-group RgName --name VaultName --resource-guard-id ResourceGuardId

MUA를 사용하여 보호된 작업

MUA를 사용하도록 설정하면 백업 관리자가 리소스 가드에서 필요한 역할(즉 contributor 역할) 없이 작업을 수행하려고 하는 경우 범위 내 작업이 자격 증명 모음에서 제한됩니다.

참고 항목

MUA를 사용하도록 설정한 후 설정을 테스트하여 보호된 작업이 예상대로 차단되고 MUA가 올바르게 구성되었는지 확인하는 것이 좋습니다.

아래에는 백업 관리자가 보호된 작업을 수행하려고 할 때 발생하는 상황이 나와 있습니다(예: 일시 삭제 사용하지 않도록 설정이 여기에 설명되어 있습니다. 다른 보호 작업에도 비슷한 환경이 있습니다). 다음 단계는 필요한 권한 없이 백업 관리자가 수행합니다.

1. 일시 삭제를 사용하지 않도록 설정하려면 Recovery Services 자격 증명 모음 >속성>보안 설정으로 이동하여 업데이트를 선택합니다. 그러면 보안 설정이 나타납니다.

2. 슬라이더를 사용하여 일시 삭제를 사용하지 않도록 설정합니다. 해당 작업은 보호된 작업이며 리소스 가드에 대한 액세스를 확인해야 한다는 정보가 표시됩니다.

3. Resource Guard가 포함된 디렉터리를 선택하고 자신을 인증합니다. Resource Guard가 자격 증명 모음과 동일한 디렉터리에 있는 경우 이 단계가 필요하지 않을 수 있습니다.

4. 계속해서 저장을 선택합니다. 이 작업을 수행할 수 있는 Resource Guard에 대한 충분한 권한이 없음을 알리는 오류와 함께 요청이 실패합니다.

   

Microsoft Entra Privileged Identity Management를 사용하여 중요한(보호 중인) 작업 승인

다음 섹션에서는 PIM을 사용하여 이러한 요청을 승인하는 방법에 대해 설명합니다. 백업에 대해 중요한 작업을 수행해야 하는 경우가 있으며 MUA를 사용하면 이러한 작업이 올바른 승인이나 권한이 있는 경우에만 수행되도록 할 수 있습니다. 앞에서 설명한 것처럼 백업 관리자는 Resource Guard 범위에 있는 중요한 작업을 수행하기 위해 Resource Guard에 대한 기여자 역할이 있어야 합니다. 이러한 작업을 Just-In-Time에 허용하는 방법 중 하나는 Microsoft Entra Privileged Identity Management를 사용하는 것입니다.

참고 항목

Microsoft Entra PIM을 사용하는 것이 권장되는 액세스 방식이지만 수동 또는 사용자 지정 방법을 사용하여 리소스 가드에서 백업 관리자에 대한 액세스를 관리할 수 있습니다. Resource Guard에 대한 액세스를 수동으로 관리하려면 Resource Guard의 왼쪽 탐색 모음에 있는 액세스 제어(IAM) 설정을 사용하고 백업 관리자에게 기여자 역할을 부여합니다.

백업 관리자에 대한 적합 할당 만들기(Microsoft Entra Privileged Identity Management를 사용하는 경우)

보안 관리자는 PIM을 사용하여 리소스 가드의 contributor로서 백업 관리자에게 적격 할당을 만들 수 있습니다. 이를 통해 백업 관리자는 보호된 작업을 수행해야 할 때 기여자 역할에 대한 요청을 제기할 수 있습니다. 이를 위해 보안 관리자는 다음을 수행합니다.

1. Resource Guard가 포함된 보안 테넌트에서 Privileged Identity Management(Azure Portal의 검색 창에서 검색)로 이동한 다음, Azure 리소스(왼쪽 메뉴의 관리 아래)로 이동합니다.

2. 기여자 역할을 할당할 리소스(Resource Guard 또는 포함하는 구독/RG)를 선택합니다.

   리소스 목록에 해당 리소스가 표시되지 않으면 PIM에서 관리할 포함하는 구독을 추가해야 합니다.

3. 선택한 리소스에서 할당(왼쪽 메뉴의 관리 아래)으로 이동하고 할당 추가로 이동합니다.

   

4. [할당 추가]에서 다음을 수행합니다.

   1. 역할을 기여자로 선택합니다.
   2. 구성원 선택으로 이동하여 백업 관리자의 사용자 이름(또는 이메일 ID)을 추가합니다.
   3. 다음을 선택합니다.

   

5. 다음 화면에서 다음을 수행합니다.

   1. 할당 유형에서 적합을 선택합니다.
   2. 적합한 권한이 유효한 기간을 지정합니다.
   3. 할당을 선택하여 적합한 할당 만들기를 완료합니다.

   

기여자 역할 활성화를 위한 승인자 설정

기본적으로 위의 설정에는 PIM에 구성된 승인자(및 승인 흐름 요구 사항)가 없을 수 있습니다. 승인된 요청만 통과하도록 허용하려면 승인자가 필요한지 확인하려면 보안 관리자가 다음 단계를 수행해야 합니다.

참고 항목

승인자를 구성하지 않으면 모든 요청이 보안 관리자 또는 지정된 승인자의 검토를 거치지 않고 자동으로 승인됩니다. 이에 대한 자세한 내용은 여기에서 확인할 수 있습니다.

1. Microsoft Entra PIM의 왼쪽 탐색 모음에서 Azure 리소스를 선택하고 리소스 가드를 선택합니다.

2. 설정으로 이동한 다음, 기여자 역할로 이동합니다.

   

3. 승인자 설정이 없음으로 표시되거나 잘못된 승인자가 표시되면 편집을 선택하고, 활성화 요청을 검토하고 승인해야 하는 검토자를 기여자 역할에 추가합니다.

4. 활성화 탭에서 활성화하려면 승인 필요를 선택하고, 각 요청을 승인해야 하는 승인자를 추가합니다. MFA 사용하고 티켓 위임 옵션과 같은 다른 보안 옵션을 선택하여 기여자 역할을 활성화할 수도 있습니다. 선택 사항으로, 요구 사항에 따라 할당 및 알림 탭에서 관련 설정을 선택합니다.

   

5. 모두 마쳤으면 업데이트를 선택합니다.

중요한 작업을 수행하기 위해 적합 할당의 활성화를 요청합니다.

보안 관리자가 적합한 할당을 만든 후 백업 관리자는 보호된 작업을 수행할 수 있도록 기여자 역할에 대한 할당을 활성화해야 합니다. 백업 관리자는 역할 할당을 활성화하기 위해 다음 작업을 수행합니다.

1. Microsoft Entra Privileged Identity Management로 이동합니다. 리소스 가드가 다른 디렉터리에 있는 경우 해당 디렉터리로 전환한 다음, Microsoft Entra Privileged Identity Management로 이동합니다.

2. 왼쪽 메뉴에서 내 역할>Azure 리소스로 이동합니다.

3. 백업 관리자는 기여자 역할에 대한 적합 할당을 볼 수 있습니다. 활성화를 선택하여 활성화합니다.

4. 백업 관리자는 포털 알림을 통해 요청이 승인을 위해 전송되었음을 알립니다.

   

중요한 작업을 수행하기 위한 요청 활성화 승인

백업 관리자가 기여자 역할 활성화 요청을 제출하면 보안 관리자가 요청을 검토하고 승인합니다.

1. 보안 테넌트에서 Microsoft Entra Privileged Identity Management로 이동합니다.
2. 요청 승인으로 이동합니다.
3. Azure 리소스에서 기여자로서 활성화를 요청하는 백업 관리자가 제기한 요청을 볼 수 있습니다.
4. 요청을 검토합니다. 요청이 진짜이면 요청을 선택하고 승인을 선택하여 승인합니다.
5. 백업 관리자는 이제 요청이 승인되었음을 이메일(또는 기타 조직 경고 메커니즘)을 통해 알립니다.
6. 승인되면 백업 관리자는 요청된 기간 동안 보호된 작업을 수행할 수 있습니다.

승인 후 보호 작업 수행

Resource Guard에 대한 기여자 역할에 대한 백업 관리자 요청이 승인되면 연결된 자격 증명 모음에서 보호된 작업을 수행할 수 있습니다. Resource Guard가 다른 디렉터리에 있는 경우 백업 관리자는 자신을 인증해야 합니다.

참고 항목

JIT 메커니즘을 사용하여 액세스 권한이 할당된 경우 승인된 기간이 끝나면 기여자 역할이 철회됩니다. 그렇지 않으면 보안 관리자가 백업 관리자에게 할당된 기여자 역할을 수동으로 제거하여 중요한 작업을 수행합니다.

다음 스크린샷에서는 MUA를 사용하는 자격 증명 모음에 일시 삭제를 사용하지 않도록 설정하는 예를 보여줍니다.

Recovery Services 자격 증명 모음에서 MUA 사용 안 함

MUA를 사용하지 않도록 설정하는 것은 보호된 작업이므로 MUA를 사용하여 자격 증명 모음이 보호됩니다. 백업 관리자는 MUA를 사용하지 않도록 설정하려면 리소스에 필요한 contributor 역할이 있어야 합니다.

클라이언트 선택

Azure Portal

자격 증명 모음에서 MUA를 사용하지 않도록 설정하려면 다음 단계를 수행합니다.

1. 백업 관리자는 Resource Guard에 대한 기여자 역할의 보안 관리자를 요청합니다. Microsoft Entra Privileged Identity Management와 같은 JIT 절차 또는 기타 내부 도구 및 절차와 같이 조직에서 승인한 방법을 사용하도록 요청할 수 있습니다.

2. 보안 관리자는 요청을 승인하고(승인될 가치가 있는 경우) 백업 관리자에게 알립니다. 이제 백업 관리자는 Resource Guard에 대한 기여자 역할을 가집니다.

3. 백업 관리자는 자격 증명 모음 >속성>다중 사용자 권한 부여로 이동합니다.

4. 업데이트를 선택합니다.

   1. 리소스 가드로 보호 확인란의 선택을 취소합니다.
   2. Resource Guard가 포함된 디렉터리를 선택하고 인증 단추(해당되는 경우)를 사용하여 액세스를 확인합니다.
   3. 인증 후, 저장을 선택합니다. 올바른 액세스 권한으로 요청이 성공적으로 완료되어야 합니다.

   

PowerShell

Recovery Services 자격 증명 모음에서 MUA를 사용하지 않도록 설정하려면 다음 cmdlet을 사용합니다.

$token = (Get-AzAccessToken -TenantId "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx").Token
Remove-AzRecoveryServicesResourceGuardMapping -VaultId “VaultArmId”  -Token $token

• 첫 번째 명령은 리소스 가드가 있는 리소스 가드 테넌트의 액세스 토큰을 가져옵니다.
• 두 번째 명령은 Recovery Services 자격 증명 모음과 리소스 가드 간의 매핑을 삭제합니다.

참고 항목

토큰 매개 변수는 선택 사항이며 테넌트 간 보호된 작업을 인증하는 데만 필요합니다.

CLI

Recovery Services 자격 증명 모음에서 MUA를 사용하지 않도록 설정하려면 다음 명령을 실행합니다.

az backup vault resource-guard-mapping delete [--ids]
                                             [--name]
                                             [--resource-group]
                                             [--tenant-id]
                                             [--yes]

테넌트 ID는 리소스 가드가 다른 테넌트에 있을 때 필요합니다.

예제:

az backup vault resource-guard-mapping delete --resource-group RgName --name VaultName

이 문서에서는 Azure Backup에 대한 MUA(다중 사용자 권한 부여)를 구성하여 Backup 자격 증명 모음의 중요한 작업에 보호 계층을 추가하는 방법을 설명합니다.

이 문서에서는 다른 테넌트에서 최대 보호를 제공하는 리소스 가드를 만드는 방법을 보여줍니다. 또한 리소스 가드가 있는 테넌트에서 Microsoft Entra Privileged Identity Management를 사용하여 중요 작업을 수행하기 위한 요청 및 요청 승인 방법을 보여줍니다. 선택적으로 다른 메커니즘을 사용하여 설정에 따라 Resource Guard에 대한 JIT 권한을 관리할 수 있습니다.

참고 항목

• 이제 백업 자격 증명 모음에 리소스 가드를 사용한 다중 사용자 권한 부여가 일반 공급됩니다.
• Azure Backup에 대한 다중 사용자 권한 부여는 모든 공용 Azure 지역에서 사용할 수 있습니다.

시작하기 전에

• 리소스 가드와 Backup 자격 증명 모음이 동일한 Azure 지역에 있어야 합니다.
• 백업 관리자에게 Resource Guard에 대한 기여자 권한이 없도록 합니다. 최대 격리를 보장하기 위해 동일한 디렉터리의 다른 구독 또는 다른 디렉터리에 Resource Guard를 둘 수 있습니다.
• 구독에 Backup 자격 증명 모음이 있어야 하고 (다른 구독 또는 테넌트에 있는) 리소스 가드가 공급자 Microsoft.DataProtection4를 사용하도록 등록되어야 합니다. 자세한 내용은 Azure 리소스 공급자 및 형식을 참조하세요.

다양한 MUA 사용 시나리오에 대해 알아봅니다.

Resource Guard 만들기

보안 관리자는 Resource Guard를 만듭니다. 자격 증명 모음으로 다른 구독 또는 다른 테넌트에서 만드는 것이 좋습니다. 그러나 자격 증명 모음과 동일한 지역에 있어야 합니다.

백업 관리자는 Resource Guard 또는 Resource Guard가 포함된 구독에 대한 기여자 액세스 권한이 없습니다.

자격 증명 모음 테넌트와 다른 테넌트에서 보안 관리자로서 리소스 가드를 만들려면 다음 단계를 수행합니다.

1. Azure Portal에서 리소스 가드를 만들려는 디렉터리로 이동합니다.

   

2. 검색 창에서 리소스 가드를 검색한 다음 드롭다운 목록에서 해당 항목을 선택합니다.

   

   1. 만들기를 선택하여 리소스 가드를 만듭니다.
   2. [만들기] 블레이드에서 이 리소스 가드에 필요한 세부 정보를 입력합니다.
      • 리소스 가드와 Backup 자격 증명 모음이 동일한 Azure 지역에 있는지 확인합니다.
      • 필요할 때 연결된 자격 증명 모음에서 작업을 수행하기 위한 액세스 권한 요청 방법에 대한 설명을 추가합니다. 이 설명은 백업 관리자가 필요한 권한을 얻는 데 도움이 되도록 연결된 자격 증명 모음에 표시됩니다.

3. 보호된 작업 탭의 Backup 자격 증명 모음 탭에서 이 리소스 가드를 사용하여 보호해야 하는 작업을 선택합니다.

   현재 보호된 작업 탭에는 백업 인스턴스 삭제 옵션만 있습니다.

   리소스 가드를 만든 후 보호할 작업을 선택할 수도 있습니다.

   

4. 선택 사항으로, 요구 사항에 따라 리소스 가드에 태그를 추가합니다.

5. 검토 + 만들기를 선택한 다음, 알림에 따라 상태와 리소스 가드 만들기가 성공하는지 모니터링합니다.

Resource Guard를 사용하여 보호할 작업 선택

자격 증명 모음을 만든 후, 보안 관리자는 지원되는 모든 중요한 작업 중에서 리소스 가드를 사용하여 보호할 작업을 선택할 수도 있습니다. 기본적으로 지원되는 모든 중요 작업이 사용하도록 설정됩니다. 그러나 보안 관리자는 리소스 가드를 사용하여 MUA의 범위에 속하는 특정 작업을 면제할 수 있습니다.

보호할 작업을 선택하려면 다음 단계를 수행합니다.

1. 이전에 만든 리소스 가드에서 속성>Backup 자격증명 모음 탭으로 이동합니다.

2. 권한이 부여되지 않도록 제외하려는 작업에 대해 사용 안 함을 선택합니다.

   MUA 보호 제거 및 일시 삭제 사용 안 함 작업은 사용하지 않도록 설정할 수 없습니다.

3. 선택 사항으로, Backup 자격 증명 모음 탭에서 리소스 가드에 대한 설명을 업데이트합니다.

4. 저장을 선택합니다.

   

Resource Guard에서 백업 관리자에게 권한을 할당하여 MUA를 사용하도록 설정합니다.

백업 관리자는 자격 증명 모음에서 MUA를 사용하도록 설정하려면 리소스 가드 또는 리소스 가드를 포함하고 있는 구독에 대한 reader 역할이 필요합니다. 보안 관리자가 백업 관리자에게 이 역할을 할당해야 합니다.

리소스 가드에 대한 reader 역할을 할당하려면 다음 단계를 수행합니다.

1. 위에서 만든 리소스 가드에서 액세스 제어(IAM) 블레이드로 이동한 다음, 역할 할당 추가로 이동합니다.

   

2. 기본 제공 역할 목록에서 읽기 권한자를 선택하고 다음을 선택합니다.

   

3. 구성원 선택을 클릭하고 백업 관리자의 이메일 ID를 추가하여 reader 역할을 할당합니다.

   백업 관리자는 다른 테넌트에 있으므로 리소스 가드를 포함하고 있는 테넌트에 게스트로 추가됩니다.

4. 선택>검토 + 할당을 클릭하여 역할 할당을 완료합니다.

   

Backup 자격 증명 모음에서 MUA를 사용하도록 설정

이제 백업 관리자에게 리소스 가드에 대한 reader 역할이 있으므로 백업 관리자는 다음 단계에 따라 자신이 관리하는 자격 증명 모음에서 다중 사용자 권한 부여를 사용하도록 설정할 수 있습니다.

1. MUA를 구성하려는 Backup 자격 증명 모음으로 이동합니다.

2. 왼쪽 패널에서 속성을 선택합니다.

3. 다중 사용자 권한 부여로 이동하여 업데이트를 선택합니다.

   

4. MUA를 사용하도록 설정하고 리소스 가드를 선택하려면 다음 작업 중 하나를 수행합니다.

   • 리소스 가드의 URI를 지정할 수도 있습니다. 읽기 권한자 액세스 권한이 있는 리소스 가드의 URI를 지정하고 자격 증명 모음과 동일한 지역에 있는지 확인합니다. 개요 페이지에서 리소스 가드의 URI(리소스 가드 ID)를 찾을 수 있습니다.

     

   • 또는 읽기 권한자 액세스 권한이 있는 Resource Guard 목록과 해당 지역에서 사용할 수 있는 Resource Guard를 선택할 수 있습니다.

     1. 리소스 가드 선택을 클릭합니다.
     2. 드롭다운을 선택하고, 리소스 가드가 있는 디렉터리를 선택합니다.
     3. 인증을 선택하여 ID와 액세스 권한의 유효성을 검사합니다.
     4. 인증 후 표시된 목록에서 Resource Guard를 선택합니다.

     

5. 저장을 선택하여 MUA를 사용하도록 설정합니다.

   

MUA를 사용하여 보호된 작업

백업 관리자가 MUA를 사용하도록 설정하면 범위 내 작업이 자격 증명 모음에서 제한되고, 백업 관리자가 리소스 가드에 대한 contributor 역할 없이 이러한 작업을 수행하려고 하면 작업이 실패합니다.

참고 항목

MUA를 사용하도록 설정한 후에는 설정을 테스트하여 다음 사항을 확인하는 것이 좋습니다.

• 보호된 작업이 예상대로 차단됩니다.
• MUA가 올바르게 구성되었습니다.

보호된 작업(MUA 사용 안 함)을 수행하려면 다음 단계를 수행합니다.

1. 왼쪽 창에서 자격 증명 모음 >속성으로 이동합니다.

2. 확인란을 선택 취소하여 MUA를 사용하지 않도록 설정합니다.

   보호된 작업이므로 리소스 가드 액세스 권한이 필요하다는 알림이 표시됩니다.

3. 리소스 가드가 포함된 디렉터리를 선택하고 직접 인증합니다.

   Resource Guard가 자격 증명 모음과 동일한 디렉터리에 있는 경우 이 단계가 필요하지 않을 수 있습니다.

4. 저장을 선택합니다.

   이 작업을 수행하는 데 필요한 리소스 가드에 대한 권한이 없다는 오류와 함께 요청이 실패합니다.

   

Microsoft Entra Privileged Identity Management를 사용하여 중요한(보호 중인) 작업 승인

백업에서 중요한 작업을 수행해야 하는 경우가 있으며, MUA를 사용하여 올바른 승인 또는 권한을 얻으면 중요한 작업을 수행할 수 있습니다. 다음 섹션에서는 PIM(Privileged Identity Management)을 사용하여 중요한 작업 요청에 권한을 부여하는 방법을 설명합니다.

백업 관리자는 리소스 가드 범위에 있는 중요한 작업을 수행하려면 리소스 가드에 대한 contributor 역할이 필요합니다. JIT(Just-In-Time)작업을 허용하는 방법 중 하나는 Microsoft Entra Privileged Identity Management를 사용하는 것입니다.

참고 항목

Microsoft Entra PIM을 사용하는 것이 좋습니다. 수동 또는 사용자 지정 방법을 사용하여 리소스 가드에 대한 백업 관리자의 액세스 권한을 관리할 수도 있습니다. 리소스 가드에 액세스 권한을 수동으로 관리하려면 리소스 가드의 왼쪽 창에서 액세스 제어(IAM) 설정을 사용하여 백업 관리자에게 contributor 역할을 부여합니다.

Microsoft Entra Privileged Identity Management를 사용하여 백업 관리자를 위한 적격 할당 만들기

보안 관리자는 PIM을 사용하여 리소스 가드의 contributor로서 백업 관리자에게 적격 할당을 만들 수 있습니다. 이를 통해 백업 관리자는 보호된 작업을 수행해야 할 때 기여자 역할에 대한 요청을 제기할 수 있습니다.

적격 할당을 만들려면 다음 단계를 수행합니다.

1. Azure Portal에 로그인합니다.

2. 리소스 가드의 보안 테넌트로 이동한 다음, 검색 창에 Privileged Identity Management를 입력합니다.

3. 왼쪽 창에서 관리를 선택하고 Azure 리소스로 이동합니다.

4. 기여자 역할을 할당할 리소스(Resource Guard 또는 포함하는 구독/RG)를 선택합니다.

   해당하는 리소스를 찾을 수 없으면 포함된 구독 중에서 PIM이 관리하는 구독을 추가합니다.

5. 리소스를 선택하고 관리>할당>할당 추가로 이동합니다.

   

6. [할당 추가]에서 다음을 수행합니다.

   1. 역할을 기여자로 선택합니다.
   2. 구성원 선택으로 이동하여 백업 관리자의 사용자 이름(또는 이메일 ID)을 추가합니다.
   3. 다음을 선택합니다.

   

7. [할당]에서 적격을 선택하고 적격 권한의 유효 기간을 지정합니다.

8. 할당을 선택하여 적격 할당 만들기를 완료합니다.

   

기여자 역할 활성화를 위한 승인자 설정

기본적으로 위의 설정에는 PIM에 구성된 승인자(및 승인 흐름 요구 사항)가 없을 수 있습니다. 승인자가 요청 승인을 위한 contributor 역할을 갖도록 하려면 보안 관리자가 다음 단계를 수행해야 합니다.

참고 항목

승인자 설정을 구성하지 않으면 모든 요청이 보안 관리자 또는 지정된 승인자의 검토를 거치지 않고 자동으로 승인됩니다. 자세히 알아보기.

1. Microsoft Entra PIM의 왼쪽 창에서 Azure 리소스를 선택하고 해당하는 리소스 가드를 선택합니다.

2. 설정>contributor 역할로 이동합니다.

   

3. 승인자가 없음으로 표시되거나 잘못된 승인자가 표시되면 편집을 선택하고, 활성화 요청을 검토하고 승인해야 하는 검토자를 기여자 역할에 추가합니다.

4. 활성화 탭에서 활성화하려면 승인 필요를 선택하고, 각 요청을 승인해야 하는 승인자를 추가합니다.

5. MFA(Multi-Factor Authentication), 필수 티켓과 같은 보안 옵션을 선택하여 기여자 역할을 활성화합니다.

6. 할당 및 알림 탭에서 요구 사항에 따라 적절한 옵션을 선택합니다.

   

7. 업데이트를 선택하여 승인자 설정을 완료하고 기여자 역할을 활성화합니다.

중요한 작업을 수행하기 위해 적합 할당의 활성화를 요청합니다.

보안 관리자가 적격 할당을 만든 후, 백업 관리자는 보호된 작업을 수행할 수 있도록 contributor 역할에 대한 할당을 활성화해야 합니다.

역할 할당을 활성화하려면 다음 단계를 수행합니다.

1. Microsoft Entra Privileged Identity Management로 이동합니다. 리소스 가드가 다른 디렉터리에 있는 경우 해당 디렉터리로 전환한 다음, Microsoft Entra Privileged Identity Management로 이동합니다.

2. 왼쪽 창에서 내 역할>Azure 리소스로 이동합니다.

3. 활성화를 선택하여 contributor 역할의 적격 할당을 활성화합니다.

   승인 요청이 전송되었음을 알리는 알림이 나타납니다.

   

중요한 작업을 수행하기 위한 활성화 요청 승인

백업 관리자가 contributor 역할 활성화 요청을 제출하면 보안 관리자가 요청을 검토하고 승인해야 합니다.

요청을 검토하고 승인하려면 다음 단계를 수행합니다.

1. 보안 테넌트에서 Microsoft Entra Privileged Identity Management로 이동합니다.

2. 요청 승인으로 이동합니다.

3. Azure 리소스에서 승인을 기다리는 요청을 볼 수 있습니다.

   승인을 선택하여 진짜 요청을 검토하고 승인합니다.

승인이 완료되면 백업 관리자는 이메일 또는 기타 내부 알림 옵션을 통해 요청이 승인되었다는 알림을 받게 됩니다. 이제 백업 관리자는 요청된 기간 동안 보호된 작업을 수행할 수 있습니다.

승인 후 보호된 작업 수행

보안 관리자가 리소스 가드에 대한 contributor 역할을 요청하는 백업 관리자의 요청을 승인하면 백업 관리자는 연결된 자격 증명 모음에서 보호된 작업을 수행할 수 있습니다. 리소스 가드가 다른 디렉터리에 있으면 백업 관리자가 직접 인증해야 합니다.

참고 항목

JIT 메커니즘을 사용하여 액세스 권한이 할당된 경우 승인된 기간이 끝나면 기여자 역할이 철회됩니다. 그렇지 않으면 보안 관리자가 백업 관리자에게 할당된 contributor 역할을 수동으로 제거하여 중요한 작업을 수행합니다.

다음 스크린샷에서는 MUA를 사용하는 자격 증명 모음에 일시 삭제를 사용하지 않도록 설정하는 예를 보여줍니다.

Backup 자격 증명 모음에서 MUA를 사용하지 않도록 설정

MUA를 사용하지 않도록 설정하는 것은 백업 관리자만이 수행해야 하는 보호된 작업입니다. MUA를 사용하지 않도록 설정하려면 백업 관리자에게 리소스 가드에서 필요한 contributor 역할이 있어야 합니다. 이 권한을 얻으려면 백업 관리자는 먼저 Microsoft Entra Privileged Identity Management 또는 내부 도구와 같은 JIT(Just-In-Time) 프로시저를 사용하여 보안 관리자에게 리소스 가드에 대한 contributor 역할을 요청해야 합니다.

그러면 보안 관리자는 요청이 진짜이면 요청을 승인하고, 리소스 가드에 대한 contributor 역할이 있는 백업 관리자를 업데이트합니다. 이 역할을 얻는 방법에 대해 자세히 알아보세요.

MUA를 사용하지 않도록 설정하려면 백업 관리자가 다음 단계를 수행해야 합니다.

1. 자격 증명 모음 >속성>다중 사용자 권한 부여로 이동합니다.

2. 업데이트를 선택하고 리소스 가드로 보호 확인란을 선택 취소합니다.

3. 인증을 선택하여(해당하는 경우) 리소스 가드가 있는 디렉터리를 선택하고 액세스 권한을 확인합니다.

4. 저장을 선택하여 MUA를 사용하지 않도록 설정하는 프로세스를 완료합니다.

   

다음 단계

리소스 가드를 사용한 다중 사용자 권한 부여에 대해 자세히 알아보세요.