Resource Guard를 사용한 다중 사용자 권한 부여 정보
Azure Backup에 대한 MUA(다중 사용자 권한 부여)를 사용하면 Recovery Services 및 Backup 자격 증명 모음의 중요한 작업에 추가 보호 계층을 추가할 수 있습니다. MUA의 경우 Azure Backup은 Resource Guard라는 다른 Azure 리소스를 사용하여 해당 권한 부여를 통해서만 중요한 작업이 수행되도록 합니다.
참고 항목
이제 백업 자격 증명 모음에 리소스 가드를 사용한 다중 사용자 권한 부여가 일반 공급됩니다.
Backup용 MUA는 어떻게 작동하나요?
Azure Backup은 Resource Guard를 Recovery Services 자격 증명 모음 또는 Backup 자격 증명 모음에 대한 추가 권한 부여 메커니즘으로 사용합니다. 따라서 중요한 작업(아래 설명)을 성공적으로 수행하려면 연결된 Resource Guard에 대한 충분한 권한도 있어야 합니다.
Important
의도한 대로 작동하려면 Resource Guard는 다른 사용자가 소유해야 하며 자격 증명 모음 관리자는 기여자 권한이 없어야 합니다. 더 나은 보호를 제공하기 위해 자격 증명 모음을 포함하는 것과 다른 구독 또는 테넌트에 Resource Guard를 배치할 수 있습니다.
중요한 작업
다음 표는 중요한 작업으로 정의되고 Resource Guard로 보호할 수 있는 작업을 나열합니다. 자격 증명 모음을 연결할 때 Resource Guard를 사용하여 보호되지 않도록 특정 작업을 제외할 수 있습니다.
참고 항목
필수로 표시된 작업은 연결된 자격 증명 모음에 대해 Resource Guard를 사용하여 보호 대상에서 제외할 수 없습니다. 또한 제외된 중요 작업은 Resource Guard와 연결된 모든 자격 증명 모음에 적용됩니다.
자격 증명 모음 선택
| 연산 | 필수/선택 사항 |
|---|---|
| 일시 삭제 사용 안 함 | 필수 |
| MUA 보호 사용 안 함 | 필수 |
| 백업 정책 수정(보존 감소) | 선택 사항 |
| 보호 수정(보존 감소) | 선택 사항 |
| 데이터 삭제를 통해 보호 중지 | 선택 사항 |
| MARS 보안 PIN 변경 | 선택 사항 |
개념 및 프로세스
Azure Backup에 MUA를 사용할 때 관련된 개념과 프로세스는 아래에 설명되어 있습니다.
프로세스와 책임에 대한 명확한 이해를 위해 다음 두 사용자를 고려해 보겠습니다. 이 두 가지 역할은 이 문서 전체에서 참조됩니다.
백업 관리자: Recovery Services 자격 증명 모음 또는 Backup 자격 증명 모음의 소유자이며 자격 증명 모음에 대한 관리 작업을 수행합니다. 우선 백업 관리자는 Resource Guard에 대한 권한이 없어야 합니다.
보안 관리자: Resource Guard의 소유자이며 자격 증명 모음에서 중요한 작업의 게이트키퍼 역할을 합니다. 따라서 보안 관리자는 백업 관리자가 자격 증명 모음에서 중요한 작업을 수행하는 데 필요한 권한을 제어합니다.
다음은 Resource Guard를 사용하여 구성된 MUA가 있는 자격 증명 모음에서 중요한 작업을 수행하기 위한 다이어그램 표현입니다.
다음은 일반적인 시나리오의 이벤트 흐름입니다.
Backup 관리자가 Recovery Services 자격 증명 모음 또는 Backup 자격 증명 모음을 만듭니다.
보안 관리자는 Resource Guard를 만듭니다. Resource Guard는 자격 증명 모음에 대해 다른 구독 또는 다른 테넌트에 있을 수 있습니다. Backup 관리자에게 Resource Guard에 대한 기여자 권한이 없는지 확인해야 합니다.
보안 관리자는 Resource Guard(또는 관련 범위)의 백업 관리자에게 읽기 권한자 역할을 부여합니다. 백업 관리자는 자격 증명 모음에서 MUA를 사용하도록 설정하기 위해 읽기 권한자 역할이 필요합니다.
이제 Backup 관리자는 Resource Guard를 통해 MUA로 보호되도록 자격 증명 모음을 구성합니다.
이제 백업 관리자가 자격 증명 모음에서 중요한 작업을 수행하려면 Resource Guard에 대한 액세스를 요청해야 합니다. 백업 관리자는 이러한 작업을 수행하기 위한 액세스 권한을 얻는 방법에 대한 세부 정보를 보안 관리자에게 문의할 수 있습니다. PIM(Privileged Identity Management) 또는 조직에서 요구하는 기타 프로세스를 사용하여 이 작업을 수행할 수 있습니다.
보안 관리자는 중요한 작업을 수행하기 위해 백업 관리자에게 Resource Guard에 대한 기여자 역할을 일시적으로 부여합니다.
이제 백업 관리자가 중요한 작업을 시작합니다.
Azure Resource Manager는 백업 관리자에게 충분한 권한이 있는지 확인합니다. 이제 백업 관리자에게 Resource Guard에 대한 기여자 역할이 있으므로 요청이 완료됩니다.
Backup 관리자에게 필요한 권한/역할이 없으면 요청이 실패했을 것입니다.
보안 관리자는 승인된 작업이 수행된 후 또는 정의된 기간 후에 중요한 작업을 수행할 수 있는 권한이 취소되도록 합니다. JIT 도구 Microsoft Entra Privileged Identity Management를 사용하면 이를 확인하는 데 유용할 수 있습니다.
참고 항목
MUA는 자격 증명 모음 백업에서만 수행되는 위에 나열된 작업에 대한 보호를 제공합니다. 데이터 원본(즉, 보호되는 Azure 리소스/워크로드)에서 직접 수행되는 모든 작업은 Resource Guard의 범위를 벗어납니다.
사용 시나리오
다음 표에서는 각각에서 제공하는 상대적 보호와 함께 Resource Guard 및 자격 증명 모음(Recovery Services 자격 증명 모음 및 Backup 자격 증명 모음)을 만드는 시나리오를 설명합니다.
Important
백업 관리자는 어떤 시나리오에서도 Resource Guard에 대한 기여자 권한이 없어야 합니다.
| 사용 시나리오 | MUA로 인한 보호 | 구현 용이성 | 참고 |
|---|---|---|---|
| 자격 증명 모음 및 Resource Guard는 동일한 구독에 있습니다. Backup 관리자는 Resource Guard에 액세스할 수 없습니다. | 백업 관리자와 보안 관리자 간의 최소 격리. | 하나의 구독만 필요하므로 구현하기가 상대적으로 쉽습니다. | 리소스 수준 권한/역할이 올바르게 할당되었는지 확인해야 합니다. |
| 자격 증명 모음과 Resource Guard는 다른 구독에 있지만 동일한 테넌트에 있습니다. Backup 관리자는 Resource Guard 또는 해당 구독에 액세스할 수 없습니다. | 백업 관리자와 보안 관리자 간의 중간 격리. | 두 개의 구독(단 하나의 테넌트)이 필요하기 때문에 구현이 비교적 쉽습니다. | 리소스 또는 구독에 권한/역할이 올바르게 할당되었는지 확인합니다. |
| 자격 증명 모음과 Resource Guard는 다른 테넌트에 있습니다. Backup 관리자는 Resource Guard, 해당 구독 또는 해당 테넌트에 액세스할 수 없습니다. | 백업 관리자와 보안 관리자 간의 최대 격리, 따라서 최대 보안입니다. | 테스트하려면 두 개의 테넌트 또는 디렉터리가 필요하므로 테스트하기가 상대적으로 어렵습니다. | 리소스, 구독 또는 디렉터리에 대한 권한/역할이 올바르게 할당되었는지 확인합니다. |