Azure의 클라우드 규모 분석에 대한 인증
인증은 사용자 또는 애플리케이션의 ID를 확인하는 프로세스입니다. ID 관리 및 인증을 처리하는 단일 원본 ID 공급자를 사용하는 것이 좋습니다. 이 공급자를 디렉터리 서비스라고 합니다. 디렉터리 데이터를 저장하고 네트워크 사용자 및 관리자가 이 데이터를 사용할 수 있는 방법을 제공합니다.
모든 데이터 레이크 솔루션은 이미 사용 중인 디렉터리 서비스를 사용하고 통합해야 합니다. 대부분의 조직에서 Active Directory는 모든 ID 관련 서비스에 대한 디렉터리 서비스입니다. 모든 서비스 및 사용자 계정에 대한 기본 및 중앙 집중식 데이터베이스입니다.
클라우드에서 Microsoft Entra ID는 중앙 집중식 ID 공급자이며 ID 관리를 위한 기본 설정 원본입니다. Microsoft Entra ID에 대한 인증 및 권한 부여를 위임하면 사용자가 특정 위치에 있어야 하는 조건부 액세스 정책과 같은 시나리오를 사용할 수 있습니다. 액세스 보안 수준을 높이기 위해 다단계 인증을 지원합니다. 가능한 경우 Microsoft Entra 통합을 사용하여 데이터 레이크 데이터 저장소 서비스를 구성합니다.
Microsoft Entra ID를 지원하지 않는 데이터 서비스의 경우 인증에 액세스 키 또는 토큰을 사용합니다. 클라이언트는 Azure Key Vault와 같은 키 관리 저장소에 액세스 키를 저장해야 합니다.
클라우드 규모 분석에 대한 인증 시나리오는 다음과 같습니다.
- 사용자 인증
- 애플리케이션 및 서비스 간 인증
사용자 인증
데이터 서비스 또는 리소스에 연결하는 사용자는 자격 증명을 제공해야 합니다. 이 자격 증명은 사용자가 스스로 클레임하는 사람임을 증명합니다. 그러면 해당 사용자가 서비스 또는 리소스에 액세스할 수 있습니다. 인증을 사용하면 서비스에서 사용자의 ID도 알 수 있습니다. 서비스에서 ID를 확인한 후 사용자가 보고 수행할 수 있는 작업을 결정합니다.
Azure Data Lake Storage Gen2, Azure SQL Database 및 Azure Synapse는 Microsoft Entra 통합을 지원합니다. 대화형 사용자 인증 모드를 사용하려면 사용자가 대화 상자에서 자격 증명을 제공해야 합니다.
Important
인증 목적으로 애플리케이션에 사용자 자격 증명을 하드 코드하지 마세요.
애플리케이션 및 서비스 간 인증
이러한 요청이 특정 사용자와 연결되지 않았거나, 자격 증명을 입력할 수 있는 사용자가 없습니다.
서비스 대 서비스 인증
서비스가 사용자 상호 작용 없이 다른 서비스에 액세스하더라도 서비스는 유효한 ID를 제공해야 합니다. 이 ID는 서비스가 실제임을 증명합니다. 액세스된 서비스는 이 ID를 사용하여 서비스에서 수행할 수 있는 작업을 결정할 수 있습니다.
서비스 간 인증의 경우 Azure 서비스를 인증하는 기본 방법은 관리 ID입니다. Azure 리소스에 대한 관리 ID는 명시적 자격 증명 없이 Microsoft Entra 인증을 지원하는 모든 서비스에 대한 인증을 허용합니다. 자세한 내용은 Azure 리소스에 대한 관리 ID란?을 참조하세요.
관리 ID는 Azure 리소스에서만 사용할 수 있는 서비스 주체입니다. 예를 들어 Azure Data Factory 인스턴스에 대해 직접 관리 ID를 만들 수 있습니다. 이 관리 ID는 Microsoft Entra ID에 등록된 개체입니다. 이 Data Factory 인스턴스를 나타냅니다. 그런 다음 이 ID를 사용하여 코드의 자격 증명 없이 Data Lake Storage와 같은 모든 서비스에 인증할 수 있습니다. Azure는 서비스 인스턴스에서 사용되는 자격 증명을 처리합니다. ID는 Azure Data Lake Storage의 폴더와 같은 Azure 서비스 리소스에 대한 권한을 부여할 수 있습니다. 이 Data Factory 인스턴스를 삭제하면 Azure는 Microsoft Entra ID의 ID를 클린.
관리 ID를 사용할 경우의 이점
관리 ID는 다른 Azure 서비스 또는 리소스에 대해 Azure 서비스를 인증하는 데 사용해야 합니다. 다음과 같은 이점을 제공합니다.
- 관리 ID는 이 ID가 만들어져 사용되는 서비스를 나타냅니다. 관리 ID는 대화형 사용자를 나타내지 않습니다.
- 관리 ID 자격 증명은 microsoft Entra ID에 기본, 관리 및 저장됩니다. 사용자가 유지할 암호가 없습니다.
- 관리 ID를 사용하면 클라이언트 서비스에서 암호를 사용하지 않습니다.
- 서비스 인스턴스가 삭제되면 시스템 할당 관리 ID가 삭제됩니다.
이러한 이점은 자격 증명이 더 잘 보호되고 보안 손상 가능성이 적다는 것을 의미합니다.
애플리케이션-서비스 인증
또 다른 액세스 시나리오는 Azure 서비스에 액세스하는 모바일 웹 애플리케이션과 같은 애플리케이션입니다. Azure 서비스에 액세스하는 사람이 누구든지 접근자가 ID를 제공해야 하며 해당 ID를 확인해야 합니다.
Azure 서비스 주체는 Azure 리소스에 인증하기 위해 관리 ID를 지원하지 않는 애플리케이션 및 서비스에 대한 대안입니다. Azure 서비스 주체는 Azure 리소스에 액세스하기 위해 애플리케이션, 호스트된 서비스 및 자동화된 도구와 함께 사용하기 위해 만든 ID입니다. 이 액세스는 서비스 주체에 할당된 역할에 의해 제한됩니다. 보안상의 이유로 사용자 ID로 로그인하도록 허용하는 대신 자동화된 도구 또는 애플리케이션에서 서비스 주체를 사용하는 것이 좋습니다. 자세한 내용은 Microsoft Entra ID의 애플리케이션 및 서비스 주체 개체를 참조하세요.
참고 항목
관리 ID와 서비스 주체는 모두 Microsoft Entra ID에서만 생성되고 기본.
관리 ID와 서비스 주체 간의 차이점
| 서비스 주체 | 관리 ID |
|---|---|
| 특정 Azure 리소스에 액세스하기 위해 애플리케이션, 서비스 및 도구에서 사용하기 위해 Microsoft Entra ID로 수동으로 만든 보안 ID입니다. | 특수한 유형의 서비스 주체입니다. Azure 서비스를 만들 때 생성되는 자동 ID입니다. |
| 모든 애플리케이션 또는 서비스에서 사용할 수 있습니다. 특정 Azure 서비스에 연결되지 않습니다. | Azure 서비스 인스턴스 자체를 나타냅니다. 다른 Azure 서비스를 나타내는 데 사용할 수 없습니다. |
| 독립적인 수명 주기가 있습니다. 명시적으로 삭제해야 합니다. | Azure 서비스 인스턴스가 삭제되면 자동으로 삭제됩니다. |
| 암호 기반 또는 인증서 기반 인증입니다. | 인증을 위해 제공할 명시적 암호가 없습니다. |
데이터베이스 인증 및 사용 권한
클라우드 규모 분석에는 다중저장소가 포함될 수 있습니다. 예를 들어 PostgreSQL, MySQL, Azure SQL Database, SQL Managed Instance 및 Azure Synapse Analytics가 있습니다.
- PostgreSQL 인증에 Microsoft Entra ID 사용
- Azure SQL Database, SQL Managed Instance 및 Azure Synapse Analytics에서 Microsoft Entra 인증 사용
- Microsoft Entra ID를 사용하여 MySQL 인증
Microsoft Entra 그룹을 사용하여 개별 Microsoft Entra 사용자 계정 대신 데이터베이스 개체를 보호하는 것이 좋습니다. 이러한 Microsoft Entra 그룹을 사용하여 사용자를 인증하고 데이터베이스 개체를 보호합니다. 데이터 레이크 패턴과 마찬가지로 데이터 애플리케이션 온보딩을 사용하여 이러한 그룹을 만들 수 있습니다.
참고 항목
데이터 애플리케이션은 Azure SQL Database, SQL Managed Instance 또는 Azure Synapse Analytics 풀에 중요한 데이터 제품을 저장할 수 있습니다. 자세한 내용은 중요한 데이터를 참조하세요.
클라우드 규모 분석의 Azure Data Lake 보안
데이터 레이크의 데이터에 대한 액세스를 제어하려면 파일 및 폴더 수준에서 ACL(액세스 제어 목록)을 사용하는 것이 좋습니다. Azure Data Lake는 POSIX와 유사한 액세스 제어 목록 모델도 채택합니다. POSIX(이식형 운영 체제 인터페이스)는 운영 체제에 대한 표준 제품군입니다. 하나의 표준은 파일 및 폴더에 액세스하기 위한 간단하지만 강력한 권한 구조를 정의합니다. POSIX는 네트워크 파일 공유 및 Unix 컴퓨터에 널리 채택되었습니다.
Azure RBAC 일반 사례와 마찬가지로 다음 규칙이 ACL에 적용되어야 합니다.
그룹을 사용하여 액세스를 관리합니다. Microsoft Entra 그룹에 대한 액세스를 할당하고 지속적인 액세스 관리를 위해 그룹의 멤버 자격을 관리합니다. Azure Data Lake Storage의 액세스 제어 및 데이터 레이크 구성을 참조하세요.
최소 권한. 대부분의 경우 사용자는 데이터 레이크에 필요한 폴더 및 파일에 대한 읽기 권한만 가져야 합니다. Azure Data Factory에서 사용하는 것과 같은 관리 ID 또는 서비스 주체는 읽기, 쓰기 및 실행 권한을 갖습니다. 데이터 사용자는 스토리지 계정 컨테이너에 액세스할 수 없어야 합니다.
데이터 파티션 구성표와 맞춥니다. 효과적인 데이터 액세스 제어를 위해 ACL 및 데이터 파티션 디자인을 조정해야 합니다. 자세한 내용은 [데이터 레이크 분할]을 참조하세요.