Azure의 클라우드 규모 분석에 대한 데이터 관리 및 역할 기반 액세스 제어
권한 부여는 인증된 주체에게 작업을 수행할 수 있는 권한을 부여하는 작업입니다. 액세스 제어의 주요 원칙은 사용자에게 작업을 수행하는 데 필요한 액세스 권한만 제공하고 특정 범위에서 특정 작업만 허용한다는 것입니다. RBAC(역할 기반 보안/역할 기반 액세스 제어)는 액세스 제어에 해당하며 많은 조직에서 정의된 역할이나 작업 기능과 개별 사용자의 비교를 기준으로 액세스를 제어하는 데 사용합니다. 그런 다음, 사용자에게 보안 역할이 하나 이상 할당되며 각 역할에는 특정 작업을 수행할 수 있는 권한이 부여됩니다.
Microsoft Entra ID를 중앙 ID 공급자로 사용하는 경우 사용자 또는 애플리케이션별로 데이터 서비스 및 스토리지에 대한 액세스 권한을 부여할 수 있으며 Microsoft Entra ID를 기반으로 합니다. 권한 부여는 스토리지의 파일, 폴더 또는 개체 수준에서 서비스에 대한 RBAC 및 액세스 제어 목록을 다룹니다.
데이터 서비스 권한 부여
Microsoft Azure에는 Azure 리소스에 대한 자세한 액세스 관리를 제공하는 Azure Resource Manager를 기반으로 빌드된 권한 부여 시스템인 표준 및 기본 제공 RBAC가 포함되어 있습니다. RBAC 역할은 리소스에 대한 액세스 수준을 제어하는 데 도움이 됩니다. 보안 주체, 사용자, 그룹, 서비스 또는 애플리케이션에서는 액세스할 수 있는 리소스와 영역을 사용하여 무엇을 할 수 있나요? 액세스 제어 전략을 수립할 때는 사용자에게 작업을 수행하는 데 필요한 액세스 권한만 부여하고 특정 범위에서 특정 작업만 허용하는 것이 좋습니다.
다음 기본 제공 역할은 Azure 데이터 서비스를 포함한 모든 Azure 리소스 유형에 기본 제공됩니다.
| 설명 | |
|---|---|
| 소유자: | 이 역할은 리소스에 대한 전체 액세스 권한을 가지며 리소스에 대한 액세스 권한을 부여할 수 있는 권리를 포함하여 리소스에 대한 모든 것을 관리할 수 있습니다. |
| 기여자: | 이 역할은 리소스를 관리할 수 있지만 리소스에 대한 액세스 권한을 부여할 수는 없습니다. |
| 읽기 권한자: | 이 역할은 리소스와 해당 정보(액세스 키 또는 비밀과 같은 중요한 정보 제외)를 볼 수 있지만 리소스를 변경할 수는 없습니다. |
일부 서비스에는 Storage Blob 데이터 기여자 또는 Data Factory 기여자와 같은 특정 RBAC 역할이 있습니다. 즉, 이러한 서비스에 특정 RBAC 역할을 사용해야 합니다. RBAC는 역할 할당 추가가 활성 권한인 가산 모델입니다. 또한 RBAC는 역할 할당보다 우선시되는 거부 할당도 지원합니다.
Azure에서 클라우드 규모 분석에 대한 RBAC 일반 사례
다음 모범 사례는 RBAC를 시작하는 데 도움이 될 수 있습니다.
서비스 관리와 작업에 RBAC 역할을 사용하고 데이터 액세스와 워크로드별 작업에 서비스별 역할 사용: 리소스 관리 작업과 운영 작업을 수행해야 하는 보안 주체에게 권한을 부여할 수 있는 Azure 리소스에 대한 RBAC 역할을 사용합니다. 스토리지 내에서 데이터에 액세스해야 하는 보안 주체는 리소스를 관리하지 않아도 되므로 리소스에 대한 RBAC 역할이 필요하지 않습니다. 대신 데이터 개체에 직접 권한을 부여합니다. 예를 들어 Azure Data Lake Storage Gen2의 폴더 또는 Azure SQL Database 데이터베이스에 대한 데이터베이스 사용자 및 테이블 권한이 포함된 폴더에 읽기 권한을 부여합니다.
기본 제공 RBAC 역할 사용: 먼저 기본 제공 RBAC Azure 리소스 역할을 사용하여 서비스를 관리하고 작업 역할을 할당하여 액세스를 제어합니다. 기본 제공 역할이 특정 요구 사항을 충족하지 않는 경우에만 Azure 리소스에 대한 사용자 지정 역할을 만들고 사용합니다.
그룹을 사용하여 액세스 관리: Microsoft Entra 그룹에 대한 액세스 권한을 할당하고 지속적인 액세스 관리를 위한 그룹 멤버 자격을 관리합니다.
구독 및 리소스 그룹 범위: 개별 리소스(특히 비프로덕션 환경에서)에 대한 액세스 권한 부여와 개별 서비스 관리 및 작업 액세스 요구 사항이 구분되도록 리소스 그룹 범위에서 액세스 권한을 부여하는 것이 합리적이지만 대신 특히 프로덕션 환경에서 데이터 레이크 파일 시스템 지원 및 작업과 같은 워크로드 관련 작업의 개별 리소스에 대한 액세스 권한을 부여할 수 있습니다. 이는 비프로덕션 환경에서 개발자와 테스터가 Azure Data Factory 수집 파이프라인 만들기나 Data Lake Storage Gen2에서 컨테이너 만들기와 같은 리소스를 관리해야 하기 때문입니다. 프로덕션 환경에서는 사용자가 예약된 Data Factory 수집 파이프라인 상태 보기 또는 Data Lake Storage Gen2에서 데이터 파일 읽기와 같은 리소스만 사용해야 합니다.
구독 범위에서 불필요한 액세스 권한 부여 금지: 이 범위는 구독 내 모든 리소스를 포함합니다.
최소 권한 액세스 선택: 작업에 대한 올바른 역할만 선택합니다.