Azure Digital Twins 실패한 서비스 요청 문제 해결: 오류 403(사용할 수 없음)

이 문서에서는 서비스 요청에서 Azure Digital Twins로 403 오류를 수신하는 원인 및 해결 단계를 설명합니다. 이 정보는 Azure Digital Twins 서비스에만 적용됩니다.

증상

이 오류는 인증을 필요로 하는 다양한 유형의 서비스 요청에서 발생할 수 있습니다. 그 결과 API 요청이 실패하고 403 (Forbidden) 오류 상태가 반환됩니다.

원인

원인 #1

일반적으로 이 오류는 서비스에 대한 Azure RBAC(Azure 역할 기반 액세스 제어) 권한이 올바르게 설정되지 않았음을 나타냅니다. Azure Digital Twins 인스턴스에 대해 많은 작업을 수행하려면 관리하려는 인스턴스에 Azure Digital Twins 데이터 소유자 역할이 있어야 합니다.

원인 #2

앱 등록을 사용하여 인증하는 Azure Digital Twins와 통신하기 위해 클라이언트 앱을 사용하는 경우 앱 등록에 Azure Digital Twins 서비스에 대해 설정된 권한이 없기 때문에 이 오류가 발생할 수 있습니다.

앱 등록에는 Azure Digital Twins API에 대해 구성된 액세스 권한이 있어야 합니다. 그런 다음, 앱 등록에 대해 클라이언트 앱이 인증되면 앱 등록이 구성된 사용 권한이 부여됩니다.

솔루션

해결 방법 #1

첫 번째 솔루션은 Azure 사용자가 관리하려는 인스턴스에 Azure Digital Twins 데이터 소유자 역할을 보유하고 있는지 확인하는 것입니다. 이 역할이 없다면 새로 설정합니다.

이 역할은

  • 미리 보기 중 이 역할의 이전 이름인 Azure Digital Twins 소유자(미리 보기)와 다릅니다. 이 경우 역할은 동일하지만 이름이 변경되었습니다.
  • 전체 Azure 구독에서의 소유자 역할과는 다릅니다. Azure Digital Twins 데이터 소유자는 Azure Digital Twins 내에서의 역할이며, 이 개별 Azure Digital Twins 인스턴스로 범위가 지정됩니다.
  • Azure Digital Twins의 소유자 역할과는 다릅니다. 이것들은 서로 다른 두 가지 Azure Digital Twins 관리 역할이며, Azure Digital Twins 데이터 소유자는 관리에 사용해야 하는 역할입니다.

현재 설정 확인

역할 할당을 성공적으로 설정되었는지 확인하는 한 가지 방법은 Azure Portal Azure Digital Twins 인스턴스에 대한 역할 할당을 보는 것입니다. Azure Portal Azure Digital Twins 인스턴스로 이동합니다. 이를 위해 Azure Digital Twins 인스턴스 의 페이지에서 조회하거나 포털 검색 창에서 해당 이름을 검색할 수 있습니다.)

그런 다음 , 액세스 제어(IAM) > 역할 할당에서 할당된 모든 역할을 봅니다. 역할 할당이 목록에 표시됩니다.

Azure Portal에서 Azure Digital Twins 인스턴스에 대한 역할 할당의 스크린샷

문제 해결

이 역할 할당이 없는 경우 Azure 구독에 소유자 역할이 있는 사용자는 다음 명령을 실행하여 Azure 사용자에게 Azure Digital Twins 인스턴스에서 Azure Digital Twins 데이터 소유자 역할을 제공해야 합니다.

구독에 대한 소유자인 경우 이 명령을 직접 실행할 수 있습니다. 그렇지 않은 경우 소유자에게 문의하여 대신 이 명령을 실행하도록 합니다.

az dt role-assignment create --dt-name <your-Azure-Digital-Twins-instance> --assignee "<your-Azure-AD-email>" --role "Azure Digital Twins Data Owner"

이 역할 요구 사항 및 할당 프로세스에 대한 자세한 내용은 사용자의 액세스 권한 설정을 참조하세요.

이 역할 할당이 이미 있고 Azure AD 앱 등록을 사용하여 클라이언트 앱을 인증하는 경우, 이 솔루션에서 403 문제를 해결하지 않았다면 다음 솔루션을 계속 진행할 수 있습니다.

해결 방법 #2

Azure AD 앱 등록을 사용하여 클라이언트 앱을 인증하는 경우 두 번째 가능한 해결 방법은 앱 등록에 Azure Digital Twins 서비스에 대해 구성된 권한이 있는지 확인하는 것입니다. 구성되지 않았다면 새로 설정합니다.

현재 설정 확인

사용 권한이 올바르게 구성되었는지 확인하려면 Azure Portal에서 Azure AD 앱 등록 개요 페이지로 이동합니다. 포털 검색 창에서 앱 등록 을 검색하여 이 페이지에 직접 연결할 수 있습니다.

모든 애플리케이션 탭으로 전환하여 구독에서 생성된 모든 앱 등록을 확인합니다.

목록에서 만든 앱 등록이 표시됩니다. 이를 선택하고 세부 정보를 엽니다.

Azure Portal의 앱 등록 페이지 스크린샷.

먼저, 등록에 Azure Digital Twins 권한 설정이 올바르게 설정되었는지 확인합니다. 메뉴 모음에서 매니페스트를 선택하여 앱 등록의 매니페스트 코드를 확인합니다. 코드 창의 아래쪽으로 스크롤하고 requiredResourceAccess 아래에서 이러한 필드를 찾습니다. 값은 아래 스크린샷에 있는 값과 일치해야 합니다.

Azure Portal의 Azure AD 앱 등록에 대한 매니페스트의 스크린샷.

그런 다음, 메뉴 모음에서 API 권한을 선택하여 이 앱 등록에 Azure Digital Twins에 대한 읽기/쓰기 권한이 포함되어 있는지 확인합니다. 다음과 유사한 항목이 표시됩니다.

Azure Digital Twins의 '읽기/쓰기 액세스'를 보여주는 Azure Portal의 Azure AD 앱 등록에 대한 API 권한의 스크린샷.

문제 해결

설명된 것과 다르게 표시되는 경우 Azure Digital Twins 액세스를 사용하여 앱 등록 만들기에서 앱 등록을 설정하는 방법에 대한 지침을 따릅니다.

다음 단계

새 Azure Digital Twins 인스턴스를 만들고 인증하는 방법에 대한 설치 단계를 읽어보세요.

Azure Digital Twins의 보안 및 사용 권한에 대해 자세히 알아보세요.