Key Vault를 사용한 인증은 Microsoft Entra ID와 함께 작동하며, 이는 지정된 보안 주체의 ID를 인증하는 역할을 담당합니다.
보안 주체는 사용자, 그룹 또는 Azure 리소스에 대한 액세스를 요청하는 애플리케이션을 나타내는 개체입니다. Azure는 모든 보안 주체에 고유한 개체 ID를 할당합니다.
사용자 보안 주체는 Microsoft Entra ID에 프로필이 있는 개인을 식별합니다.
그룹 보안 주체는 Microsoft Entra ID에서 만든 사용자 집합을 식별합니다. 그룹에 할당된 모든 역할 또는 사용 권한은 그룹 내의 모든 사용자에 부여됩니다.
서비스 주체는 애플리케이션 또는 서비스를 식별하는 보안 주체의 유형입니다. 즉, 사용자나 그룹이 아닌 코드 조각입니다. 서비스 주체의 개체 ID는 사용자 이름처럼 작동합니다. 서비스 주체의 클라이언트 암호는 암호처럼 작동합니다.
애플리케이션의 경우 서비스 주체를 가져오는 방법에는 두 가지가 있습니다.
권장: 애플리케이션에 대한 시스템 할당 관리 ID를 사용하도록 설정합니다.
관리 ID를 통해 Azure는 애플리케이션의 서비스 주체를 내부적으로 관리하고 다른 Azure 서비스에서 애플리케이션을 자동으로 인증합니다. 관리 ID는 다양한 서비스에 배포된 애플리케이션에 사용할 수 있습니다.
자세한 내용은 관리 ID 개요를 참조하세요. 또한 관리 ID를 지원하는 Azure 서비스를 참조하세요. 특정 서비스(예: App Service, Azure Functions, Virtual Machines 등)에 대해 관리 ID를 사용하도록 설정하는 방법이 담긴 문서로 연결됩니다.
관리 ID를 사용할 수 없는 경우, (빠른 시작: Azure ID 플랫폼에 애플리케이션 등록)에 설명된 대로 대신 Microsoft Entra 테넌트를 사용하여 애플리케이션에 등록합니다. 또한 등록은 모든 테넌트에서 앱을 식별하는 두 번째 애플리케이션 개체를 만듭니다.
Key Vault 방화벽 구성
기본적으로 Key Vault는 공용 IP 주소를 통해 리소스에 대한 액세스를 허용합니다. 또한 가장 강력한 보안을 위해 특정 IP 범위, 서비스 엔드포인트, 가상 네트워크 또는 프라이빗 엔드포인트에 대한 액세스를 제한할 수 있습니다.