다음을 통해 공유


Azure RBAC(Azure 역할 기반 액세스 제어) 및 액세스 정책(레거시)

Important

액세스 정책 권한 모델을 사용하는 경우 키 자격 증명 모음 관리 평면에 대한 사용 권한을 포함하는 Microsoft.KeyVault/vaults/write 사용자 또는 기타 역할이 있는 사용자는 ContributorKey Vault ContributorKey Vault 액세스 정책을 설정하여 자신에게 데이터 평면 액세스 권한을 부여할 수 있습니다. 키 자격 증명 모음, 키, 비밀 및 인증서의 무단 액세스 및 관리를 방지하려면 액세스 정책 권한 모델에서 키 자격 증명 모음에 대한 기여자 역할 액세스를 제한해야 합니다. 이러한 위험을 완화하려면 권한 관리를 '소유자' 및 '사용자 액세스 관리자' 역할로 제한하는 RBAC(역할 기반 액세스 제어) 권한 모델을 사용하여 보안 작업과 관리 업무 간에 명확한 분리를 허용하는 것이 좋습니다. 자세한 내용은 Key Vault RBAC 가이드Azure RBAC란?을 참조하세요.

Azure Key Vault는 Azure의 제어 및 데이터 평면에서 작동하는 Azure RBAC(Azure 역할 기반 액세스 제어)와 데이터 평면에서만 작동하는 액세스 정책 모델이라는 두 가지 권한 부여 시스템을 제공합니다.

Azure RBAC는 Azure Resource Manager를 기반으로 빌드되었으며 Azure 리소스에 대한 중앙 집중식 액세스 관리를 제공합니다. Azure RBAC에서는 역할 할당을 만들어 리소스에 대한 액세스를 제어합니다. 역할 할당은 보안 주체, 역할 정의(미리 정의된 사용 권한 집합) 및 범위(리소스 그룹 또는 개별 리소스)의 세 요소로 구성됩니다.

액세스 정책 모델은 키, 비밀 및 인증서에 대한 액세스를 제공하는 Key Vault 네이티브 레거시 권한 부여 시스템입니다. Key Vault 범위에서 보안 주체(사용자, 그룹, 서비스 주체 및 관리 ID)에 개별 권한을 할당하여 액세스를 제어할 수 있습니다.

데이터 평면 액세스 제어 권장 사항

Azure RBAC는 Azure Key Vault 데이터 평면에 권장되는 권한 부여 시스템입니다. Key Vault 액세스 정책에 비해 다음과 같은 몇 가지 이점을 제공합니다.

  • Azure RBAC는 Azure 리소스에 대한 통합 액세스 제어 모델을 제공합니다. 즉, 모든 Azure 서비스에서 동일한 API가 사용됩니다.
  • 액세스 관리는 중앙 집중화되어 관리자에게 Azure 리소스에 부여된 액세스에 대한 일관된 보기를 제공합니다.
  • 키, 비밀 및 인증서에 대한 액세스 권한을 부여하는 권한은 더 잘 제어되며 소유자 또는 사용자 액세스 관리자 역할 멤버 자격이 필요합니다.
  • Azure RBAC는 Privileged Identity Management와 통합되어 권한 있는 액세스 권한이 시간 제한이 있고 자동으로 만료되도록 보장합니다.
  • 거부 할당을 사용하여 특정 범위에서 보안 주체의 액세스를 제외할 수 있습니다.

Key Vault 데이터 평면 액세스 제어를 액세스 정책에서 RBAC로 전환하려면 자격 증명 모음 액세스 정책에서 Azure 역할 기반 액세스 제어 권한 모델로 마이그레이션을 참조하세요.

자세한 정보