자격 증명 모음 액세스 정책에서 Azure 역할 기반 액세스 제어 권한 모델로 마이그레이션
Azure Key Vault는 Azure RBAC(Azure 역할 기반 액세스 제어) 및 액세스 정책 모델이라는 두 가지 권한 부여 시스템을 제공합니다. Azure RBAC는 Azure Key Vault에 대한 기본 및 권장 권한 부여 시스템입니다. 두 가지 권한 부여 방법을 비교하려면 Azure RBAC(Azure 역할 기반 액세스 제어) 및 액세스 정책을 참조하세요.
이 문서에서는 키 자격 증명 모음에서 액세스 정책 권한 부여에서 Azure RBAC 모델로 마이그레이션하는 데 필요한 정보를 제공합니다.
Azure 역할 매핑에 대한 액세스 정책
Azure RBAC에는 사용자, 그룹, 서비스 주체 및 관리 ID에 할당할 수 있는 여러 Azure 기본 제공 역할이 있습니다. 기본 제공 역할이 조직의 특정 요구 사항을 충족하지 않는 경우 사용자 고유 의 Azure 사용자 지정 역할을 만들 수 있습니다.
키, 인증서 및 비밀 액세스 관리를 위한 키 자격 증명 모음 기본 제공 역할:
- Key Vault 관리자
- Key Vault 읽기 권한자
- Key Vault 인증서 책임자
- Key Vault 인증서 사용자
- Key Vault 암호화 책임자
- Key Vault 암호화 사용자
- Key Vault 암호화 서비스 암호화 사용자
- Key Vault 비밀 책임자
- Key Vault 비밀 사용자
기존 기본 제공 역할에 대한 자세한 내용은 Azure 기본 제공 역할을 참조하세요 .
개별적으로 선택한 사용 권한 또는 미리 정의된 권한 템플릿을 사용하여 자격 증명 모음 액세스 정책을 할당할 수 있습니다.
액세스 정책 미리 정의된 권한 템플릿:
- 키, 비밀, 인증서 관리
- 키 및 비밀 관리
- 비밀 및 인증서 관리
- 키 관리
- 비밀 관리
- 인증서 관리
- SQL Server 커넥터
- Azure Data Lake Storage 또는 Azure Storage
- Azure Backup
- Exchange Online 고객 키
- SharePoint Online 고객 키
- Azure Information BYOK
Azure 역할 매핑에 대한 정책 템플릿 액세스
| 액세스 정책 템플릿 | 작업 | Azure 역할 |
|---|---|---|
| 키, 비밀, 인증서 관리 | 키: 모든 작업 인증서: 모든 작업 비밀: 모든 작업 |
Key Vault 관리자 |
| 키 및 비밀 관리 | 키: 모든 작업 비밀: 모든 작업 |
Key Vault Crypto 책임자 Key Vault 비밀 책임자 |
| 비밀 및 인증서 관리 | 인증서: 모든 작업 비밀: 모든 작업 |
Key Vault 인증서 책임자 Key Vault 비밀 책임자 |
| 키 관리 | 키: 모든 작업 | Key Vault 암호화 책임자 |
| 비밀 관리 | 비밀: 모든 작업 | Key Vault 비밀 책임자 |
| 인증서 관리 | 인증서: 모든 작업 | Key Vault 인증서 책임자 |
| SQL Server 커넥터 | 키: 가져오기, 나열, 키 래핑, 키 래핑 해제 | Key Vault 암호화 서비스 암호화 사용자 |
| Azure Data Lake Storage 또는 Azure Storage | 키: 가져오기, 나열, 키 래핑 해제 | 해당 없음 사용자 지정 역할 필요 |
| Azure Backup | 키: 가져오기, 나열, 백업 비밀: 가져오기, 나열, 백업 |
해당 없음 사용자 지정 역할 필요 |
| Exchange Online 고객 키 | 키: 가져오기, 나열, 키 래핑, 키 래핑 해제 | Key Vault 암호화 서비스 암호화 사용자 |
| Exchange Online 고객 키 | 키: 가져오기, 나열, 키 래핑, 키 래핑 해제 | Key Vault 암호화 서비스 암호화 사용자 |
| Azure Information BYOK | 키: 가져오기, 암호 해독, 서명 | 해당 없음 사용자 지정 역할 필요 |
참고 항목
Azure Portal을 통한 Azure App Service Certificate 구성은 Key Vault RBAC 권한 모델을 지원하지 않습니다. Azure PowerShell, Azure CLI, ARM 템플릿 배포를 App Service 전역 ID에 대한 Key Vault 인증서 사용자 역할 할당(예: 퍼블릭 클라우드의 Microsoft Azure 앱 Service)과 함께 사용할 수 있습니다.
할당 범위 매핑
Key Vault용 Azure RBAC는 다음 범위에서 역할 할당을 허용합니다.
- 관리 그룹
- Subscription
- Resource group
- Key Vault 리소스
- 개별 키, 비밀 및 인증서
자격 증명 모음 액세스 정책 권한 모델은 키 자격 증명 모음 리소스 수준 정책 할당으로 제한됩니다.
일반적으로 애플리케이션당 하나의 키 자격 증명 모음을 갖고 키 자격 증명 모음 수준에서 액세스를 관리하는 것이 가장 좋습니다. 다른 범위에서 액세스를 관리하면 액세스 관리를 간소화할 수 있는 시나리오가 있습니다.
인프라, 보안 관리자 및 운영자: 자격 증명 모음 액세스 정책을 사용하여 관리 그룹, 구독 또는 리소스 그룹 수준에서 키 자격 증명 모음 그룹을 관리하려면 각 키 자격 증명 모음에 대한 정책을 유지 관리해야 합니다. Azure RBAC를 통해 관리 그룹, 구독 또는 리소스 그룹에서 하나의 역할 할당을 만들 수 있습니다. 해당 할당은 동일한 범위에서 만든 모든 새 키 자격 증명 모음에 적용됩니다. 이 시나리오에서는 영구 액세스 제공을 통해 Just-In-Time 액세스와 함께 Privileged Identity Management를 사용하는 것이 좋습니다.
애플리케이션: 애플리케이션에서 다른 애플리케이션과 비밀을 공유해야 하는 시나리오가 있습니다. 자격 증명 모음 액세스 정책을 사용하여 모든 비밀에 대한 액세스 권한을 부여하지 않도록 별도의 키 자격 증명 모음을 만들어야 했습니다. Azure RBAC를 사용하면 단일 키 자격 증명 모음을 사용하는 대신 개별 비밀에 대한 범위가 있는 역할을 할당할 수 있습니다.
자격 증명 모음 액세스 정책에서 Azure RBAC로 마이그레이션 단계
Azure RBAC와 자격 증명 모음 액세스 정책 권한 모델 간에는 많은 차이점이 있습니다. 마이그레이션 중에 중단을 방지하려면 아래 단계를 사용하는 것이 좋습니다.
- 역할 식별 및 할당: 위의 매핑 테이블을 기반으로 기본 제공 역할을 식별하고 필요한 경우 사용자 지정 역할을 만듭니다. 범위 매핑 지침에 따라 범위에서 역할을 할당합니다. Key Vault에 역할을 할당하는 방법에 대한 자세한 내용은 Azure 역할 기반 액세스 제어를 사용하여 Key Vault에 대한 액세스 제공을 참조 하세요.
- 역할 할당 유효성 검사: Azure RBAC의 역할 할당이 전파되는 데 몇 분 정도 걸릴 수 있습니다. 역할 할당을 검사 방법에 대한 가이드는 범위에서 역할 할당 나열을 참조하세요.
- 키 자격 증명 모음에 대한 모니터링 및 경고 구성: 액세스 거부 예외에 대한 로깅 및 설정 경고를 사용하도록 설정하는 것이 중요합니다. 자세한 내용은 Azure Key Vault에 대한 모니터링 및 경고를 참조 하세요.
- 키 자격 증명 모음에서 Azure 역할 기반 액세스 제어 권한 모델 설정: Azure RBAC 권한 모델을 사용하도록 설정하면 기존 액세스 정책이 모두 무효화됩니다. 오류가 발생하는 경우 모든 기존 액세스 정책을 그대로 두고 다시 권한 모델로 전환할 수 있습니다.
참고 항목
사용 권한 모델을 변경하려면 소유자 및 사용자 액세스 관리 주체 역할의 일부인 'Microsoft.Authorization/roleAssignments/write' 권한이 필요합니다. 'Service 관리istrator' 및 'Co-관리istrator'와 같은 클래식 구독 관리자 역할은 지원되지 않습니다.
참고 항목
Azure RBAC 권한 모델을 사용하도록 설정하면 액세스 정책을 업데이트하려는 모든 스크립트가 실패합니다. Azure RBAC를 사용하도록 해당 스크립트를 업데이트하는 것이 중요합니다.
마이그레이션 거버넌스
Azure Policy 서비스를 사용하여 자격 증명 모음에서 RBAC 권한 모델 마이그레이션을 제어할 수 있습니다. 사용자 지정 정책 정의를 만들어 기존 키 자격 증명 모음을 감사하고 모든 새 키 자격 증명 모음이 Azure RBAC 권한 모델을 사용하도록 할 수 있습니다.
Key Vault Azure RBAC 권한 모델에 대한 정책 정의 만들기 및 할당
- 정책 리소스로 이동
- Azure Policy 페이지의 왼쪽에 있는 작성 아래에서 할당을 선택합니다.
- 페이지 맨 위에 있는 정책 할당을 선택합니다. 이 단추는 정책 할당 페이지로 열립니다.
- 다음 정보를 입력합니다.
- 정책을 적용할 구독 및 리소스 그룹을 선택하여 정책 범위를 정의합니다. 범위 필드에서 세 개의 점 단추를 클릭하여 선택합니다.
- 정책 정의의 이름을 선택합니다. "[미리 보기]: Azure Key Vault는 RBAC 권한 모델을 사용해야 합니다."
- 페이지 맨 위에 있는 매개 변수 탭으로 이동하여 정책의 원하는 효과(감사, 거부 또는 사용 안 함)를 정의합니다.
- 추가 필드를 입력합니다. 페이지 아래쪽의 이전 및 다음 단추를 클릭하는 탭을 탐색합니다.
- 검토 + 만들기를 선택합니다.
- 만들기를 선택합니다.
기본 제공 정책이 할당되면 검사를 완료하는 데 최대 24시간이 걸릴 수 있습니다. 검사가 완료되면 아래와 같이 컴플라이언스 결과를 볼 수 있습니다.
자세한 내용은 참조하세요.
Azure RBAC 비교 도구에 대한 액세스 정책
Important
이 도구는 공식적인 고객 지원 서비스 지원 없이 Microsoft 커뮤니티 구성원이 빌드하고 기본. 이 도구는 어떤 종류의 보증도 없이 AS IS로 제공됩니다.
액세스 정책을 RBAC 권한 모델 마이그레이션에 도움이 되도록 Key Vault 액세스 정책을 할당된 RBAC 역할과 비교하는 PowerShell 도구 입니다. 도구 의도는 기존 Key Vault를 RBAC 권한 모델로 마이그레이션할 때 온전성 검사 제공하여 기본 데이터 작업이 있는 할당된 역할이 기존 액세스 정책을 포함하도록 하는 것입니다.
문제 해결
- 역할 할당이 몇 분 후에 작동하지 않음 - 역할 할당이 더 오래 걸릴 수 있는 상황이 있습니다. 이러한 경우를 처리하려면 코드에서 재시도 논리를 작성하는 것이 중요합니다.
- 역할 할당은 Key Vault를 삭제(일시 삭제)하고 복구할 때 사라졌으며 현재 모든 Azure 서비스에서 일시 삭제 기능의 제한 사항입니다. 복구 후 모든 역할 할당을 다시 만들어야 합니다.
자세한 정보
- Azure RBAC 개요
- 사용자 지정 역할 자습서
- Privileged Identity Management