자습서: 서비스 커넥터를 통해 데이터베이스 서비스에 암호 없는 연결 만들기

암호 없는 연결은 관리 ID를 사용하여 Azure 서비스에 액세스합니다. 이 방법을 사용하면 관리 ID에 대한 비밀을 수동으로 추적하고 관리할 필요가 없습니다. 이러한 작업은 Azure에서 내부적으로 안전하게 처리됩니다.

서비스 커넥터를 사용하면 Azure Spring Apps, Azure App Service 및 Azure Container Apps와 같은 앱 호스팅 서비스에서 관리 ID를 사용할 수 있습니다. 또한 서비스 커넥터는 관리 ID를 허용하도록 Azure Database for PostgreSQL, Azure Database for MySQL 및 Azure SQL Database와 같은 데이터베이스 서비스를 구성합니다.

이 자습서에서는 Azure CLI를 사용하여 다음 작업을 완료합니다.

• Azure CLI를 사용하여 초기 환경을 확인합니다.
• 서비스 커넥터를 사용하여 암호 없는 연결을 만듭니다.
• 서비스 커넥터에서 생성된 환경 변수 또는 구성을 사용하여 데이터베이스 서비스에 액세스합니다.

필수 조건

• Azure CLI: 버전 2.48.1 이상.
• 활성 구독이 있는 Azure 계정. Azure 계정을 무료로 만드세요.
• 서비스 커넥터에서 지원하는 지역의 Azure App Service에 배포된 앱입니다.

환경 설정

어카운트

az login을 통해 Azure CLI로 로그인합니다. Azure Cloud Shell을 사용 중이거나 이미 로그인한 경우 az account show로 인증된 계정을 확인합니다.

서비스 커넥터 암호 없는 확장 설치

Azure CLI용 서비스 커넥터 암호 없는 확장을 설치합니다.

az extension add --name serviceconnector-passwordless --upgrade

암호 없는 연결 만들기

다음으로 Azure App Service를 예로 사용하여 관리 ID를 통해 연결을 만듭니다.

사용하는 경우:

• Azure Spring Apps: 대신 az spring connection create를 사용합니다. 자세한 예제는 Azure Spring Apps를 Azure 데이터베이스에 연결을 참조하세요.
• Azure Container Apps: 대신 az containerapp connection create를 사용합니다. 자세한 예제는 ID 연결로 PostgreSQL 데이터베이스 만들기 및 연결을 참조하세요.

참고 항목

Azure Portal을 사용하는 경우 Azure App Service, Azure Spring Apps 또는 Azure Container Apps의 서비스 커넥터 블레이드로 이동하고 만들기를 선택하여 연결을 만듭니다. Azure Portal은 자동으로 명령을 작성하고 Cloud Shell에서 명령 실행을 트리거합니다.

다음 Azure CLI 명령은 --client-type 매개 변수를 사용합니다. az webapp connection create postgres-flexible -h를 실행하여 지원되는 클라이언트 형식을 가져오고 애플리케이션과 일치하는 클라이언트 형식을 선택합니다.

사용자 할당 관리 ID

az webapp connection create postgres-flexible \
    --resource-group $RESOURCE_GROUP \
    --name $APPSERVICE_NAME \
    --target-resource-group $RESOURCE_GROUP \
    --server $POSTGRESQL_HOST \
    --database $DATABASE_NAME \
    --user-identity client-id=XX subs-id=XX \
    --client-type java

시스템 할당 관리 ID

az webapp connection create postgres-flexible \
    --resource-group $RESOURCE_GROUP \
    --name $APPSERVICE_NAME \
    --target-resource-group $RESOURCE_GROUP \
    --server $POSTGRESQL_HOST \
    --database $DATABASE_NAME \
    --system-identity \
    --client-type java

서비스 주체

az webapp connection create postgres-flexible \
    --resource-group $RESOURCE_GROUP \
    --name $APPSERVICE_NAME \
    --target-resource-group $RESOURCE_GROUP \
    --server $POSTGRESQL_HOST \
    --database $DATABASE_NAME \
    --service-principal client-id=XX secret=XX\
    --client-type java

Azure Database for MySQL - 유연한 서버에는 Microsoft Entra 인증을 사용하도록 설정하기 위해 사용자가 할당한 관리 ID가 필요합니다. 자세한 내용은 Azure Database for MySQL - 유연한 서버에 대한 Microsoft Entra 인증 설정을 참조하세요. 다음 명령을 사용하여 사용자가 할당한 관리 ID를 만들 수 있습니다.

USER_IDENTITY_NAME=<YOUR_USER_ASSIGNED_MANAGEMED_IDENTITY_NAME>
IDENTITY_RESOURCE_ID=$(az identity create \
    --name $USER_IDENTITY_NAME \
    --resource-group $RESOURCE_GROUP \
    --query id \
    --output tsv)

Important

사용자가 할당한 ID를 만든 후 전역 관리자 또는 권한 있는 역할 관리자에게 요청하여 이 ID에 대해 다음 권한 부여를 요청합니다.

• User.Read.All
• GroupMember.Read.All
• Application.Read.All

자세한 내용은 Active Directory 인증의 권한 섹션을 참조하세요.

그런 다음, 서비스 커넥터를 사용하여 시스템이 할당한 관리 ID로 앱을 MySQL 데이터베이스에 연결합니다.

다음 Azure CLI 명령은 --client-type 매개 변수를 사용합니다. az webapp connection create mysql-flexible -h를 실행하여 지원되는 클라이언트 형식을 가져오고 애플리케이션과 일치하는 클라이언트 형식을 선택합니다.

사용자 할당 관리 ID

az webapp connection create mysql-flexible \
    --resource-group $RESOURCE_GROUP \
    --name $APPSERVICE_NAME \
    --target-resource-group $RESOURCE_GROUP \
    --server $MYSQL_HOST \
    --database $DATABASE_NAME \
    --user-identity client-id=XX subs-id=XX mysql-identity-id=$IDENTITY_RESOURCE_ID \
    --client-type java

시스템 할당 관리 ID

az webapp connection create mysql-flexible \
    --resource-group $RESOURCE_GROUP \
    --name $APPSERVICE_NAME \
    --target-resource-group $RESOURCE_GROUP \
    --server $MYSQL_HOST \
    --database $DATABASE_NAME \
    --system-identity mysql-identity-id=$IDENTITY_RESOURCE_ID \
    --client-type java

서비스 주체

az webapp connection create mysql-flexible \
    --resource-group $RESOURCE_GROUP \
    --name $APPSERVICE_NAME \
    --target-resource-group $RESOURCE_GROUP \
    --server $MYSQL_HOST \
    --database $DATABASE_NAME \
    --service-principal client-id=XX secret=XX mysql-identity-id=$IDENTITY_RESOURCE_ID \
    --client-type java

다음 Azure CLI 명령은 --client-type 매개 변수를 사용합니다. az webapp connection create sql -h를 실행하여 지원되는 클라이언트 형식을 가져오고 애플리케이션과 일치하는 클라이언트 형식을 선택합니다.

사용자 할당 관리 ID

az webapp connection create sql \
    --resource-group $RESOURCE_GROUP \
    --name $APPSERVICE_NAME \
    --target-resource-group $RESOURCE_GROUP \
    --server $SQL_HOST \
    --database $DATABASE_NAME \
    --user-identity client-id=XX subs-id=XX \
    --client-type dotnet

시스템 할당 관리 ID

az webapp connection create sql \
    --resource-group $RESOURCE_GROUP \
    --name $APPSERVICE_NAME \
    --target-resource-group $RESOURCE_GROUP \
    --server $SQL_HOST \
    --database $DATABASE_NAME \
    --system-identity \
    --client-type dotnet

서비스 주체

az webapp connection create sql \
    --resource-group $RESOURCE_GROUP \
    --name $APPSERVICE_NAME \
    --target-resource-group $RESOURCE_GROUP \
    --server $SQL_HOST \
    --database $DATABASE_NAME \
    --service-principal client-id=XX secret=XX \
    --client-type dotnet

이 서비스 커넥터 명령은 백그라운드에서 다음 작업을 완료합니다.

• 시스템이 할당한 관리 ID를 사용하도록 설정하거나 Azure App Service/Azure Spring Apps/Azure Container Apps에서 호스트하는 앱 $APPSERVICE_NAME에 대한 사용자 ID를 할당합니다.
• Microsoft Entra 관리자를 현재 로그인한 사용자로 설정합니다.
• 시스템이 할당한 관리 ID, 사용자가 할당한 관리 ID 또는 서비스 주체에 대한 데이터베이스 사용자를 추가합니다. 이 사용자에게 데이터베이스 $DATABASE_NAME의 모든 권한을 부여합니다. 사용자 이름은 이전 명령 출력의 연결 문자열에서 찾을 수 있습니다.
• AZURE_MYSQL_CONNECTIONSTRING, AZURE_POSTGRESQL_CONNECTIONSTRING 또는 AZURE_SQL_CONNECTIONSTRING이라는 구성을 데이터베이스 유형에 기반한 Azure 리소스로 설정합니다.
  • App Service의 경우 구성은 앱 설정 블레이드에서 설정됩니다.
  • Spring Apps의 경우 애플리케이션이 시작될 때 구성이 설정됩니다.
  • Container Apps의 경우 구성이 환경 변수로 설정됩니다. Azure Portal의 서비스 커넥터 블레이드에서 모든 구성 및 해당 값을 가져올 수 있습니다.

Microsoft Entra 인증을 사용하여 데이터베이스에 연결

연결을 만든 후 애플리케이션에서 연결 문자열을 사용하여 Microsoft Entra 인증을 통해 데이터베이스에 연결할 수 있습니다. 예를 들어 다음 솔루션을 사용하여 Microsoft Entra 인증을 통해 데이터베이스에 연결할 수 있습니다.

.NET

.NET의 경우 암호 없는 연결을 지원하는 플러그 인 또는 라이브러리가 없습니다. Azure.Identity와 같은 클라이언트 라이브러리를 사용하여 관리 ID 또는 서비스 주체에 대한 액세스 토큰을 가져올 수 있습니다. 그런 다음 액세스 토큰을 암호로 사용하여 데이터베이스에 연결할 수 있습니다. 아래 코드를 사용하는 경우 사용하려는 인증 유형에 대한 코드 조각 부분의 주석 처리를 제거합니다.

using Azure.Identity;
using Azure.Core;
using Npgsql;

// Uncomment the following lines according to the authentication type.
// For system-assigned identity.
// var sqlServerTokenProvider = new DefaultAzureCredential();

// For user-assigned identity.
// var sqlServerTokenProvider = new DefaultAzureCredential(
//     new DefaultAzureCredentialOptions
//     {
//         ManagedIdentityClientId = Environment.GetEnvironmentVariable("AZURE_POSTGRESQL_CLIENTID");
//     }
// );

// For service principal.
// var tenantId = Environment.GetEnvironmentVariable("AZURE_POSTGRESQL_TENANTID");
// var clientId = Environment.GetEnvironmentVariable("AZURE_POSTGRESQL_CLIENTID");
// var clientSecret = Environment.GetEnvironmentVariable("AZURE_POSTGRESQL_CLIENTSECRET");
// var sqlServerTokenProvider = new ClientSecretCredential(tenantId, clientId, clientSecret);

// Acquire the access token. 
AccessToken accessToken = await sqlServerTokenProvider.GetTokenAsync(
    new TokenRequestContext(scopes: new string[]
    {
        "https://ossrdbms-aad.database.windows.net/.default"
    }));

// Combine the token with the connection string from the environment variables provided by Service Connector.
string connectionString =
    $"{Environment.GetEnvironmentVariable("AZURE_POSTGRESQL_CONNECTIONSTRING")};Password={accessToken.Token}";

// Establish the connection.
using (var connection = new NpgsqlConnection(connectionString))
{
    Console.WriteLine("Opening connection using access token...");
    connection.Open();
}

Java

1. pom.xml 파일에서 다음 종속성을 추가합니다.

   <dependency>
       <groupId>org.postgresql</groupId>
       <artifactId>postgresql</artifactId>
       <version>42.3.6</version>
   </dependency>
   <dependency>
       <groupId>com.azure</groupId>
       <artifactId>azure-identity-extensions</artifactId>
       <version>1.1.5</version>
   </dependency>
   

2. 환경 변수에서 연결 문자열을 가져와서 플러그 인 이름을 추가하여 데이터베이스에 연결합니다.

   import java.sql.*;
   
   String url = System.getenv("AZURE_POSTGRESQL_CONNECTIONSTRING");
   String pluginName = "com.Azure.identity.extensions.jdbc.postgresql.AzurePostgresqlAuthenticationPlugin";  
   Connection connection = DriverManager.getConnection(url + "&authenticationPluginClassName=" + pluginName);
   

자세한 내용은 다음 리소스를 참조하세요.

• 자습서: 관리 ID를 사용하여 비밀 없이 Java Quarkus Container 앱에서 PostgreSQL Database에 연결
• 자습서: 관리 ID를 사용하여 비밀 없이 Java Tomcat App Service에서 PostgreSQL Database에 연결
• 빠른 시작: Azure Database for PostgreSQL 유연한 서버에서 Java 및 JDBC 사용
• Azure Database for PostgreSQL에서 암호 없는 연결을 사용하도록 애플리케이션 마이그레이션

SpringBoot

Spring 애플리케이션의 경우 --client-type springboot 옵션을 사용하여 연결을 만드는 경우 서비스 커넥터는 spring.datasource.azure.passwordless-enabled, spring.datasource.url 및 spring.datasource.username 속성을 Azure Spring Apps로 설정합니다.

Azure Database for PostgreSQL을 Azure Spring Apps의 애플리케이션에 바인딩 자습서에 따라 애플리케이션을 업데이트합니다. 이전에 spring.datasource.password 구성 속성을 설정했으면 제거하고, Spring 애플리케이션에 올바른 종속성을 추가합니다.

자세한 자습서는 Azure Database for PostgreSQL에서 Spring Data JDBC 사용 및 자습서: Azure Spring Apps에 Spring 애플리케이션을 배포하고 암호 없는 연결을 사용하여 Azure 데이터베이스에 연결을 참조하세요.

Python

1. 종속성을 설치합니다.

   pip install azure-identity
   pip install psycopg2-binary
   

2. azure-identity 라이브러리를 사용하여 액세스 토큰을 가져오고 토큰을 암호로 사용합니다. 서비스 커넥터가 추가한 환경 변수에서 연결 정보를 가져옵니다. 아래 코드를 사용하는 경우 사용하려는 인증 유형에 대한 코드 조각 부분의 주석 처리를 제거합니다.

   from azure.identity import DefaultAzureCredential
   import psycopg2
   
   # Uncomment the following lines according to the authentication type.
   # For system-assigned identity.
   # cred = DefaultAzureCredential()
   
   # For user-assigned identity.
   # managed_identity_client_id = os.getenv('AZURE_POSTGRESQL_CLIENTID')
   # cred = ManagedIdentityCredential(client_id=managed_identity_client_id)   
   
   # For service principal.
   # tenant_id = os.getenv('AZURE_POSTGRESQL_TENANTID')
   # client_id = os.getenv('AZURE_POSTGRESQL_CLIENTID')
   # client_secret = os.getenv('AZURE_POSTGRESQL_CLIENTSECRET')
   # cred = ClientSecretCredential(tenant_id=tenant_id, client_id=client_id, client_secret=client_secret)
   
   # Acquire the access token
   accessToken = cred.get_token('https://ossrdbms-aad.database.windows.net/.default')
   
   # Combine the token with the connection string from the environment variables added by Service Connector to establish the connection.
   conn_string = os.getenv('AZURE_POSTGRESQL_CONNECTIONSTRING')
   conn = psycopg2.connect(conn_string + ' password=' + accessToken.token) 
   

Django

1. 종속성을 설치합니다.

   pip install azure-identity
   

2. azure-identity 라이브러리를 사용하여 서비스 커넥터가 추가한 환경 변수를 통해 액세스 토큰을 가져옵니다. 아래 코드를 사용하는 경우 사용하려는 인증 유형에 대한 코드 조각 부분의 주석 처리를 제거합니다.

   from azure.identity import DefaultAzureCredential
   import psycopg2
   
   # Uncomment the following lines according to the authentication type.
   # For system-assigned identity.
   # credential = DefaultAzureCredential()
   
   # For user-assigned identity.
   # managed_identity_client_id = os.getenv('AZURE_POSTGRESQL_CLIENTID')
   # cred = ManagedIdentityCredential(client_id=managed_identity_client_id)    
   
   # For service principal.
   # tenant_id = os.getenv('AZURE_POSTGRESQL_TENANTID')
   # client_id = os.getenv('AZURE_POSTGRESQL_CLIENTID')
   # client_secret = os.getenv('AZURE_POSTGRESQL_CLIENTSECRET')
   # cred = ClientSecretCredential(tenant_id=tenant_id, client_id=client_id, client_secret=client_secret)
   
   # Acquire the access token.
   accessToken = cred.get_token('https://ossrdbms-aad.database.windows.net/.default')
   

3. 설정 파일의 서비스 커넥터 서비스가 추가한 환경 변수에서 Azure PostgreSQL 데이터베이스 정보를 가져옵니다. 이전 단계에서 얻은 accessToken을 사용하여 데이터베이스에 액세스합니다.

   # In your setting file, eg. settings.py
   host = os.getenv('AZURE_POSTGRESQL_HOST')
   user = os.getenv('AZURE_POSTGRESQL_USER')
   password = accessToken.token # this is accessToken acquired from above step.
   database = os.getenv('AZURE_POSTGRESQL_NAME')
   
   DATABASES = {
       'default': {
           'ENGINE': 'django.db.backends.postgresql_psycopg2',
           'NAME': database,
           'USER': user,
           'PASSWORD': password,
           'HOST': host,
           'PORT': '5432',  # Port is 5432 by default 
           'OPTIONS': {'sslmode': 'require'},
       }
   }
   

Go

1. 종속성을 설치합니다.

   go get github.com/lib/pq
   go get "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
   go get "github.com/Azure/azure-sdk-for-go/sdk/azcore"
   

2. 코드에서 azidentity를 사용하여 액세스 토큰을 가져오고 이 액세스 토큰을 암호로 사용하여 서비스 커넥터가 제공하는 연결 정보로 Azure PostgreSQL에 연결합니다. 아래 코드를 사용하는 경우 사용하려는 인증 유형에 대한 코드 조각 부분의 주석 처리를 제거합니다.

   import (
   "database/sql"
   "fmt"
   "os"
   
   "context"
   
   "github.com/Azure/azure-sdk-for-go/sdk/azcore/policy"
   "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
   
    _ "github.com/lib/pq"
   )    
   
   // Uncomment the following lines according to the authentication type.
   // For system-assigned identity.
   // cred, err := azidentity.NewDefaultAzureCredential(nil)
   
   // For user-assigned identity.
   // clientid := os.Getenv("AZURE_POSTGRESQL_CLIENTID")
   // azidentity.ManagedIdentityCredentialOptions.ID := clientid
   // options := &azidentity.ManagedIdentityCredentialOptions{ID: clientid}
   // cred, err := azidentity.NewManagedIdentityCredential(options)
   
   // For service principal.
   // clientid := os.Getenv("AZURE_POSTGRESQL_CLIENTID")
   // tenantid := os.Getenv("AZURE_POSTGRESQL_TENANTID")
   // clientsecret := os.Getenv("AZURE_POSTGRESQL_CLIENTSECRET")
   // cred, err := azidentity.NewClientSecretCredential(tenantid, clientid, clientsecret, &azidentity.ClientSecretCredentialOptions{})
   
   if err != nil {
       // error handling
   }
   
   // Acquire the access token
   ctx, cancel := context.WithTimeout(context.Background(), 30*time.Second)
   token, err := cred.GetToken(ctx, policy.TokenRequestOptions{
       Scopes: []string("https://ossrdbms-aad.database.windows.net/.default"),
   })
   
   // Combine the token with the connection string from the environment variables added by Service Connector to establish the connection.
   connectionString := os.Getenv("AZURE_POSTGRESQL_CONNECTIONSTRING") + " password=" + token.Token
   
   conn, err := sql.Open("postgres", connectionString)
    if err != nil {
    	panic(err)
    }
   
    conn.Close()
   

NodeJS

1. 종속성을 설치합니다.

   npm install --save @azure/identity
   npm install --save pg
   

2. 코드에서 @azure/identity 및 서비스 커넥터 서비스가 추가한 환경 변수의 PostgreSQL 연결 정보를 사용하여 액세스 토큰을 가져옵니다. 이들을 결합하여 연결을 설정합니다. 아래 코드를 사용하는 경우 사용하려는 인증 유형에 대한 코드 조각 부분의 주석 처리를 제거합니다.

   import { DefaultAzureCredential, ClientSecretCredential } from "@azure/identity";
   const { Client } = require('pg');
   
   // Uncomment the following lines according to the authentication type.  
   // For system-assigned identity.
   // const credential = new DefaultAzureCredential();
   
   // For user-assigned identity.
   // const clientId = process.env.AZURE_POSTGRESQL_CLIENTID;
   // const credential = new DefaultAzureCredential({
   //     managedIdentityClientId: clientId
   // });
   
   // For service principal.
   // const tenantId = process.env.AZURE_POSTGRESQL_TENANTID;
   // const clientId = process.env.AZURE_POSTGRESQL_CLIENTID;
   // const clientSecret = process.env.AZURE_POSTGRESQL_CLIENTSECRET;
   
   // Acquire the access token.
   var accessToken = await credential.getToken('https://ossrdbms-aad.database.windows.net/.default');
   
   // Use the token and the connection information from the environment variables added by Service Connector to establish the connection.
   (async () => {
   const client = new Client({
       host: process.env.AZURE_POSTGRESQL_HOST,
       user: process.env.AZURE_POSTGRESQL_USER,
       password: accesstoken.token,
       database: process.env.AZURE_POSTGRESQL_DATABASE,
       port: Number(process.env.AZURE_POSTGRESQL_PORT) ,
       ssl: process.env.AZURE_POSTGRESQL_SSL
   });
   await client.connect();
   
   await client.end();
   })();
   

PHP

PHP의 경우 암호 없는 연결을 지원하는 플러그 인 또는 라이브러리가 없습니다. 관리 ID 또는 서비스 주체에 대한 액세스 토큰을 가져와 암호로 사용하여 데이터베이스에 연결할 수 있습니다. 액세스 토큰은 Azure REST API를 사용하여 얻을 수 있습니다.

1. 코드에서 선호하는 라이브러리와 함께 REST API를 사용하여 액세스 토큰을 가져옵니다.

   사용자가 할당한 ID와 시스템이 할당한 ID의 경우 App Service 및 Container Apps는 IDENTITY_ENDPOINT 및 IDENTITY_HEADER 환경 변수를 정의하여 관리 ID에 대한 토큰을 검색할 수 있는, 내부적으로 액세스 가능한 REST 엔드포인트를 제공합니다. 자세한 내용은 REST 엔드포인트 참조에서 확인할 수 있습니다. ID 엔드포인트에 대한 HTTP GET 요청을 만들어 액세스 토큰을 가져오고, 쿼리에서 https://ossrdbms-aad.database.windows.net을 resource로 사용합니다. 사용자가 할당한 ID의 경우 서비스 커넥터가 추가한 환경 변수의 클라이언트 ID도 쿼리에 포함시킵니다.

   서비스 주체의 경우 Azure AD 서비스 간 액세스 토큰 요청을 참조하여 액세스 토큰을 가져오는 자세한 방법을 확인합니다. 서비스 커넥터가 추가한 환경 변수의 서비스 주체 테넌트 ID, 클라이언트 ID 및 클라이언트 암호를 사용하여 https://ossrdbms-aad.database.windows.net/.default 범위까지 POST 요청을 만듭니다.

2. 서비스 커넥터 서비스가 추가한 환경 변수의 액세스 토큰과 PostgreSQL 연결 문자열을 결합하여 연결을 설정합니다.

   <?php
   $conn_string = sprintf("%s password=", getenv('AZURE_POSTGRESQL_CONNECTIONSTRING'), $access_token);
   $dbconn = pg_connect($conn_string);
   ?>
   

Ruby

Ruby의 경우 암호 없는 연결을 지원하는 플러그 인 또는 라이브러리가 없습니다. 관리 ID 또는 서비스 주체에 대한 액세스 토큰을 가져와 암호로 사용하여 데이터베이스에 연결할 수 있습니다. 액세스 토큰은 Azure REST API를 사용하여 얻을 수 있습니다.

1. 종속성을 설치합니다.

   gem install pg
   

2. 코드에서 REST API 및 서비스 커넥터 서비스가 추가한 환경 변수의 PostgreSQL 연결 정보를 사용하여 액세스 토큰을 가져옵니다. 이들을 결합하여 연결을 설정합니다. 아래 코드를 사용하는 경우 사용하려는 인증 유형에 대한 코드 조각 부분의 주석 처리를 제거합니다.

   App Service 및 Container Apps는 관리 ID에 대한 토큰을 검색할 수 있는 내부적으로 액세스 가능한 REST 엔드포인트를 제공합니다. 자세한 내용은 REST 엔드포인트 참조에서 확인할 수 있습니다.

   require 'pg'
   require 'dotenv/load'
   require 'net/http'
   require 'json'
   
   # Uncomment the following lines according to the authentication type.
   # For system-assigned identity.
   # uri = URI(ENV['IDENTITY_ENDPOINT'] + '?resource=https://ossrdbms-aad.database.windows.net&api-version=2019-08-01')
   # res = Net::HTTP.get_response(uri, {'X-IDENTITY-HEADER' => ENV['IDENTITY_HEADER'], 'Metadata' => 'true'})  
   
   # For user-assigned identity.
   # uri = URI(ENV[IDENTITY_ENDPOINT] + '?resource=https://ossrdbms-aad.database.windows.net&api-version=2019-08-01&client-id=' + ENV['AZURE_POSTGRESQL_CLIENTID'])
   # res = Net::HTTP.get_response(uri, {'X-IDENTITY-HEADER' => ENV['IDENTITY_HEADER'], 'Metadata' => 'true'})  
   
   # For service principal
   # uri = URI('https://login.microsoftonline.com/' + ENV['AZURE_POSTGRESQL_TENANTID'] + '/oauth2/v2.0/token')
   # params = {
   #     :grant_type => 'client_credentials',
   #     :client_id: => ENV['AZURE_POSTGRESQL_CLIENTID'],
   #     :client_secret => ENV['AZURE_POSTGRESQL_CLIENTSECRET'],
   #     :scope => 'https://ossrdbms-aad.database.windows.net/.default'
   # }
   # req = Net::HTTP::POST.new(uri)
   # req.set_form_data(params)
   # req['Content-Type'] = 'application/x-www-form-urlencoded'
   # res = Net::HTTP.start(uri.hostname, uri.port, :use_ssl => true) do |http|
   #   http.request(req)
   
   parsed = JSON.parse(res.body)
   access_token = parsed["access_token"]
   
   # Use the token and the connection string from the environment variables added by Service Connector to establish the connection.
   conn = PG::Connection.new(
       connection_string: ENV['AZURE_POSTGRESQL_CONNECTIONSTRING'] + " password="  + access_token,
   )
   

   서비스 주체에 대한 액세스 토큰을 가져오는 자세한 방법은 Azure AD 서비스 간 액세스 토큰 요청을 참조하세요.

기타

다른 언어의 경우 서비스 커넥터가 환경 변수에 설정하는 연결 속성을 사용하여 데이터베이스를 연결합니다. 환경 변수에 대한 자세한 내용은 서비스 커넥터와 Azure Database for PostgreSQL 통합을 참조하세요.

다음으로, 서비스 커넥터를 사용하기 전에 PostgreSQL 유연한 서버에서 테이블 및 시퀀스를 만든 경우 소유자로 연결하고 서비스 커넥터에서 만든 <aad-username>에 사용 권한을 부여해야 합니다. 서비스 커넥터에 설정한 연결 문자열 또는 구성의 사용자 이름은 aad_<connection name>과 같습니다. Azure Portal을 사용하는 경우 Service Type 열 옆에 있는 확장 단추를 선택하고 값을 가져옵니다. Azure CLI를 사용하는 경우 CLI 명령 출력에서 configurations를 확인합니다.

그런 다음 쿼리를 실행하여 사용 권한을 부여합니다.

az extension add --name rdbms-connect

az postgres flexible-server execute -n <postgres-name> -u <owner-username> -p "<owner-password>" -d <database-name> --querytext "GRANT ALL PRIVILEGES ON ALL TABLES IN SCHEMA public TO \"<aad-username>\";GRANT ALL PRIVILEGES ON ALL SEQUENCES IN SCHEMA public TO \"<aad username>\";"

<owner-username> 및 <owner-password>는 다른 사용자에게 사용 권한을 부여할 수 있는 기존 테이블의 소유자입니다. <aad-username>은 서비스 커넥터에서 만든 사용자입니다. 실제 값으로 바꿉니다.

다음 명령을 사용하여 결과의 유효성을 검사합니다.

az postgres flexible-server execute -n <postgres-name> -u <owner-username> -p "<owner-password>" -d <database-name> --querytext "SELECT distinct(table_name) FROM information_schema.table_privileges WHERE grantee='<aad-username>' AND table_schema='public';" --output table

.NET

.NET의 경우 암호 없는 연결을 지원하는 플러그 인 또는 라이브러리가 없습니다. Azure.Identity와 같은 클라이언트 라이브러리를 사용하여 관리 ID 또는 서비스 주체에 대한 액세스 토큰을 가져올 수 있습니다. 그런 다음 액세스 토큰을 암호로 사용하여 데이터베이스에 연결할 수 있습니다. 아래 코드를 사용하는 경우 사용하려는 인증 유형에 대한 코드 조각 부분의 주석 처리를 제거합니다.

using Azure.Core;
using Azure.Identity;
using MySqlConnector;

// Uncomment the following lines according to the authentication type.
// For system-assigned managed identity.
// var credential = new DefaultAzureCredential();

// For user-assigned managed identity.
// var credential = new DefaultAzureCredential(
//     new DefaultAzureCredentialOptions
//     {
//         ManagedIdentityClientId = Environment.GetEnvironmentVariable("AZURE_MYSQL_CLIENTID");
//     });

// For service principal.
// var tenantId = Environment.GetEnvironmentVariable("AZURE_MYSQL_TENANTID");
// var clientId = Environment.GetEnvironmentVariable("AZURE_MYSQL_CLIENTID");
// var clientSecret = Environment.GetEnvironmentVariable("AZURE_MYSQL_CLIENTSECRET");
// var credential = new ClientSecretCredential(tenantId, clientId, clientSecret);

var tokenRequestContext = new TokenRequestContext(
    new[] { "https://ossrdbms-aad.database.windows.net/.default" });
AccessToken accessToken = await credential.GetTokenAsync(tokenRequestContext);
// Open a connection to the MySQL server using the access token.
string connectionString =
    $"{Environment.GetEnvironmentVariable("AZURE_MYSQL_CONNECTIONSTRING")};Password={accessToken.Token}";

using var connection = new MySqlConnection(connectionString);
Console.WriteLine("Opening connection using access token...");
await connection.OpenAsync();

// do something

Java

1. pom.xml 파일에서 다음 종속성을 추가합니다.

   <dependency>
       <groupId>mysql</groupId>
       <artifactId>mysql-connector-java</artifactId>
       <version>8.0.30</version>
   </dependency>
   <dependency>
       <groupId>com.azure</groupId>
       <artifactId>azure-identity-extensions</artifactId>
       <version>1.1.5</version>
   </dependency>
   

2. 환경 변수에서 연결 문자열을 가져와서 플러그 인 이름을 추가하여 데이터베이스에 연결합니다.

   String url = System.getenv("AZURE_MYSQL_CONNECTIONSTRING");  
   String pluginName = "com.azure.identity.extensions.jdbc.mysql.AzureMysqlAuthenticationPlugin";
   Connection connection = DriverManager.getConnection(url + "&defaultAuthenticationPlugin=" +
       pluginName + "&authenticationPlugins=" + pluginName);
   

자세한 내용은 Azure Database for MySQL - 유연한 서버에서 Java 및 JDBC 사용을 참조하세요.

SpringBoot

Spring 애플리케이션의 경우 --client-type springboot 옵션을 사용하여 연결을 만드는 경우 서비스 커넥터는 spring.datasource.azure.passwordless-enabled, spring.datasource.url 및 spring.datasource.username 속성을 Azure Spring Apps로 설정합니다.

자습서 Azure Database for MySQL 인스턴스를 Azure Spring Apps의 애플리케이션에 바인딩에 따라 애플리케이션을 업데이트합니다. 이전에 spring.datasource.password 구성 속성을 설정했으면 제거하고, Spring 애플리케이션에 올바른 종속성을 추가합니다.

자세한 내용은 자습서 Azure Database for MySQL에서 Spring Data JDBC 사용을 참조하세요.

Python

1. 종속성 설치

   pip install azure-identity
   # install Connector/Python https://dev.mysql.com/doc/connector-python/en/connector-python-installation.html
   pip install mysql-connector-python
   

2. azure-identity 라이브러리를 통해 액세스 토큰으로 인증하고 서비스 커넥터에서 추가한 환경 변수의 연결 정보를 가져옵니다. 아래 코드를 사용하는 경우 사용하려는 인증 유형에 대한 코드 조각 부분의 주석 처리를 제거합니다.

   from azure.identity import ManagedIdentityCredential, ClientSecretCredential
   import mysql.connector
   import os
   
   # Uncomment the following lines according to the authentication type.
   # For system-assigned managed identity.
   # cred = ManagedIdentityCredential()    
   
   # For user-assigned managed identity.
   # managed_identity_client_id = os.getenv('AZURE_MYSQL_CLIENTID')
   # cred = ManagedIdentityCredential(client_id=managed_identity_client_id)
   
   # For service principal
   # tenant_id = os.getenv('AZURE_MYSQL_TENANTID')
   # client_id = os.getenv('AZURE_MYSQL_CLIENTID')
   # client_secret = os.getenv('AZURE_MYSQL_CLIENTSECRET')
   # cred = ClientSecretCredential(tenant_id=tenant_id, client_id=client_id, client_secret=client_secret)
   
   # acquire token
   accessToken = cred.get_token('https://ossrdbms-aad.database.windows.net/.default')
   
   # open connect to Azure MySQL with the access token.
   host = os.getenv('AZURE_MYSQL_HOST')
   database = os.getenv('AZURE_MYSQL_NAME')
   user = os.getenv('AZURE_MYSQL_USER')
   password = accessToken.token
   
   cnx = mysql.connector.connect(user=user,
                                 password=password,
                                 host=host,
                                 database=database)
   cnx.close()
   
   

Django

1. 종속성을 설치합니다.

   pip install azure-identity
   

2. 서비스 커넥터에서 추가한 환경 변수를 사용하여 azure-identity 라이브러리를 통해 액세스 토큰을 가져옵니다. 아래 코드를 사용하는 경우 사용하려는 인증 유형에 대한 코드 조각 부분의 주석 처리를 제거합니다.

   from azure.identity import ManagedIdentityCredential, ClientSecretCredential
   import os
   
   # Uncomment the following lines according to the authentication type.
   # system-assigned managed identity
   # cred = ManagedIdentityCredential()
   
   # user-assigned managed identity
   # managed_identity_client_id = os.getenv('AZURE_MYSQL_CLIENTID')
   # cred = ManagedIdentityCredential(client_id=managed_identity_client_id)
   
   # service principal
   # tenant_id = os.getenv('AZURE_MYSQL_TENANTID')
   # client_id = os.getenv('AZURE_MYSQL_CLIENTID')
   # client_secret = os.getenv('AZURE_MYSQL_CLIENTSECRET')
   # cred = ClientSecretCredential(tenant_id=tenant_id, client_id=client_id, client_secret=client_secret)
   
   # acquire token
   accessToken = cred.get_token('https://ossrdbms-aad.database.windows.net/.default')
   

3. 설정 파일의 서비스 커넥터 서비스에서 추가한 환경 변수에서 Azure MySQL 데이터베이스 정보를 가져옵니다. 이전 단계에서 얻은 accessToken을 사용하여 데이터베이스에 액세스합니다.

   # in your setting file, eg. settings.py
   host = os.getenv('AZURE_MYSQL_HOST')
   database = os.getenv('AZURE_MYSQL_NAME')
   user = os.getenv('AZURE_MYSQL_USER')
   password = accessToken.token # this is accessToken acquired from above step.
   
   DATABASES = {
       'default': {
           'ENGINE': 'django.db.backends.mysql',
           'NAME': database,
           'USER': user,
           'PASSWORD': password,
           'HOST': host
       }
   }
   

Go

1. 종속성을 설치합니다.

   go get "github.com/go-sql-driver/mysql"
   go get "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
   go get "github.com/Azure/azure-sdk-for-go/sdk/azcore"
   

2. 코드에서 azidentity를 통해 액세스 토큰을 가져오고 해당 토큰으로 Azure MySQL에 연결합니다. 아래 코드를 사용하는 경우 사용하려는 인증 유형에 대한 코드 조각 부분의 주석 처리를 제거합니다.

   import (
     "context"
   
     "github.com/Azure/azure-sdk-for-go/sdk/azcore/policy"
     "github.com/Azure/azure-sdk-for-go/sdk/azidentity"
     "github.com/go-sql-driver/mysql"
   )
   
   
   func main() {
   
     // Uncomment the following lines according to the authentication type.
     // for system-assigned managed identity
     // cred, err := azidentity.NewDefaultAzureCredential(nil)
   
     // for user-assigned managed identity
     // clientid := os.Getenv("AZURE_MYSQL_CLIENTID")
     // azidentity.ManagedIdentityCredentialOptions.ID := clientid
     // options := &azidentity.ManagedIdentityCredentialOptions{ID: clientid}
     // cred, err := azidentity.NewManagedIdentityCredential(options)
   
     // for service principal
     // clientid := os.Getenv("AZURE_MYSQL_CLIENTID")
     // tenantid := os.Getenv("AZURE_MYSQL_TENANTID")
     // clientsecret := os.Getenv("AZURE_MYSQL_CLIENTSECRET")
     // cred, err := azidentity.NewClientSecretCredential(tenantid, clientid, clientsecret, &azidentity.ClientSecretCredentialOptions{})
   
     if err != nil {
     }
   
     ctx, cancel := context.WithTimeout(context.Background(), 30*time.Second)
     token, err := cred.GetToken(ctx, policy.TokenRequestOptions{
       Scopes: []string("https://ossrdbms-aad.database.windows.net/.default"),
     })
   
     connectionString := os.Getenv("AZURE_MYSQL_CONNECTIONSTRING") + ";Password=" + token.Token
     db, err := sql.Open("mysql", connectionString)
   }
   

NodeJS

1. 종속성 설치

   npm install --save @azure/identity
   npm install --save mysql2
   

2. @azure/identity 및 서비스 커넥터 서비스에서 추가한 환경 변수의 Azure MySQL 데이터베이스 정보를 사용하여 액세스 토큰을 가져옵니다. 아래 코드를 사용하는 경우 사용하려는 인증 유형에 대한 코드 조각 부분의 주석 처리를 제거합니다.

   import { DefaultAzureCredential,ClientSecretCredential } from "@azure/identity";
   
   const mysql = require('mysql2');
   
   // Uncomment the following lines according to the authentication type.
   // for system-assigned managed identity
   // const credential = new DefaultAzureCredential();
   
   // for user-assigned managed identity
   // const clientId = process.env.AZURE_MYSQL_CLIENTID;
   // const credential = new DefaultAzureCredential({
   //    managedIdentityClientId: clientId
   // });
   
   // for service principal
   // const tenantId = process.env.AZURE_MYSQL_TENANTID;
   // const clientId = process.env.AZURE_MYSQL_CLIENTID;
   // const clientSecret = process.env.AZURE_MYSQL_CLIENTSECRET;
   // const credential = new ClientSecretCredential(tenantId, clientId, clientSecret);
   
   // acquire token
   var accessToken = await credential.getToken('https://ossrdbms-aad.database.windows.net/.default');
   
   const connection = mysql.createConnection({
     host: process.env.AZURE_MYSQL_HOST,
     user: process.env.AZURE_MYSQL_USER,
     password: accessToken.token,
     database: process.env.AZURE_MYSQL_DATABASE,
     port: process.env.AZURE_MYSQL_PORT,
     ssl: process.env.AZURE_MYSQL_SSL
   });
   
   connection.connect((err) => {
     if (err) {
       console.error('Error connecting to MySQL database: ' + err.stack);
       return;
     }
     console.log('Connected to MySQL database');
   });
   

PHP

다른 언어의 경우 서비스 커넥터가 환경 변수에 설정하는 연결 문자열 및 사용자 이름을 사용하여 데이터베이스를 연결합니다. 환경 변수에 대한 자세한 내용은 Azure Database for MySQL을 서비스 커넥터와 통합을 참조하세요.

Ruby

다른 언어의 경우 서비스 커넥터가 환경 변수에 설정하는 연결 문자열 및 사용자 이름을 사용하여 데이터베이스를 연결합니다. 환경 변수에 대한 자세한 내용은 Azure Database for MySQL을 서비스 커넥터와 통합을 참조하세요.

기타

다른 언어의 경우 서비스 커넥터가 환경 변수에 설정하는 연결 속성을 사용하여 데이터베이스를 연결합니다. 환경 변수에 대한 자세한 내용은 Azure Database for MySQL을 서비스 커넥터와 통합을 참조하세요.

코드 샘플에 대한 자세한 내용은 관리 ID를 사용하여 비밀 없이 App Service에서 Azure 데이터베이스에 연결을 참조하세요.

.NET

1. 종속성을 설치합니다.

   dotnet add package Microsoft.Data.SqlClient
   

2. 서비스 커넥터에서 추가한 환경 변수에서 Azure SQL Database 연결 문자열을 가져옵니다.

   using Microsoft.Data.SqlClient;
   
   string connectionString = 
       Environment.GetEnvironmentVariable("AZURE_SQL_CONNECTIONSTRING")!;
   
   using var connection = new SqlConnection(connectionString);
   connection.Open();
   

   자세한 내용은 Active Directory 관리 ID 인증 사용을 참조하세요.

Java

1. pom.xml 파일에서 다음 종속성을 추가합니다.

   <dependency>
       <groupId>com.microsoft.sqlserver</groupId>
       <artifactId>mssql-jdbc</artifactId>
       <version>10.2.0.jre11</version>
   </dependency>
   <dependency>
       <groupId>com.azure</groupId>
       <artifactId>azure-identity</artifactId>
       <version>1.7.0</version>
   </dependency>
   

2. 서비스 커넥터에서 추가한 환경 변수에서 Azure SQL Database 연결 문자열을 가져옵니다.

   import java.sql.Connection;
   import java.sql.ResultSet;
   import java.sql.Statement;
   
   import com.microsoft.sqlserver.jdbc.SQLServerDataSource;
   
   public class Main {
       public static void main(String[] args) {
           // AZURE_SQL_CONNECTIONSTRING should be one of the following:
           // For system-assigned managed identity: "jdbc:sqlserver://{SQLName}.database.windows.net:1433;databaseName={SQLDbName};authentication=ActiveDirectoryMSI;"
           // For user-assigned managed identity: "jdbc:sqlserver://{SQLName}.database.windows.net:1433;databaseName={SQLDbName};msiClientId={UserAssignedMiClientId};authentication=ActiveDirectoryMSI;"
           // For service principal: "jdbc:sqlserver://{SQLName}.database.windows.net:1433;databaseName={SQLDbName};user={ServicePrincipalClientId};password={spSecret};authentication=ActiveDirectoryServicePrincipal;"
           String connectionString = System.getenv("AZURE_SQL_CONNECTIONSTRING");
           SQLServerDataSource ds = new SQLServerDataSource();
           ds.setURL(connectionString);
           try (Connection connection = ds.getConnection()) {
               System.out.println("Connected successfully.");
           } catch (SQLException e) {
               e.printStackTrace();
           }
       }
   }
   

   자세한 내용은 관리 ID를 사용하여 비밀 없이 App Service에서 Azure 데이터베이스에 연결을 참조하세요.

SpringBoot

Spring 애플리케이션의 경우 --client-type springboot 옵션을 사용하여 연결을 만드는 경우 서비스 커넥터는 값 형식이 jdbc:sqlserver://<sql-server>.database.windows.net:1433;databaseName=<sql-db>;authentication=ActiveDirectoryMSI;인 spring.datasource.url 속성을 Azure Spring Apps로 설정합니다.

Azure SQL Database에서 암호 없는 연결을 사용하도록 Java 애플리케이션 마이그레이션 자습서에 따라 애플리케이션을 업데이트합니다. 이전에 설정된 경우 spring.datasource.password 구성 속성을 제거하고 올바른 종속성을 추가해야 합니다.

Python

1. 종속성을 설치합니다.

   python -m pip install pyodbc
   

2. 서비스 커넥터가 추가한 환경 변수에서 Azure SQL Database 연결 구성을 가져옵니다. 아래 코드를 사용하는 경우 사용하려는 인증 유형에 대한 코드 조각 부분의 주석 처리를 제거합니다. Azure Container Apps를 컴퓨팅 서비스로 사용하거나 코드 조각의 연결 문자열 작동하지 않는 경우 Azure SQL Database와의 암호 없는 연결을 사용하여 액세스 토큰을 사용하여 Azure SQL Database에 연결하도록 Python 애플리케이션 마이그레이션을 참조하세요.

   import os
   import pyodbc
   
   server = os.getenv('AZURE_SQL_SERVER')
   port = os.getenv('AZURE_SQL_PORT')
   database = os.getenv('AZURE_SQL_DATABASE')
   authentication = os.getenv('AZURE_SQL_AUTHENTICATION')
   
   # Uncomment the following lines according to the authentication type.
   # For system-assigned managed identity.
   # connString = f'Driver={{ODBC Driver 18 for SQL Server}};Server=tcp:{server},{port};Database={database};Authentication={authentication};Encrypt=yes;TrustServerCertificate=no;Connection Timeout=30'
   
   # For user-assigned managed identity.
   # clientID = os.getenv('AZURE_SQL_USER')
   # connString = f'Driver={{ODBC Driver 18 for SQL Server}};Server=tcp:{server},{port};Database={database};UID={clientID};Authentication={authentication};Encrypt=yes;TrustServerCertificate=no;Connection Timeout=30'
   
   # For service principal.
   # user = os.getenv('AZURE_SQL_USER')
   # password = os.getenv('AZURE_SQL_PASSWORD')
   # connString = f'Driver={{ODBC Driver 18 for SQL Server}};Server=tcp:{server},{port};Database={database};UID={user};PWD={password};Authentication={authentication};Encrypt=yes;TrustServerCertificate=no;Connection Timeout=30'
   
   conn = pyodbc.connect(connString)
   

NodeJS

1. 종속성을 설치합니다.

   npm install mssql
   

2. 서비스 커넥터가 추가한 환경 변수에서 Azure SQL Database 연결 구성을 가져옵니다. 아래 코드를 사용하는 경우 사용하려는 인증 유형에 대한 코드 조각 부분의 주석 처리를 제거합니다.

   import sql from 'mssql';
   
   const server = process.env.AZURE_SQL_SERVER;
   const database = process.env.AZURE_SQL_DATABASE;
   const port = parseInt(process.env.AZURE_SQL_PORT);
   const authenticationType = process.env.AZURE_SQL_AUTHENTICATIONTYPE;
   
   // Uncomment the following lines according to the authentication type.
   // For system-assigned managed identity.
   // const config = {
   //     server,
   //     port,
   //     database,
   //     authentication: {
   //         type: authenticationType
   //     },
   //     options: {
   //        encrypt: true
   //     }
   // };  
   
   // For user-assigned managed identity.
   // const clientId = process.env.AZURE_SQL_CLIENTID;
   // const config = {
   //     server,
   //     port,
   //     database,
   //     authentication: {
   //         type: authenticationType
   //     },
   //     options: {
   //         encrypt: true,
   //         clientId: clientId
   //     }
   // };  
   
   // For service principal.
   // const clientId = process.env.AZURE_SQL_CLIENTID;
   // const clientSecret = process.env.AZURE_SQL_CLIENTSECRET;
   // const tenantId = process.env.AZURE_SQL_TENANTID;
   // const config = {
   //     server,
   //     port,
   //     database,
   //     authentication: {
   //         type: authenticationType
   //     },
   //     options: {
   //         encrypt: true,
   //         clientId: clientId,
   //         clientSecret: clientSecret,
   //         tenantId: tenantId
   //     }
   // };  
   
   this.poolconnection = await sql.connect(config);
   

기타

다른 언어의 경우 서비스 커넥터가 환경 변수에 설정하는 연결 속성을 사용하여 데이터베이스를 연결합니다. 환경 변수에 대한 자세한 내용은 Azure SQL Databas를 서비스 커넥터와 통합을 참조하세요.

자세한 내용은 Microsoft SQL Server로의 클라이언트 프로그래밍 홈페이지를 참조하세요.

Azure App Service에 애플리케이션 배포

마지막으로 Azure 호스팅 서비스에 애플리케이션을 배포합니다. 해당 원본 서비스는 관리 ID를 사용하여 Azure의 대상 데이터베이스에 연결할 수 있습니다.

App Service

Azure App Service의 경우 az webapp deploy 명령을 통해 애플리케이션 코드를 배포할 수 있습니다. 자세한 내용은 빠른 시작: ASP.NET 웹앱 배포를 참조하세요.

Spring Apps

Azure Spring Apps의 경우 az spring app deploy 명령을 통해 애플리케이션 코드를 배포할 수 있습니다. 자세한 내용은 빠른 시작: Azure Spring Apps에 첫 번째 애플리케이션 배포를 참조하세요.

Container Apps

Azure Container Apps의 경우 az containerapp create 명령을 통해 애플리케이션 코드를 배포할 수 있습니다. 자세한 내용은 빠른 시작: 첫 번째 컨테이너 앱 배포를 참조하세요.

그런 다음 로그를 확인하거나 애플리케이션을 호출하여 Azure 데이터베이스에 성공적으로 연결할 수 있는지 확인할 수 있습니다.

문제 해결

Permission

사용 권한 관련 오류가 발생하는 경우 az account show 명령을 사용하여 Azure CLI 로그인 사용자를 확인합니다. 올바른 계정으로 로그인해야 합니다. 다음으로, 서비스 커넥터를 사용하여 암호 없는 연결을 만드는 데 필요한 다음 권한이 있는지 확인합니다.

Permission	연산
Microsoft.DBforPostgreSQL/flexibleServers/read	데이터베이스 서버의 정보를 가져오는 데 필요
Microsoft.DBforPostgreSQL/flexibleServers/write	데이터베이스 서버에 대해 Microsoft Entra 인증을 사용하도록 설정하는 데 필요
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/write	로컬 IP 주소가 차단된 경우 방화벽 규칙을 만드는 데 필요
Microsoft.DBforPostgreSQL/flexibleServers/firewallRules/delete	보안 문제를 방지하기 위해 서비스 커넥터에서 만든 방화벽 규칙을 되돌리는 데 필요
Microsoft.DBforPostgreSQL/flexibleServers/administrators/read	Azure CLI 로그인 사용자가 데이터베이스 서버 Microsoft Entra 관리자인지 확인하는 데 필요
Microsoft.DBforPostgreSQL/flexibleServers/administrators/write	Azure CLI 로그인 사용자를 데이터베이스 서버 Microsoft Entra 관리자로 추가하는 데 필요

Permission	연산
Microsoft.DBforMySQL/flexibleServers/read	데이터베이스 서버의 정보를 가져오는 데 필요
Microsoft.DBforMySQL/flexibleServers/write	제공된 사용자가 할당한 관리 ID를 데이터베이스 서버에 추가하는 데 필요
Microsoft.DBforMySQL/flexibleServers/firewallRules/write	로컬 IP 주소가 차단된 경우 방화벽 규칙을 만드는 데 필요
Microsoft.DBforMySQL/flexibleServers/firewallRules/delete	보안 문제를 방지하기 위해 서비스 커넥터에서 만든 방화벽 규칙을 되돌리는 데 필요
Microsoft.DBforMySQL/flexibleServers/administrators/read	Azure CLI 로그인 사용자가 데이터베이스 서버 Microsoft Entra 관리자인지 확인하는 데 필요
Microsoft.DBforMySQL/flexibleServers/administrators/write	Azure CLI 로그인 사용자를 데이터베이스 서버 Microsoft Entra 관리자로 추가하는 데 필요

Permission	연산
Microsoft.Sql/servers/read	데이터베이스 서버의 정보를 가져오는 데 필요
Microsoft.Sql/servers/firewallRules/write	로컬 IP 주소가 차단된 경우 방화벽 규칙을 만드는 데 필요
Microsoft.Sql/servers/firewallRules/delete	보안 문제를 방지하기 위해 서비스 커넥터에서 만든 방화벽 규칙을 되돌리는 데 필요
Microsoft.Sql/servers/administrators/read	Azure CLI 로그인 사용자가 데이터베이스 서버 Microsoft Entra 관리자인지 확인하는 데 필요
Microsoft.Sql/servers/administrators/write	Azure CLI 로그인 사용자를 데이터베이스 서버 Microsoft Entra 관리자로 추가하는 데 필요

경우에 따라 권한이 필요하지 않습니다. 예를 들어 Azure CLI 인증 사용자가 이미 SQL 서버의 Active Directory 관리자인 경우 Microsoft.Sql/servers/administrators/write 권한이 필요하지 않습니다.

Microsoft Entra ID

ERROR: AADSTS530003: Your device is required to be managed to access this resource. 오류가 발생하면 IT 부서에 이 디바이스를 Microsoft Entra ID에 조인하는 방법에 대해 지원을 요청하세요. 자세한 내용은 Microsoft Entra 조인 디바이스를 참조하세요.

서비스 커넥터는 계정의 정보와 호스팅 서비스의 관리 ID를 가져오려면 Microsoft Entra ID에 액세스해야 합니다. 다음 명령을 사용하여 디바이스가 Microsoft Entra ID에 액세스할 수 있는지 확인할 수 있습니다.

az ad signed-in-user show

대화형으로 로그인하지 않은 경우 오류와 Interactive authentication is needed가 표시될 수도 있습니다. 오류를 해결하려면 az login 명령을 사용하여 로그인합니다.

네트워크 연결

데이터베이스 서버가 Virtual Network에 있는 경우 Azure CLI 명령을 실행하는 환경이 Virtual Network의 서버에 액세스할 수 있는지 확인합니다.

데이터베이스 서버가 Virtual Network에 있는 경우 Azure CLI 명령을 실행하는 환경이 Virtual Network의 서버에 액세스할 수 있는지 확인합니다.

데이터베이스 서버에서 공용 액세스를 허용하지 않는 경우 Azure CLI 명령을 실행하는 환경이 프라이빗 엔드포인트를 통해 서버에 액세스할 수 있는지 확인합니다.

다음 단계

서비스 커넥터 및 암호 없는 연결에 대한 자세한 내용은 다음 리소스를 참조하세요.

서비스 커넥터 설명서

Azure 서비스에 대한 암호 없는 연결