Azure Spring Apps에서 애플리케이션에 관리 ID 사용
참고 항목
Azure Spring Apps는 Azure Spring Cloud 서비스의 새 이름입니다. 서비스에 새 이름이 지정되었지만, 자산을 업데이트하는 동안 스크린샷, 비디오, 다이어그램과 같은 일부 위치에서는 당분간 이전 이름이 표시됩니다.
이 문서의 적용 대상: ✔️ 기본/표준 ✔️ 엔터프라이즈
이 문서에서는 Azure Spring Apps에서 애플리케이션에 대해 시스템 할당 및 사용자 할당 관리 ID를 사용하는 방법을 보여줍니다.
Azure 리소스에 대한 관리 ID는 Microsoft Entra ID에서 자동으로 관리되는 ID를 Azure Spring Apps의 애플리케이션과 같은 Azure 리소스에 제공합니다. 이 ID를 사용하면 코드에 자격 증명이 없어도 Microsoft Entra 인증을 지원하는 모든 서비스에 인증할 수 있습니다.
기능 상태
| 시스템 할당 | 사용자 할당 |
|---|---|
| GA | GA |
애플리케이션의 관리 ID 관리
시스템 할당 관리 ID에 대해서는 시스템 할당 관리 ID를 사용 및 사용하지 않도록 설정하는 방법을 참조하세요.
사용자 할당 관리 ID에 대해서는 사용자 할당 관리 ID를 할당 및 제거하는 방법을 참조하세요.
Azure 리소스 토큰 가져오기
애플리케이션은 관리 ID를 사용하여 토큰을 가져와 Azure Key Vault와 같은 Microsoft Entra ID로 보호되는 다른 리소스에 액세스할 수 있습니다. 이러한 토큰은 애플리케이션의 특정 사용자가 아닌 리소스에 액세스하는 애플리케이션을 나타냅니다.
애플리케이션에서 액세스를 허용하도록 대상 리소스를 구성할 수 있습니다. 자세한 내용은 Azure Portal을 사용하여 리소스에 대한 관리 ID 액세스 할당을 참조하세요. 예를 들어 Key Vault에 액세스하는 토큰을 요청하는 경우 애플리케이션의 ID를 포함하는 액세스 정책을 추가했는지 확인합니다. 그렇지 않으면 토큰이 포함되어 있더라도 Key Vault 호출이 거부됩니다. Microsoft Entra 토큰을 지원하는 리소스에 대한 자세한 내용은 Microsoft Entra 인증을 지원하는 Azure 서비스를 참조하세요.
Azure Spring App는 Azure Virtual Machines와 토큰 획득을 위해 동일한 엔드포인트를 공유합니다. Java SDK 또는 Spring Boot 시작을 사용하여 토큰을 획득하는 것이 좋습니다. 다양한 코드 및 스크립트 예와 토큰 만료 및 HTTP 오류 처리와 같은 중요한 항목에 대한 지침은 Azure VM에서 Azure 리소스에 대한 관리 ID를 사용하여 액세스 토큰을 획득하는 방법을 참조하세요.
애플리케이션 코드에서 Azure 서비스 연결 예제
다음 표에서는 예제가 포함된 문서 링크를 보여줍니다.
| Azure 서비스 | 자습서 |
|---|---|
| Key Vault | 자습서: 관리 ID를 사용하여 Key Vault를 Azure Spring Apps 앱에 연결 |
| Azure 기능 | 자습서: 관리 ID를 사용하여 Azure Spring Apps 앱에서 Azure Functions 호출 |
| Azure SQL | 관리 ID를 사용하여 Azure SQL 데이터베이스를 Azure Spring Apps 앱에 연결 |
관리 ID를 사용하는 경우의 모범 사례
적합한 사용 사례가 아닌 한 시스템 할당 및 사용자 할당 관리 ID를 개별적으로 사용하는 것이 좋습니다. 두 종류의 관리 ID를 함께 사용하면 애플리케이션에 시스템 할당 관리 ID가 사용되고 애플리케이션이 해당 ID의 클라이언트 ID를 지정하지 않고 토큰을 가져오면 오류가 발생할 수 있습니다. 이 시나리오는 하나 이상의 사용자 할당 관리 ID가 해당 애플리케이션에 할당될 때까지 제대로 작동할 수 있으며, 그런 다음 애플리케이션이 올바른 토큰을 가져오지 못할 수 있습니다.
제한 사항
애플리케이션별 사용자 할당 관리 ID의 최대 개수
애플리케이션별 사용자 할당 관리 ID의 최대 개수는 Azure Spring Apps의 할당량 및 서비스 플랜을 참조하세요.
개념 매핑
다음 표에서는 관리 ID 범위와 Microsoft Entra 범위의 개념 간의 매핑을 보여 줍니다.
| 관리 ID 범위 | Microsoft Entra 범위 |
|---|---|
| 보안 주체 ID | 개체 ID입니다. |
| 클라이언트 ID | 애플리케이션 UI |