다음을 통해 공유


Blob 데이터에 액세스하기 위한 Azure 역할 할당

Microsoft Entra는 Azure RBAC(Azure 역할 기반 액세스 제어)를 통해 보안 리소스에 대한 액세스 권한을 권한 부여합니다. Azure Storage는 Blob 데이터에 액세스하는 데 사용되는 공통 권한 집합을 포함하는 Azure 기본 제공 역할 집합을 정의합니다.

Azure 역할이 Microsoft Entra 보안 주체에 할당되면 Azure는 해당 보안 주체에 해당 리소스에 대한 액세스 권한을 부여합니다. Microsoft Entra 보안 주체는 사용자, 그룹, 애플리케이션 서비스 주체 또는 Azure 리소스에 대한 관리 ID일 수 있습니다.

Microsoft Entra ID를 사용하여 Blob 데이터에 대한 액세스 권한을 부여하는 방법에 대한 자세한 내용은 Microsoft Entra ID 사용하여 Blob에 대한 액세스 권한 부여를 참조하세요.

참고 항목

이 문서에서는 스토리지 계정의 Blob 데이터에 액세스하기 위해 Azure 역할을 할당하는 방법을 보여줍니다. Azure Storage 관리 작업에 대한 역할을 할당하는 방법에 대한 자세한 내용은 Azure Storage 리소스 공급자를 사용하여 관리 리소스에 액세스를 참조하세요.

Azure 역할 할당

Azure Portal, PowerShell, Azure CLI 또는 Azure Resource Manager 템플릿을 사용하여 데이터 액세스 역할을 할당할 수 있습니다.

Microsoft Entra 자격 증명을 사용하여 Azure Portal의 Blob 데이터에 액세스하려면 사용자에게 다음 역할 할당이 있어야 합니다.

  • 데이터 액세스 역할(예: Storage Blob 데이터 읽기 권한자 또는 Storage Blob 데이터 기여자)
  • 최소한 Azure Resource Manager 읽기 권한자 역할

사용자에게 이러한 역할을 할당하는 방법을 알아보려면 Azure Portal을 사용하여 Azure 역할 할당에 제공된 지침을 따르세요.

읽기 권한자 역할은 사용자가 스토리지 계정 리소스를 볼 수 있지만 수정할 수는 없도록 허용하는 Azure Resource Manager 역할입니다. Azure Storage의 데이터에 대한 읽기 권한은 제공하지 않고 계정 관리 리소스에 대해서만 읽기 권한을 제공합니다. 사용자가 Azure Portal에서 Blob 컨테이너로 이동할 수 있도록 읽기 권한자 역할이 필요합니다.

예를 들어 샘플 컨테이너라는 컨테이너 수준에서 사용자 Mary에게 스토리지 Blob 데이터 기여자 역할을 할당하면 Mary에게 해당 컨테이너의 모든 Blob에 대한 읽기, 쓰기 및 삭제 권한이 부여됩니다. 그러나 Mary가 Azure Portal에서 Blob을 보려는 경우 스토리지 Blob 데이터 기여자 역할 자체만으로는 포털을 통해 Blob으로 이동할 수 있는 충분한 권한을 제공하지 않습니다. 포털을 탐색하고 여기에 표시되는 다른 리소스를 보려면 추가 권한이 필요합니다.

Microsoft Entra 자격 증명으로 Azure Portal을 사용하려면 사용자에게 읽기 권한자 역할을 할당해야 합니다. 그러나 사용자에게 Microsoft.Storage/storageAccounts/listKeys/action 권한이 있는 역할이 할당된 경우 사용자는 공유 키 권한 부여를 통해 스토리지 계정 키와 함께 포털을 사용할 수 있습니다. 스토리지 계정 키를 사용하려면 스토리지 계정에 공유 키 액세스가 허용되어야 합니다. 공유 키 액세스를 허용하거나 허용하지 않는 것에 대한 자세한 내용은 Azure Storage 계정에 대한 공유 키 권한 부여 방지를 참조하세요.

읽기 권한자 역할 이외의 추가 권한을 제공하는 Azure Resource Manager 역할을 할당할 수도 있습니다. 보안 모범 사례로 가능한 최소 사용 권한을 할당하는 것이 좋습니다. 자세한 내용은 Azure RBAC에 대한 모범 사례를 참조하세요.

참고 항목

Azure Portal에서 데이터 액세스를 위한 계정 키를 사용할 수도 있으므로 사용자가 데이터 액세스 역할을 자신에게 할당하기 전에 Azure Portal을 통해 스토리지 계정의 데이터에 액세스할 수 있습니다. 자세한 내용은 Azure Portal에서 Blob 데이터에 대한 액세스 권한을 부여하는 방법 선택을 참조하세요.

Azure Storage의 Azure 역할 할당에 대한 다음 사항에 유의하세요.

  • Azure Storage 계정을 만들 때 Microsoft Entra ID를 통해 데이터에 액세스할 수 있는 권한이 자동으로 할당되지 않습니다. Azure Storage에 Azure 역할을 자신에게 명시적으로 할당해야 합니다. 구독, 리소스 그룹, 스토리지 계정 또는 컨테이너 수준으로 지정할 수 있습니다.
  • 역할을 할당하거나 역할 할당을 제거하는 경우 변경 내용이 적용되는 데 최대 10분이 걸릴 수 있습니다.
  • 데이터 작업이 있는 기본 제공 역할은 관리 그룹 범위에서 할당할 수 있습니다. 그러나 드문 시나리오에서는 데이터 작업 권한이 특정 리소스 종류에 적용되기까지 상당한 지연(최대 12시간)이 있을 수 있습니다. 권한은 결국 적용됩니다. 데이터 작업이 있는 기본 제공 역할의 경우 관리 그룹 범위에서 역할 할당을 추가하거나 제거하는 것은 Microsoft Entra PIM(Privileged Identity Management)과 같은 시기 적절한 권한 활성화 또는 해지가 필요한 시나리오에는 권장되지 않습니다.
  • 스토리지 계정이 Azure Resource Manager 읽기 전용 잠금으로 잠긴 경우, 잠금으로 인해 스토리지 계정 또는 컨테이너로 범위가 지정된 Azure 역할을 할당할 수 없습니다.
  • Microsoft Entra ID를 통해 데이터에 액세스할 수 있는 적절한 허용 권한을 설정하고 데이터에 액세스할 수 없는 경우 예를 들어 "AuthorizationPermissionMismatch" 오류가 발생합니다. Microsoft Entra ID에서 변경한 사용 권한을 복제할 수 있는 충분한 시간을 허용하고 액세스를 차단하는 거부 할당이 없는지 확인해야 합니다. Azure 거부 할당 이해를 참조하세요.

참고 항목

Blob 데이터에 대한 세분화된 액세스를 위한 사용자 지정 Azure RBAC 역할을 만들 수 있습니다. 자세한 내용은 Azure 사용자 지정 역할을 참조하세요.

다음 단계