Azure 역할 할당 조건을 사용하여 Azure Blob Storage에 대한 액세스 권한 부여

  • 아티클

ABAC(특성 기반 액세스 제어)는 보안 주체, 리소스, 환경 및 요청 자체와 관련된 특성을 기반으로 액세스 수준을 정의하는 권한 부여 전략입니다. ABAC를 사용하면 이러한 특성을 사용하여 술어로 표현된 조건을 기반으로 리소스에 대한 보안 주체 액세스 권한을 부여할 수 있습니다.

Azure ABAC는 Azure 역할 할당에 조건을 추가하여 Azure RBAC(Azure 역할 기반 액세스 제어)를 기반으로 합니다. 이를 통해 보안 주체, 리소스, 요청 및 환경 특성을 기반으로 역할 할당 조건을 제작할 수 있습니다.

Important

Azure ABAC(Azure 특성 기반 액세스 제어)는 표준 및 프리미엄 스토리지 계정 성능 계층 모두에서 request, resource, environmentprincipal 특성을 사용하여 Azure Blob Storage, Azure Data Lake Storage Gen2 및 Azure 큐에 대한 액세스를 제어하기 위한 GA(일반 공급)입니다. 현재 컨테이너 메타데이터 리소스 특성과 Blob 나열 포함 요청 특성은 미리 보기에 있습니다. Azure Storage용 ABAC의 전체 기능 상태 정보는 Azure Storage의 조건 기능 상태를 참조하세요.

베타, 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.

Azure 스토리지 조건 개요

Microsoft Entra ID(Microsoft Entra ID)를 사용하여 Azure RBAC를 사용하는 Azure Storage 리소스에 대한 요청을 승인할 수 있습니다. Azure RBAC는 역할 정의 및 역할 할당을 사용하여 리소스에 대한 액세스 권한이 있는 사용자와 이러한 리소스로 수행할 수 있는 작업을 정의하여 리소스에 대한 액세스를 관리하는 데 도움이 됩니다. Azure Storage는 Azure 스토리지 데이터에 액세스하는 데 사용되는 일반 권한 집합을 포함하는 Azure 기본 제공 역할 세트를 정의합니다. 선택 권한 집합을 사용하여 사용자 지정 역할을 정의할 수도 있습니다. Azure Storage는 스토리지 계정 및 Blob 컨테이너 모두에 대한 역할 할당을 지원합니다.

Azure ABAC는 특정 작업의 컨텍스트에서 역할 할당 조건을 추가하여 Azure RBAC를 기반으로 합니다. 역할 할당 조건은 스토리지 리소스에 대한 작업이 권한 부여될 때 평가되는 추가 검사입니다. 이 조건은 다음 중 하나와 연관된 특성을 사용하여 술어로 표현됩니다.

  • 권한 부여를 요청하는 보안 주체
  • 액세스가 요청되는 리소스
  • 요청 매개 변수
  • 요청이 이루어지는 환경

역할 할당 조건을 사용하면 다음과 같은 이점이 있습니다.

  • 리소스에 대한 세분화된 액세스 사용 - 예를 들어 스토리지 계정의 Blob에 대해서만 사용자에게 읽기 권한을 부여하려는 경우와 Blob이 Project=Sierra로 태그 지정된 경우 태그를 특성으로 사용하여 읽기 작업에 조건을 사용할 수 있습니다.
  • 만들고 관리해야 하는 역할 할당 수 줄이기 - 보안 그룹에 대한 일반화된 역할 할당을 사용한 다음, 일치하는 조건을 사용하여 그룹의 개별 멤버에 대한 액세스를 제한하면 됩니다. 액세스 중인 특정 리소스(예: Blob 또는 컨테이너)의 특성이 있는 보안 주체의 특성입니다.
  • 비즈니스 의미가 있는 특성 측면에서 액세스 제어 규칙 표현 - 예를 들어 프로젝트 이름, 비즈니스 애플리케이션, 조직 기능 또는 분류 수준을 나타내는 특성을 사용하여 약관을 표현할 수 있습니다.

조건 사용의 장단점은 조직 전체에서 특성을 사용할 때 체계적이고 일관된 분류 체계가 필요하다는 것입니다. 액세스가 손상되지 않도록 특성을 보호해야 합니다. 또한 조건을 신중하게 설계하고 효과를 검토해야 합니다.

Azure Storage의 역할 할당 조건은 Azure Blob 스토리지에 대해 지원됩니다. HNS(계층 구조 네임스페이스) 기능이 사용하도록 설정된 계정(Data Lake Storage Gen2)에 조건을 사용할 수도 있습니다.

지원되는 특성 및 작업

이러한 목표를 달성하기 위해 DataActions에 대한 역할 할당 조건을 구성할 수 있습니다. 사용자 지정 역할과 함께 조건을 사용하거나 기본 제공 역할을 선택할 수 있습니다. 스토리지 리소스 공급자를 통한 관리 작업에는 조건이 지원되지 않습니다.

기본 제공 역할 또는 사용자 지정 역할에 조건을 추가할 수 있습니다. 역할 할당 조건을 사용할 수 있는 기본 제공 역할은 다음과 같습니다.

역할에 조건을 지원하는 작업이 포함되어 있는 한 사용자 지정 역할과 함께 조건을 사용할 수 있습니다.

Blob 인덱스 태그를 기반으로 한 조건으로 작업하는 경우 태그 작업에 대한 권한이 이 역할에 포함되므로 스토리지 Blob 데이터 소유자를 사용해야 합니다.

참고 항목

Blob 인덱스 태그는 계층 구조 네임스페이스를 사용하는 Data Lake Storage Gen2 스토리지 계정에 지원되지 않습니다. HNS를 사용하도록 설정된 스토리지 계정에서 인덱스 태그를 사용하여 역할 할당 조건을 작성해서는 안됩니다.

Azure 역할 할당 조건 형식을 사용하면 조건에서 @Principal, @Resource, @Request 또는 @Environment 특성을 사용할 수 있습니다. @Principal 특성은 사용자, 엔터프라이즈 애플리케이션(서비스 주체) 또는 관리 ID와 같은 주체에 대한 사용자 지정 보안 특성입니다. @Resource 특성은 스토리지 계정, 컨테이너 또는 Blob과 같이 액세스 중인 스토리지 리소스의 기존 특성을 나타냅니다. @Request 특성은 스토리지 작업 요청에 포함된 특성 또는 매개 변수를 나타냅니다. @Environment 특성은 네트워크 환경 또는 요청 날짜 및 시간을 나타냅니다.

Azure RBAC는 구독당 제한된 수의 역할 할당을 지원합니다. 수천 개의 Azure 역할 할당을 만들어야 하는 경우 이 제한이 발생할 수 있습니다. 수백 또는 수천 개의 역할 할당을 관리하는 것은 어려울 수 있습니다. 경우에 따라 조건을 사용하여 스토리지 계정의 역할 할당 수를 줄이고 관리하기 쉽게 만들 수 있습니다. 보안 주체에 대한 조건과 Microsoft Entra 사용자 지정 보안 특성을 사용하여 역할 할당 관리의 크기를 조정할 수 있습니다.

Azure Storage의 조건 기능 상태

Azure ABAC(Azure 특성 기반 액세스 제어)는 표준 및 프리미엄 스토리지 계정 성능 계층 모두에서 request, resource, environmentprincipal 특성을 사용하여 Azure Blob Storage, Azure Data Lake Storage Gen2 및 Azure 큐에 대한 액세스를 제어하기 위한 GA(일반 공급)입니다. 현재 컨테이너 메타데이터 리소스 특성과 Blob 나열 포함 요청 특성은 미리 보기에 있습니다.

다음 표에서는 스토리지 리소스 종류 및 특성 유형별 ABAC의 현재 상태를 보여 줍니다. 특정 특성에 대한 예외도 표시됩니다.

리소스 유형 특성 유형 특성 가용성
Blob
Data Lake Storage Gen2
 요청
리소스
환경
주 서버		 이 표에 언급된 특성을 제외한 모든 특성 GA
Data Lake Storage Gen2 리소스 스냅샷 프리뷰
Blob
Data Lake Storage Gen2		 리소스 컨테이너 메타데이터 프리뷰
Blob 요청 Blob 나열 포함 프리뷰

베타, 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.

참고 항목

일부 스토리지 기능은 계층 구조 네임스페이스(HNS)를 사용하는 Data Lake Storage Gen2 스토리지 계정에 지원되지 않습니다. 자세한 내용은 Blob Storage 기능 지원을 참조하세요.

스토리지 계정에 대해 계층 구조 네임스페이스를 사용하는 경우 다음 ABAC 특성이 지원되지 않습니다.

다음 단계

참고 항목