Azure Portal에서 파일 데이터에 대한 액세스 권한을 부여하는 방법 선택

  • 아티클

Azure Portal을 사용하여 파일 데이터에 액세스하는 경우 포털은 내부 Azure Files에 요청합니다. 이러한 요청은 Microsoft Entra 계정 또는 스토리지 계정 액세스 키를 사용하여 인증될 수 있습니다. 포털은 사용 중인 방법을 나타내며, 적절한 사용 권한이 있는 경우 두 방법 사이를 전환할 수 있습니다.

Azure Portal에서 개별 파일 공유 작업에 권한을 부여하는 방법을 지정할 수도 있습니다. 기본적으로 포털은 이미 사용 중인 방법을 사용하여 모든 파일 공유에 권한을 부여하지만 개별 파일 공유에 대해 이 설정을 변경할 수 있습니다.

파일 데이터에 액세스하는 데 필요한 권한

Azure Portal에서 파일 데이터에 대한 액세스 권한을 부여하려는 방법에 따라 특정 권한이 필요합니다. 대부분의 경우 이러한 권한은 Azure RBAC(Azure 역할 기반 액세스 제어)를 통해 제공됩니다.

Microsoft Entra 계정 사용

Azure Portal에서 Microsoft Entra 계정을 사용하여 파일 데이터에 액세스하려면 다음 명령문이 모두 true여야 합니다.

  • 파일 데이터에 대한 액세스 권한을 제공하는 기본 제공 또는 사용자 지정 역할을 할당받았습니다.
  • 최소한 스토리지 계정 수준 이상으로 범위가 지정된 Azure Resource Manager Reader 역할을 할당받았습니다. Reader 역할은 가장 제한된 사용 권한을 부여하지만, 스토리지 계정 관리 리소스에 대한 액세스 권한을 부여하는 다른 Azure Resource Manager 역할도 허용됩니다.

Azure Resource Manager 읽기 권한자 역할을 통해 사용자는 저장소 계정 리소스를 볼 수 있지만 수정할 수는 없습니다. Azure Storage의 데이터에 대한 읽기 권한은 제공하지 않고 계정 관리 리소스에 대해서만 읽기 권한을 제공합니다. 사용자가 Azure Portal의 파일 공유로 이동할 수 있도록 하는 데 Reader 역할이 필요합니다.

OAuth를 사용하여 파일 데이터에 액세스하는 데 필요한 권한이 있는 두 가지 새로운 기본 제공 역할이 있습니다.

파일 데이터에 대한 액세스를 지원하는 기본 제공 역할에 대한 자세한 내용은 REST를 통해 Azure Files OAuth에서 Microsoft Entra ID를 사용하여 Azure 파일 공유에 액세스를 참조하세요.

참고 항목

스토리지 파일 데이터 권한 있는 기여자 역할에는 Azure 파일 공유의 파일/디렉터리에 대한 ACL/NTFS 권한을 읽고, 쓰고, 삭제하고, 수정할 수 있는 권한이 있습니다. Azure Portal을 통해 ACL/NTFS 권한을 수정할 수 없습니다.

사용자 지정 역할은 기본 제공 역할이 제공하는 권한과 동일하되 다른 조합으로 지원합니다. Azure 사용자 지정 역할을 생성하는 방법에 대해 자세히 알고 싶다면, Azure 사용자 지정 역할Azure 리소스에 대한 역할 정의 이해를 참조하세요.

스토리지 계정 액세스 키 사용

스토리지 계정 액세스 키를 사용하여 파일 데이터에 액세스하려면 Azure RBAC 작업 Microsoft.Storage/storageAccounts/listkeys/action이 포함된 Azure 역할을 할당받아야 합니다. Azure 역할은 기본 제공 역할이거나 사용자 지정 역할일 수 있습니다. Microsoft.Storage/storageAccounts/listkeys/action을 지원하는 기본 제공 역할에는 다음이 포함됩니다(최소 권한에서 최대 권한 순으로 나열됨).

Azure Portal에서 파일 데이터에 액세스를 시도하면 포털은 먼저 Microsoft.Storage/storageAccounts/listkeys/action이 포함된 역할이 할당되었는지 여부를 확인합니다. 이 작업이 포함된 역할이 할당된 경우 포털은 스토리지 계정 키를 사용하여 파일 데이터에 액세스합니다. 이 작업에 대한 역할이 할당되지 않은 경우 포털은 Microsoft Entra 계정을 사용하여 데이터에 액세스하려고 시도합니다.

Important

Azure Resource Manager 읽기 전용 잠금을 사용하여 스토리지 계정이 잠긴 경우 해당 스토리지 계정에 대한 키 나열 작업이 허용되지 않습니다. 키 나열은 POST 작업으로, 계정에 대해 읽기 전용 잠금이 설정된 경우 모든 POST 작업이 차단됩니다. 이런 이유로 계정이 읽기 전용 잠금으로 잠긴 경우 사용자는 포털에서 Microsoft Entra 자격 증명을 사용하여 파일 데이터에 액세스해야 합니다. Microsoft Entra ID를 사용하여 Azure Portal에서 파일 데이터에 액세스하는 방법에 대한 자세한 내용은 Microsoft Entra 계정 사용을 참조하세요.

참고 항목

클래식 구독 관리자 역할인 서비스 관리자공동 관리자 역할에는 Azure Resource Manager 소유자 역할에 해당하는 역할이 포함됩니다. 소유자 역할은 Microsoft.Storage/storageAccounts/listkeys/action을 비롯한 모든 작업을 포함하므로, 이러한 관리자 역할 중 한 역할을 맡은 사용자가 스토리지 계정 키를 사용하여 파일 데이터에 액세스할 수도 있습니다. 자세한 내용은 Azure 역할, Microsoft Entra 역할 및 클래식 구독 관리자 역할을 참조하세요.

특정 파일 공유에 대한 작업에 권한을 부여하는 방법 지정

개별 파일 공유에 대한 인증 방법을 변경할 수 있습니다. 기본적으로 포털은 현재 인증 방법을 사용합니다. 현재 인증 방법을 확인하려면 다음 단계를 수행합니다.

  1. Azure Portal에서 스토리지 계정으로 이동하고 왼쪽 탐색 영역에서 데이터 스토리지>파일 공유를 선택합니다.
  2. 파일 공유를 선택합니다.
  3. 찾아보기를 선택합니다.
  4. 인증 방법은 현재 스토리지 계정 액세스 키 또는 Microsoft Entra 계정을 사용하여 파일 공유 작업을 인증하고 권한을 부여하고 있는지 여부를 나타냅니다. 현재 스토리지 계정 액세스 키를 사용하여 인증하는 경우 다음 이미지처럼 인증 방법으로 지정된 액세스 키가 표시됩니다. Microsoft Entra 계정을 사용하여 인증하는 경우 대신 지정된 Microsoft Entra 사용자 계정이 표시됩니다.

Screenshot showing the authentication method set to access key.

Microsoft Entra 계정으로 인증

Microsoft Entra 계정 사용으로 전환하려면 이미지에서 강조 표시된 Microsoft Entra 사용자 계정으로 전환이라는 링크를 선택합니다. 사용자에게 할당된 Azure 역할을 통해 적절한 권한이 있는 경우 계속 진행할 수 있습니다. 그러나 필요한 권한이 없는 경우 Microsoft Entra ID가 있는 사용자 계정을 통해 데이터를 나열할 권한이 없다는 오류 메시지가 표시됩니다.

Microsoft Entra 계정을 사용하려면 두 가지 추가 RBAC 권한이 필요합니다.

  • Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
  • Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action

Microsoft Entra 계정에 파일 공유를 볼 수 있는 권한이 없으면 목록에 파일 공유가 표시되지 않습니다.

스토리지 계정 액세스 키를 사용하여 인증

계정 액세스 키 사용으로 전환하려면 액세스 키로 전환이라는 링크를 선택합니다. 스토리지 계정 키에 대한 액세스 권한이 있는 경우 계속 진행할 수 있습니다. 그러나 계정 키에 대한 액세스 권한이 없는 경우 액세스 키를 사용하여 데이터를 나열할 수 있는 권한이 없다는 오류 메시지가 표시됩니다.

스토리지 계정 액세스 키에 대한 액세스 권한이 없는 경우 목록에 파일 공유가 표시되지 않습니다.

Azure Portal에서는 Microsoft Entra 권한 부여가 기본값입니다.

새 스토리지 계정을 만드는 경우 사용자가 파일 데이터로 이동할 때 Azure Portal이 Microsoft Entra ID를 사용하여 기본적으로 권한 부여로 설정되도록 지정할 수 있습니다. 기존 스토리지 계정에 대해 이 설정을 구성할 수도 있습니다. 이 설정은 기본 권한 부여 방법만 지정합니다. 사용자가 이 설정을 무시하고 스토리지 계정 키로 데이터 액세스 권한을 부여하도록 선택할 수 있습니다.

스토리지 계정을 만들 때 포털에서 기본적으로 데이터 액세스에 Microsoft Entra 권한 부여를 사용하도록 지정하려면 다음 단계를 따릅니다.

  1. 스토리지 계정 만들기의 지침에 따라 새 스토리지 계정을 만듭니다.

  2. 고급 탭의 보안 섹션에서 Azure Portal의 Microsoft Entra 권한 부여 기본값 옆에 있는 확인란을 선택합니다.

    Screenshot showing how to configure default Microsoft Entra authorization in Azure portal for new account.

  3. 검토 + 만들기를 선택하여 유효성 검사를 실행하고 스토리지 계정을 만듭니다.

기존 스토리지 계정에 대한 이 설정을 업데이트하려면 다음 단계를 따릅니다.

  1. Azure Portal의 스토리지 계정 개요로 이동합니다.
  2. 설정에서 구성을 선택합니다.
  3. Azure Portal의 Microsoft Entra 권한 부여 기본값사용으로 설정합니다.

참고 항목