공유 수준 권한 할당
스토리지 계정에 대해 AD(Active Directory) 원본을 사용하도록 설정한 후에는 파일 공유에 대한 액세스 권한을 가져오기 위해 공유 수준 권한을 구성해야 합니다. 공유 수준 권한을 할당하는 방법에는 두 가지가 있습니다. 이를 특정 Microsoft Entra 사용자/그룹에 할당할 수 있고, 인증된 모든 ID에 기본 공유 수준 권한으로 할당할 수 있습니다.
Important
파일 소유권을 가져오는 기능을 포함하여 파일 공유에 대한 모든 관리 권한을 사용하려면 스토리지 계정 키가 있어야 합니다. ID 기반 인증에 모든 관리 제어가 지원되는 것은 아닙니다.
적용 대상
| 파일 공유 유형 | SMB | NFS |
|---|---|---|
| 표준 파일 공유(GPv2), LRS/ZRS |  |
 |
| 표준 파일 공유(GPv2), GRS/GZRS | |
|
| 프리미엄 파일 공유(FileStorage), LRS/ZRS | |
|
어떤 구성을 사용해야 하나요?
Azure 파일 공유에 대한 공유 수준 권한은 Microsoft Entra 사용자, 그룹 또는 서비스 주체에 대해 구성되는 반면, 디렉터리 및 파일 수준 권한은 Windows ACL(액세스 제어 목록)을 사용하여 적용됩니다. Azure 파일 공유에 대한 AD DS 인증을 지원하려면 AD DS에서 동일한 사용자, 그룹 또는 서비스 주체를 나타내는 Microsoft Entra ID에 공유 수준 권한을 할당해야 합니다. Azure 관리 ID(MSI)와 같이 Microsoft Entra ID에만 존재하는 ID에 대한 인증 및 권한 부여는 지원되지 않습니다.
대부분의 사용자는 특정 Microsoft Entra 사용자 또는 그룹에 공유 수준 권한을 할당한 다음 디렉터리 및 파일 수준에서 세부적인 액세스 제어를 위해 Windows ACL을 사용해야 합니다. 이는 가장 엄격하고 안전한 구성입니다.
대신 기본 공유 수준 권한을 사용하여 모든 인증된 ID에 대한 기여자, 상승된 기여자 또는 읽기 권한자 액세스를 허용하는 것이 권장되는 세 가지 시나리오가 있습니다.
- 온-프레미스 AD DS를 Microsoft Entra ID에 동기화할 수 없는 경우 기본 공유 수준 권한을 사용할 수 있습니다. 기본 공유 수준 권한을 할당하면 Microsoft Entra ID의 ID에 대한 권한을 할당할 필요가 없으므로 동기화 요구 사항을 해결할 수 있습니다. 그런 다음, 파일 및 디렉터리에 대한 세분화된 권한 적용을 위해 Windows ACL을 사용할 수 있습니다.
- AD에 연결되어 있지만 Microsoft Entra ID와 동기화되지 않는 ID도 기본 공유 수준 권한을 활용할 수 있습니다. 여기에는 sMSA(독립 실행형 관리 서비스 계정), gMSA(그룹 관리 서비스 계정) 및 컴퓨터 계정이 포함될 수 있습니다.
- 사용 중인 온-프레미스 AD DS는 파일 공유가 배포된 Microsoft Entra ID와 다른 Microsoft Entra ID로 동기화됩니다.
- 이는 다중 테넌트 환경을 관리하는 경우에 일반적입니다. 기본 공유 수준 권한을 사용하면 Microsoft Entra ID 하이브리드 ID에 대한 요구 사항을 무시할 수 있습니다. 세분화된 권한 적용을 위해 파일 및 디렉터리에서 Windows ACL을 계속 사용할 수 있습니다.
- 파일 및 디렉터리 수준에서 Windows ACL만 사용하여 인증을 적용하는 것이 좋습니다.
참고 항목
컴퓨터 계정에는 Microsoft Entra ID에 ID가 없으므로 해당 계정에 대해 Azure RBAC(역할 기반 액세스 제어)를 구성할 수 없습니다. 그러나 컴퓨터 계정은 기본 공유 수준 권한을 사용하여 파일 공유에 액세스할 수 있습니다.
공유 수준 권한
다음 표에는 공유 수준 권한과 이를 기본 제공 Azure RBAC 역할에 맞게 조정하는 방법이 나와 있습니다.
| 지원되는 기본 제공 역할 | 설명 |
|---|---|
| Storage 파일 데이터 SMB 공유 읽기 권한자 | Azure 파일 공유의 파일 및 디렉터리에 대한 읽기 액세스를 허용합니다. 이 역할은 Windows 파일 서버에서 읽기의 파일 공유 ACL과 유사합니다. 자세히 알아보기. |
| Storage 파일 데이터 SMB 공유 기여자 | Azure 파일 공유의 파일 및 디렉터리에 대한 읽기, 쓰기 및 삭제 액세스를 허용합니다. 자세히 알아보기. |
| Storage 파일 데이터 SMB 공유 높은 권한 기여자 | Azure 파일 공유의 파일 및 디렉터리에 대한 읽기, 쓰기, 삭제 및 수정 ACL을 허용합니다. 이 역할은 Windows 파일 서버에서 변경의 파일 공유 ACL과 유사합니다. 자세히 알아보기. |
특정 Microsoft Entra 사용자 또는 그룹에 대한 공유 수준 권한
특정 Microsoft Entra 사용자 또는 그룹을 사용하여 Azure 파일 공유 리소스에 액세스하려는 경우 해당 ID는 온-프레미스 AD DS 및 Microsoft Entra ID 모두에 존재하는 하이브리드 ID여야 합니다. 예를 들어, AD에 user1@onprem.contoso.com 사용자가 있고 Microsoft Entra Connect 동기화 또는 Microsoft Entra Connect 클라우드 동기화를 사용하여 Microsoft Entra ID에 user1@contoso.com으로 동기화했다고 가정해 보겠습니다. 이 사용자가 Azure Files에 액세스하려면 공유 수준 권한을 user1@contoso.com에 할당해야 합니다. 그룹 및 서비스 주체에도 동일한 개념이 적용됩니다.
Important
와일드카드(*) 문자를 사용하는 대신 작업 및 데이터 작업을 명시적으로 선언하여 권한을 할당합니다. 데이터 작업에 대한 사용자 지정 역할 정의에 와일드카드 문자가 포함된 경우 가능한 모든 데이터 작업에 대한 액세스 권한이 해당 역할에 할당된 모든 ID에 부여됩니다. 즉, 이러한 모든 ID에는 플랫폼에 추가된 새 데이터 작업도 부여됩니다. 새 작업 또는 데이터 작업을 통해 부여된 추가 액세스 및 권한은 와일드카드를 사용하는 고객에게 원치 않는 동작일 수 있습니다.
공유 수준 권한이 작동하려면 다음을 수행해야 합니다.
- 온-프레미스 Microsoft Entra Connect Sync 애플리케이션 또는 Microsoft Entra 관리 센터에서 설치할 수 있는 경량 에이전트인 Microsoft Entra Connect 클라우드 동기화를 사용하여 로컬 AD의 사용자 및 그룹을 Microsoft Entra ID로 동기화합니다.
- AD 동기화된 그룹을 RBAC 역할에 추가하여 스토리지 계정에 액세스할 수 있도록 합니다.
팁
선택 사항: SMB 서버 공유 수준 권한을 RBAC 권한으로 마이그레이션하려는 고객은 Move-OnPremSharePermissionsToAzureFileShare PowerShell cmdlet을 사용하여 온-프레미스에서 Azure로 디렉터리 및 파일 수준 권한을 마이그레이션할 수 있습니다. 이 cmdlet은 특정 온-프레미스 파일 공유의 그룹을 평가한 다음, 세 가지 RBAC 역할을 사용하여 적절한 사용자 및 그룹을 Azure 파일 공유에 씁니다. 이 cmdlet을 호출할 때 온-프레미스 공유 및 Azure 파일 공유에 대한 정보를 제공합니다.
Azure Portal, Azure PowerShell 또는 Azure CLI를 사용하여 공유 수준 권한을 부여하기 위해 사용자의 Microsoft Entra ID에 기본 제공 역할을 할당할 수 있습니다.
Important
공유 수준 권한은 완료되면 적용되는 데 최대 3시간이 걸립니다. 자격 증명을 사용하여 파일 공유에 연결하기 전에 권한이 동기화될 때까지 기다리세요.
Azure Portal을 사용하여 Microsoft Entra ID에 Azure 역할을 할당하려면 다음 단계를 따릅니다.
- Azure Portal에서 파일 공유로 이동하거나 파일 공유를 만듭니다.
- 액세스 제어(IAM)를 선택합니다.
- 역할 할당 추가를 선택합니다.
- 역할 할당 추가 블레이드의 역할 목록에서 적절한 기본 제공 역할을 선택합니다.
- 스토리지 파일 데이터 SMB 공유 Reader
- 스토리지 파일 데이터 SMB 공유 Contributor
- 스토리지 파일 데이터 SMB 공유 관리자 권한 Contributor
- 액세스 할당을 기본 설정인 Microsoft Entra 사용자, 그룹 또는 서비스 주체로 둡니다. 이름이나 이메일 주소로 대상 Microsoft Entra ID를 선택합니다. 선택한 Microsoft Entra ID는 하이브리드 ID여야 하며 클라우드 전용 ID일 수 없습니다. 즉, 동일한 ID가 AD DS에도 표시됩니다.
- 저장을 선택하여 역할 할당 작업을 완료합니다.
모든 인증된 ID에 대한 공유 수준 권한
Microsoft Entra 사용자 또는 그룹에 대한 공유 수준 권한을 구성하는 대신 스토리지 계정에 기본 공유 수준 권한을 추가할 수 있습니다. 스토리지 계정에 할당된 기본 공유 수준 권한은 스토리지 계정에 포함된 모든 파일 공유에 적용됩니다.
기본 공유 수준 권한을 설정하면 인증된 모든 사용자와 그룹에 동일한 권한이 부여됩니다. 인증된 사용자 또는 그룹은 스토리지 계정이 연결된 온-프레미스 AD DS에 대해 ID를 인증할 수 있는 것으로 식별됩니다. 기본 공유 수준 권한은 초기화 시 없음으로 설정되어 Azure 파일 공유의 파일 또는 디렉터리에 대한 액세스가 허용되지 않습니다.
Azure Portal을 사용하여 스토리지 계정에 대한 기본 공유 수준 권한을 구성하려면 다음 단계를 수행합니다.
Azure Portal에서 파일 공유가 포함된 스토리지 계정으로 이동한 후 데이터 스토리지 > 파일 공유를 선택합니다.
기본 공유 수준 권한을 할당하기 전에 스토리지 계정에서 AD 원본을 사용하도록 설정해야 합니다. 이미 이 작업을 수행한 경우 Active Directory를 선택하고 다음 단계를 진행합니다. 그렇지 않으면 Active Directory: 구성되지 않음을 선택하고 원하는 AD 원본에서 설정을 선택한 후 AD 원본을 사용하도록 설정합니다.
AD 원본을 사용하도록 설정한 후 구성을 위해 2단계: 공유 수준 권한 설정을 사용할 수 있습니다. 모든 인증된 사용자 및 그룹에 대해 사용 권한 사용을 선택합니다.
드롭다운 목록에서 기본 공유 권한으로 사용하도록 설정할 적절한 역할을 선택합니다.
저장을 선택합니다.
두 구성을 모두 사용하면 어떻게 되나요?
인증된 모든 Microsoft Entra 사용자 및 특정 Microsoft Entra 사용자/그룹에 권한을 할당할 수도 있습니다. 이 구성을 사용하면 특정 사용자 또는 그룹이 기본 공유 수준 권한 및 RBAC 할당에서 상위 수준 권한을 갖게 됩니다. 즉, 대상 파일 공유에 Storage 파일 데이터 SMB 읽기 권한자 역할을 사용자에게 부여했다고 합니다. 또한 인증된 모든 사용자에게 기본 공유 수준 권한인 스토리지 파일 데이터 SMB 공유의 승격된 기여자을 부여했습니다. 이 구성을 사용하면 해당 사용자는 파일 공유에 대해 스토리지 파일 데이터 SMB 공유의 승격된 기여자 수준의 액세스 권한을 갖게 됩니다. 상위 수준 권한은 항상 우선합니다.
다음 단계
이제 공유 수준 권한을 할당했으므로 디렉터리 및 파일 수준 권한을 구성할 수 있습니다. 공유 수준 권한을 적용하는 데 최대 3시간이 걸릴 수 있습니다.