Azure Monitor SCOM Managed Instance Azure에 대한 관리 ID 사용

  • 아티클

클라우드 애플리케이션을 빌드할 때 일반적인 문제는 개발자 워크스테이션 또는 소스 제어에 로컬로 저장하지 않고 다양한 서비스를 인증하기 위해 코드에서 자격 증명을 안전하게 관리하는 방법입니다. 

Azure용 관리 ID는 자동으로 관리 ID를 제공하여 Azure Active Directory의 모든 리소스에 대해 이 문제를 해결합니다. 서비스의 ID를 사용하여 코드에서 자격 증명을 정렬하지 않고 키 자격 증명 모음을 포함하여 Azure Active Directory 인증을 지원하는 모든 서비스를 인증할 수 있습니다.

참고

  • Azure의 관리 ID 는 이전에 MSI(관리 서비스 ID)로 알려진 서비스의 새 이름입니다.
  • Azure 리소스에 대한 관리 ID는 Azure 구독용 Azure Active Directory에서 무료로 사용할 수 있습니다. 추가 비용은 없습니다.

개념

Azure의 관리 ID는 다음과 같은 몇 가지 주요 개념을 기반으로 합니다.

  • 클라이언트 ID - 초기 프로비저닝 중에 애플리케이션 및 서비스 주체에 연결된 Azure Active Directory에서 생성된 고유 식별자입니다. 자세한 내용은 애플리케이션(클라이언트) ID를 참조하세요.

  • 보안 주체 ID - Azure 리소스에 대한 역할 기반 액세스 권한을 부여하는 데 사용되는 관리 ID에 대한 서비스 주체 개체의 개체 ID입니다.

  • 서비스 주체 - 지정된 테넌트에서 Azure Active Directory 애플리케이션의 프로젝션을 나타내는 Azure Active Directory 개체입니다. 자세한 내용은 서비스 주체를 참조하세요.

관리 ID 유형

두 가지 종류의 관리 ID가 있습니다.

  • 시스템 할당 관리 ID: Azure 서비스 instance 직접 사용하도록 설정됩니다. 시스템 할당 ID의 수명 주기는 사용하도록 설정된 Azure 서비스 인스턴스에 대해 고유합니다.

  • 사용자 할당 관리 ID: 독립 실행형 Azure 리소스로 생성됩니다. ID는 하나 이상의 Azure 서비스 인스턴스에 할당될 수 있으며 해당 인스턴스의 수명 주기와 별도로 관리됩니다.

관리 ID 유형에 대한 자세한 내용은 Azure 리소스에 대한 관리 ID 작동 방식을 참조하세요.

SCOM Managed Instance 지원되는 시나리오

SCOM Managed Instance Azure에 배포된 SCOM Managed Instances에 대해 시스템 할당 관리 ID 및 사용자 할당 관리 ID를 모두 지원합니다. SCOM Managed Instance 관리 서버를 호스트하는 VMSS(Virtual Machine Scale Sets) 클러스터와 같은 다른 종속성 리소스를 만듭니다. SCOM Managed Instance 할당된 ID가 싱크 리소스로 인증하기 위해 기본 인프라에 위임되도록 HOBO v2를 사용하여 관리 ID를 온보딩했습니다. 이러한 ID는 다양한 시나리오에서 다른 Azure 서비스를 인증하는 데 사용됩니다.

  • 시스템이 할당한 관리 ID

    • SCOM Managed Instance 런타임에 instance 동작을 모니터링하여 다른 상태 또는 성능 메트릭을 Geneva 클러스터 서비스에 보냅니다. SCOM Managed Instance 리소스에 위임된 시스템 할당 ID는 Azure Geneva 클러스터 서비스에서 인증하는 데 사용됩니다.

  • 사용자가 할당한 관리 ID

    • SCOM Managed Instance 경우 관리 ID는 기존의 4개의 System Center Operations Manager 서비스 계정을 대체하고 SQL Managed Instance 데이터베이스에 액세스하는 데 사용됩니다. SCOM Managed Instance 고객 워크로드 모니터링 데이터를 SQL 관리형 instance 데이터베이스에 읽고 씁니다. SCOM Managed Instance 리소스에 할당된 사용자 할당 ID는 System Center Operations Manager 서버에서 SQL Managed instance 인증하는 데 사용됩니다.

    • SCOM Managed Instance 온보딩 프로세스는 고객 키 자격 증명 모음에 저장된 도메인 사용자 자격 증명을 사용합니다. 고객 키 자격 증명 모음의 비밀은 SCOM Managed Instance 할당된 관리 ID를 사용하여 액세스됩니다.

    SCOM Managed Instance 온보딩하는 동안 고객 키 자격 증명 모음 및 SQL Managed Instance 액세스할 수 있는 사용자 관리 ID를 제공해야 합니다.

MSI(관리 서비스 ID) 만들기

관리 서비스 ID를 만들고 Azure 리소스에서 적절한 액세스 수준을 제공합니다.

Key Vault 만들기 및 Key Vault에서 자격 증명을 비밀로 추가

보안을 위해 Active Directory에서 만든 도메인 계정을 Key Vault 계정에 저장합니다. Azure Key Vault는 키, 비밀 및 인증서에 대한 보안 저장소를 제공하는 클라우드 서비스입니다. 자세한 내용은 Azure Key Vault를 참조하세요.

SQL Managed Instance Active Directory 관리 값 설정

SQL Managed Instance Active Directory 관리 값을 설정합니다.