자격 증명 모음 액세스 정책 및 Azure 역할 기반 액세스 제어를 포함하여 Key Vault에 대한 액세스 구성
Azure RBAC(Azure 역할 기반 액세스 제어)는 Azure 리소스의 세밀한 액세스를 관리하는 Azure Resource Manager 기반의 권한 부여 시스템입니다.
Azure RBAC를 통해 사용자는 키, 비밀 및 인증서 권한을 관리할 수 있습니다. 모든 키 자격 증명 모음에 대한 모든 사용 권한을 관리하는 한 곳을 제공합니다.
Azure RBAC 모델은 관리 그룹, 구독, 리소스 그룹 또는 개별 리소스의 다양한 범위 수준에서 사용 권한을 설정할 수 있습니다. 또한 키 자격 증명 모음용 Azure RBAC를 사용하면 사용자가 개별 키, 비밀 및 인증서에 대해 별도의 권한을 가질 수 있습니다.
개별 키, 비밀 및 인증서 역할 할당에 대한 모범 사례
환경별로 애플리케이션당 자격 증명 모음을 사용하는 것이 좋습니다(개발, 사전 프로덕션 및 프로덕션).
개별 키, 비밀 및 인증서 권한은 특정 시나리오에만 사용해야 합니다.
- 여러 애플리케이션 간에 개별 비밀 공유(예: 한 애플리케이션이 다른 애플리케이션의 데이터에 액세스해야 함)
Key Vault 데이터 평면 작업을 위한 Azure 기본 제공 역할
참고 항목
Key Vault 기여자 역할은 Key Vault를 관리하기 위한 관리 평면 작업에만 사용됩니다. 키, 비밀 및 인증서에 대한 액세스를 허용하지 않습니다.
| 기본 제공 역할 | 설명 | ID |
|---|---|---|
| Key Vault 관리자 | 인증서, 키, 비밀을 포함하여 Key Vault 및 해당 Key Vault에 있는 모든 개체에 대한 모든 데이터 평면 작업을 수행합니다. Key Vault 리소스를 관리하거나 역할 할당을 관리할 수 없습니다. 'Azure 역할 기반 액세스 제어' 권한 모델을 사용하는 Key Vault에만 적용됩니다. | 00482a5a-887f-4fb3-b363-3b7fe8e74483 |
| Key Vault 인증서 책임자 | 권한 관리를 제외한 Key Vault의 인증서에 대한 작업을 수행합니다. 'Azure 역할 기반 액세스 제어' 권한 모델을 사용하는 Key Vault에만 적용됩니다. | a4417e6f-fecd-4de8-b567-7b0420556985 |
| Key Vault 암호화 책임자 | 권한 관리를 제외한 Key Vault 키에 대한 작업을 수행합니다. 'Azure 역할 기반 액세스 제어' 권한 모델을 사용하는 Key Vault에만 적용됩니다. | 14b46e9e-c2b7-41b4-b07b-48a6ebf60603 |
| Key Vault 암호화 서비스 암호화 사용자 | 키의 메타데이터를 읽고 래핑/래핑 해제 작업을 수행합니다. 'Azure 역할 기반 액세스 제어' 권한 모델을 사용하는 Key Vault에만 적용됩니다. | e147488a-f6f5-4113-8e2d-b22465e65bf6 |
| Key Vault 암호화 사용자 | 키를 사용하여 암호화 작업을 수행합니다. 'Azure 역할 기반 액세스 제어' 권한 모델을 사용하는 Key Vault에만 적용됩니다. | 12338af0-0e69-4776-bea7-57ae8d297424 |
| Key Vault 읽기 권한자 | Key Vault 및 해당 인증서, 키, 비밀의 메타데이터를 읽습니다. 비밀 콘텐츠 또는 키 자료와 같은 중요한 값을 읽을 수 없습니다. 'Azure 역할 기반 액세스 제어' 권한 모델을 사용하는 Key Vault에만 적용됩니다. | 21090545-7ca7-4776-b22c-e363652d74d2 |
| Key Vault 비밀 책임자 | 권한 관리를 제외한 Key Vault의 비밀에 대한 작업을 수행합니다. 'Azure 역할 기반 액세스 제어' 권한 모델을 사용하는 Key Vault에만 적용됩니다. | b86a8fe4-44ce-4948-aee5-eccb2c155cd7 |
| Key Vault 비밀 사용자 | 프라이빗 키가 있는 인증서의 비밀 부분을 포함한 비밀 콘텐츠를 읽습니다. 'Azure 역할 기반 액세스 제어' 권한 모델을 사용하는 Key Vault에만 적용됩니다. | 4633458b-17de-408a-b874-0445c86b69e6 |
참고 항목
애플리케이션에는 프라이빗 키가 포함된 인증서의 비밀 부분이 필요하므로 Key Vault 인증서 사용자가 없습니다. 인증서를 검색하려면 애플리케이션에 Key Vault 비밀 사용자 역할을 사용해야 합니다.
기본 제공 Key Vault 데이터 평면 역할 할당 관리(미리 보기)
| 기본 제공 역할 | 설명 | ID |
|---|---|---|
| Key Vault 데이터 액세스 관리자(미리 보기) | Key Vault 관리자, Key Vault 인증서 책임자, Key Vault 암호화 책임자, Key Vault 암호화 서비스 암호화 사용자, Key Vault 암호화 사용자, Key Vault 읽기 권한자, Key Vault 비밀 책임자 또는 Key Vault 비밀 사용자 역할에 대한 역할 할당을 추가하거나 제거하여 Azure Key Vault에 대한 액세스를 관리합니다. 역할 할당을 제한하는 ABAC 조건을 포함합니다. | 8b54135c-b56d-4d72-a534-26097cfdc8d8 |
Key Vault에서 Azure RBAC 비밀, 키 및 인증서 사용 권한 사용
키 자격 증명 모음에 대한 새 Azure RBAC 권한 모델은 자격 증명 모음 액세스 정책 권한 모델에 대한 대안을 제공합니다.
필수 조건
Azure 구독이 있어야 합니다. 그렇지 않은 경우 시작하기 전에 체험 계정을 만들 수 있습니다.
역할 할당을 추가하려면 Key Vault 데이터 액세스 관리자(미리 보기), 사용자 액세스 관리자 또는 소유자와 같은 Microsoft.Authorization/roleAssignments/write 및 Microsoft.Authorization/roleAssignments/delete 권한이 있어야 합니다.