ID 및 Access Control
이 단원에서는 사용자를 인증하고 Azure 파일 공유에 대한 액세스를 제공하는 방법을 알아봅니다. Azure Files는 SMB를 통해 파일 공유에 액세스하는 고객을 위한 ID 기반 인증을 지원합니다. 또한 SMB 사용자는 스토리지 계정 키를 사용하여 인증할 수도 있습니다. NFS 파일 공유는 네트워크 수준 인증을 사용하므로 제한된 네트워크를 통해서만 액세스할 수 있습니다. NFS 파일 공유를 사용하려면 항상 일정 수준의 네트워킹 구성이 필요합니다. REST API를 통한 파일 공유 액세스는 특정 데이터 관리 작업에 공유 액세스 서명 및 스토리지 계정 키를 사용합니다.
ID 기반 인증: 고객은 Kerberos 인증 프로토콜을 통해 ID 기반 액세스를 사용할 수 있습니다. Active Directory 서비스는 사용자 이름, 암호, 연락처 정보 등과 같은 사용자 계정 정보를 저장합니다. Azure Files는 일반 디렉터리 서비스와 통합되어 사용자 계정 세부 정보를 확인하고 성공적인 인증을 사용하도록 설정합니다. SMB의 경우 ID 기반 인증이 가장 안전하고 권장되는 옵션입니다.
스토리지 계정 키: 스토리지 계정 키를 가진 사용자는 SMB 및 REST를 통해 슈퍼 사용자 권한으로 Azure 파일 공유에 액세스할 수 있습니다. 이상적으로는 슈퍼 사용자 관리자는 모든 액세스 제한을 우회하기 때문에 이 관리자만 스토리지 계정 키를 사용해야 합니다. 엔터프라이즈 고객이 사용하는 파일 공유의 경우 스토리지 계정 키는 조직 전체 액세스를 위한 확장 가능하거나 안전한 방법이 아니므로 권장하지 않습니다. 스토리지 계정 키를 공유하지 말고 ID 기반 인증을 사용하는 것이 안전합니다.
공유 액세스 서명: REST를 통해 액세스하는 고객은 SAS(공유 액세스 서명)를 사용하여 Azure Files로 인증할 수 있습니다. 공유 액세스 서명은 독립 소프트웨어 공급업체가 REST API 애플리케이션을 개발하고 Azure Files를 스토리지 솔루션으로 사용하는 특정 시나리오에서 사용됩니다. 또한 내부 파트너가 데이터 관리 작업을 위해 REST를 통해 액세스해야 하는 경우에도 사용됩니다. 공유 액세스 서명은 Azure Storage 리소스에 대한 제한된 액세스 권한을 부여하는 URI입니다. 공유 액세스 서명을 사용하면 클라이언트에게 스토리지 계정 키에 대한 액세스 권한을 부여하지 않고도 특정 스토리지 계정 리소스에 대한 액세스 권한을 부여할 수 있습니다.
ID 기반 인증
Azure Files는 Kerberos 프로토콜을 사용하여 SMB 파일 공유에 대한 ID 기반 인증을 지원합니다. 클라이언트에서 실행되는 사용자 또는 애플리케이션과 연결된 ID가 Azure 파일 공유의 데이터에 액세스하려고 하면 ID를 인증하기 위해 도메인 서비스로 요청이 전송됩니다. 인증에 성공하면 Kerberos 토큰이 반환됩니다. 클라이언트에서 Kerberos 토큰이 포함된 요청을 보내면 Azure 파일 공유에서 해당 토큰을 사용하여 요청에 권한을 부여합니다. Azure 파일 공유는 자격 증명에 액세스하지 않고 Kerberos 토큰만 수신합니다.
Azure Files는 SMB 파일 공유에 대해 다음과 같은 인증 방법을 지원합니다.
온-프레미스 AD DS(Active Directory Domain Services): Azure 파일 공유에 AD DS 인증을 사용하도록 설정하면 사용자가 온-프레미스 AD DS 자격 증명으로 인증할 수 있습니다. 온-프레미스 AD DS는 Microsoft Entra Connect 동기화를 사용하여 Microsoft Entra ID와 동기화되어야 합니다. 온-프레미스 AD DS와 Microsoft Entra ID 모두에 존재하는 하이브리드 사용자만 Azure 파일 공유 액세스에 대해 인증 및 권한을 부여받을 수 있습니다. 고객은 도메인 컨트롤러를 설정하고 컴퓨터 또는 VM(가상 머신)에 도메인 가입해야 합니다. 도메인 컨트롤러는 온-프레미스 또는 VM에서 호스트할 수 있지만 클라이언트는 온-프레미스 네트워크 또는 동일한 가상 네트워크에서 도메인 컨트롤러를 볼 수 있어야 합니다.
Microsoft Entra Domain Services: Microsoft Entra Domain Services 인증의 경우 고객은 파일 데이터에 액세스하려는 VM에 Domain Services 및 도메인 가입을 사용하도록 설정해야 합니다. 도메인 가입 VM은 Domain Services와 동일한 가상 네트워크에 있어야 합니다. 그러나 고객은 스토리지 계정을 나타내기 위해 Domain Services에서 ID를 만들 필요가 없습니다. 사용 프로세스는 백그라운드에서 ID를 만듭니다. 또한, Microsoft Entra ID에 존재하는 모든 사용자를 인증 및 권한 부여할 수 있습니다. 사용자는 클라우드 전용이거나 하이브리드일 수 있습니다. 플랫폼은 사용자 구성 없이도 Microsoft Entra ID에서 Domain Services로의 동기화를 관리합니다.
하이브리드 사용자 ID용 Microsoft Entra Kerberos: Azure Files는 클라우드에 동기화되는 온-프레미스 AD ID인 하이브리드 사용자 ID에 대한 Microsoft Entra Kerberos(이전의 Azure AD Kerberos) 인증을 지원합니다. 이 구성은 Microsoft Entra ID를 사용하여 SMB를 통해 파일 공유에 액세스하기 위한 Kerberos 티켓을 발급합니다. 즉, 최종 사용자는 Microsoft Entra 하이브리드 조인 및 Microsoft Entra 조인 VM에서 도메인 컨트롤러에 대한 가시적인 연결 없이도 인터넷을 통해 Azure 파일 공유에 액세스할 수 있습니다. 또한 이 기능을 통해 Azure Virtual Desktop 고객은 Azure 파일 공유를 만들어 하이브리드 사용자 ID가 액세스할 수 있는 사용자 프로필 컨테이너를 저장할 수 있습니다.
Linux 클라이언트용 AD 인증: Linux 클라이언트에 대한 인증은 AD DS 또는 Microsoft Entra Domain Services를 통해 지원됩니다.
ID 기반 인증에 대한 일반 사용 사례
다음은 ID 기반 인증을 사용하는 일반 시나리오입니다.
온-프레미스 파일 서버에서 Azure Files로 마이그레이션: 온-프레미스 파일 서버를 교체하는 것은 많은 고객에게 일반적인 IT 변환 사용 사례입니다. 온-프레미스 AD DS를 사용하여 Azure 파일로 원활하게 마이그레이션하면 우수한 사용자 경험을 제공할 뿐 아니라 사용자가 컴퓨터를 도메인 가입하여 현재 자격 증명으로 파일 공유 및 데이터에 액세스할 수 있습니다.
엔터프라이즈 애플리케이션을 클라우드로 이동: 고객이 온-프레미스 네이티브 애플리케이션을 클라우드로 이동함에 따라 Azure Files를 사용한 ID 기반 인증은 클라우드 애플리케이션을 지원하도록 인증 메커니즘을 변경할 필요가 없습니다.
백업 및 재해 복구: Azure Files는 온-프레미스 파일 서버의 백업 스토리지 시스템 역할을 할 수 있습니다. 적절한 인증을 구성하면 재해 복구 시나리오 중에 액세스 제어를 적용하는 데 도움이 됩니다.