스토리지 계정에 대한 액세스 제어 구성
Blob, 파일, 큐 또는 테이블 서비스의 보안 리소스에 대한 요청은 권한 부여되어야 합니다. 권한 부여는 스토리지 계정의 리소스에 대해 원하는 경우에만, 액세스 권한이 부여된 사용자나 애플리케이션에서만 액세스할 수 있도록 합니다.
다음 표에서는 리소스에 대한 액세스 권한을 부여하기 위해 Azure Storage가 제공하는 옵션을 설명합니다.
Azure 아티팩트 | 공유 키(스토리지 계정 키) | SAS(공유 액세스 서명) | Microsoft Entra ID | 온-프레미스 Active Directory Domain Services | 익명 공개 읽기 권한 |
---|---|---|---|---|---|
Azure Blob | 지원됨 | 지원 | 지원됨 | 지원되지 않음 | 지원됨 |
Azure Files(SMB) | 지원 여부 | 지원되지 않음 | Microsoft Entra Domain Services 또는 Microsoft Entra Kerberos에서 지원됨 | 지원되는 자격 증명을 Microsoft Entra ID에 동기화해야 함 | 지원되지 않음 |
Azure Files(REST) | 지원됨 | 지원 | 지원됨 | 지원되지 않음 | 지원되지 않음 |
Azure Queues | 지원됨 | 지원 | 지원됨 | 지원되지 않음 | 지원되지 않음 |
Azure Tables | 지원됨 | 지원 | 지원됨 | 지원되지 않음 | 지원되지 않음 |
각 권한 부여 옵션에 대한 간략한 설명은 다음과 같습니다.
- Microsoft Entra ID: Microsoft Entra는 Microsoft의 클라우드 기반 ID 및 액세스 관리 서비스입니다. Microsoft Entra ID 통합은 Blob, 파일, 큐 및 테이블 서비스에 사용할 수 있습니다. Microsoft Entra ID를 사용하면 RBAC(역할 기반 액세스 제어)를 통해 사용자, 그룹 또는 애플리케이션에 세분화된 액세스를 할당할 수 있습니다.
- Azure Files에 대한 Microsoft Entra Domain Services 권한 부여. Azure Files는 Microsoft Entra Domain Services를 통해 SMB(서버 메시지 블록)에 대한 ID 기반 권한 부여를 지원합니다. RBAC를 사용하여 스토리지 계정에 있는 Azure Files 리소스에 대한 클라이언트의 액세스를 세부적으로 제어할 수 있습니다.
- Azure Files에 대한 AD(Active Directory) 권한 부여. Azure Files는 AD를 통해 SMB에 대한 ID 기반 권한 부여를 지원합니다. AD 도메인 서비스는 온-프레미스 컴퓨터 또는 Azure VM에서 호스트될 수 있습니다. 파일에 대한 SMB 액세스는 온-프레미스 또는 Azure에서 도메인 가입 컴퓨터의 AD 자격 증명을 사용하여 지원됩니다. 공유 수준 액세스 제어에는 RBAC를 사용하고 디렉터리 및 파일 수준 권한 적용에는 NTFS DACL을 사용할 수 있습니다.
- 공유 키: 공유 키 권한 부여는 계정 액세스 키와 기타 매개 변수를 사용하여 권한 부여 헤더의 요청에 전달되는 암호화된 서명 문자열을 생성합니다.
- 공유 액세스 서명: SAS(공유 액세스 서명)는 지정된 사용 권한을 사용하고 지정된 시간 간격으로 계정의 특정 리소스에 대한 액세스 권한을 위임합니다.
- 컨테이너 및 Blob에 대한 익명 액세스: 필요에 따라 컨테이너 또는 Blob 수준에서 Blob 리소스를 공용으로 설정할 수 있습니다. 익명 읽기 권한을 위해 모든 사용자가 퍼블릭 컨테이너 또는 Blob에 액세스할 수 있습니다. 퍼블릭 컨테이너 및 Blob에 대한 읽기 요청에는 권한 부여가 필요하지 않습니다.
Microsoft Entra ID를 사용하여 Blob, 파일, 큐 및 테이블 데이터에 대한 액세스를 인증하고 권한을 부여하면 다른 권한 부여 옵션에 비해 뛰어난 보안과 사용 편의성이 제공됩니다. 예를 들어, Microsoft Entra ID를 사용하면 공유 키 권한 부여와 마찬가지로 계정 액세스 키를 코드와 함께 저장할 필요가 없습니다. Blob 및 큐 애플리케이션에서 공유 키 권한 부여를 계속 사용할 수 있지만 Microsoft에서는 가능한 경우 Microsoft Entra ID로 전환하는 것이 좋습니다.
마찬가지로 SAS(공유 액세스 서명)를 계속 사용하여 스토리지 계정의 리소스에 대한 세분화된 액세스 권한을 부여할 수 있지만 Microsoft Entra ID는 SAS 토큰을 관리하거나 손상된 SAS 취소를 걱정할 필요 없이 유사한 기능을 제공합니다.