Just-In-Time 가상 머신 액세스 문제 해결
Azure Bastion과 달리, Just-In-Time VM 액세스로 문제를 해결할 때는 두 가지 상위 수준 문제만 해결하면 됩니다.
가용성
JIT VM 액세스는 클라우드용 Microsoft Defender의 향상된 보안 기능입니다. 조직은 구독 수준에서 향상된 보안을 활성화해야 합니다. 이를 확인하려면 Azure Portal로 이동하여 클라우드용 Microsoft Defender 선택하고, 관리에서 환경 설정을 선택합니다.
구독에서 클라우드용 Microsoft Defender를 활성화하지 않았다면 아래 오류가 표시됩니다.
클라우드용 Microsoft Defender 사용을 선택하면 구독을 선택할 수 있는 페이지로 이동합니다.
구독이 여러 개라면 문제 해결 중인 리소스가 포함된 구독을 선택합니다. 그런 다음 모든 클라우드용 Microsoft Defender 요금제 활성화 대형 확인란을 선택합니다.
보호할 서비스를 선택합니다. JIT VM 액세스를 활성화할 서버는 반드시 선택해야 합니다.
JIT 액세스는 VM 연결 창에서, 클라우드용 Microsoft Defender 내 워크로드 보호에서 활성화하거나 Azure CLI 명령을 사용하여 활성화할 수 있습니다. 예를 들어 워크로드 보호를 사용하려면 다음 단계를 수행하세요.
Azure Portal에서 클라우드용 Microsoft Defender를 선택합니다.
Cloud Security에서 워크로드 보호를 선택합니다.
Just-In-Time VM 액세스를 선택합니다.
그런 다음 구성되지 않음 탭을 선택하여 JIT 액세스를 활성화하지 않은 구독 내 모든 VM을 표시합니다.
보호할 VM 옆에 있는 확인란을 선택합니다.
VM 1대에서 JIT 사용을 선택합니다.
또한 이 페이지를 사용하면 JIT VM 액세스에서 지원하지 않는 VM을 진단할 수도 있습니다. 문제가 있는 VM은 Azure Resource Manager 사용하지 않고 배포되었을 수 있습니다. JIT 액세스에서는 Azure Resource Manager를 통해 배포한 VM만 지원합니다.
액세스
컴퓨터에서 JIT VM 액세스를 활성화해도, 사용자가 보호된 특정 VM에 대한 액세스를 요청하면 여전히 문제가 발생할 수 있습니다. 다음과 같이 Azure Portal을 사용하여 VM에 대한 액세스를 요청합니다.
VM에 대한 연설 옵션 내에서 요청합니다.
클라우드용 Microsoft Defender의 워크로드 보호 섹션 내에서 요청합니다.
Azure CLI 명령을 실행합니다.
사용자가 JIT 액세스를 요청할 수 없는 경우 사용자의 역할에 최소한 다음 작업이 있는지 확인합니다.
Microsoft.Security/locations/jitNetworkAccessPolicies/*/read
Microsoft.Security/locations/jitNetworkAccessPolicies/initiate/action
Microsoft.Compute/virtualMachines/read
Microsoft.Network/*/read
액세스 제어(IAM)를 사용하여 VM에 대한 액세스 권한이 부여된 사용자를 확인합니다. Azure Portal에서 가상 머신을 선택한 다음 액세스 제어(IAM)를 선택합니다.
클라우드용 Microsoft Defender의 향상된 보호 섹션에서 현재 활성화되고 사용 중인 JIT VM 액세스를 검토할 수 있습니다.
