App Service 및 Azure Functions에 대한 관리 ID를 사용하는 방법

이 항목에서는 App Service 및 Azure Functions 애플리케이션에 대한 관리 ID를 만드는 방법과 다른 리소스에 액세스하는 데 사용하는 방법을 보여 줍니다.

중요

앱이 구독/테넌트 간에 마이그레이션되면 App Service 및 Azure Functions에 대한 관리 ID가 예상대로 작동하지 않습니다. 앱에서 새 ID를 확보해야 하며 해당 기능을 사용 중지했다가 다시 사용하도록 설정하여 수행합니다. 아래 ID 제거를 참조하세요. 다운스트림 리소스에도 새 ID를 사용하려면 액세스 정책을 업데이트해야 합니다.

참고

Azure Arc에 배포된 앱에 대해서는 관리 ID를 사용할 수 없습니다.

Azure AD(Azure Active Directory)의 관리 ID를 사용하면 앱에서 다른 Azure AD 보호 리소스(예: Azure Key Vault)에 쉽게 액세스할 수 있습니다. ID는 Azure 플랫폼에서 관리하며 비밀을 프로비전하거나 회전할 필요가 없습니다. Azure AD의 관리 ID에 관한 자세한 내용은 Azure 리소스에 대한 관리 ID를 참조하세요.

애플리케이션에 두 가지 형식의 ID를 부여할 수 있습니다.

  • 시스템 할당 ID 는 애플리케이션에 연결되어 있어 해당 앱을 삭제하면 이 ID도 삭제됩니다. 앱에는 하나의 시스템 할당 ID만 있을 수 있습니다.
  • 사용자 할당 ID 는 앱에 할당할 수 있는 독립 실행형 Azure 리소스입니다. 앱에는 여러 사용자 할당 ID가 있을 수 있습니다.

시스템 할당 ID 추가

시스템 할당 ID를 사용하여 앱을 만들려면 애플리케이션에서 추가 속성을 설정해야 합니다.

Azure Portal 사용

포털에서 관리 ID를 설정하려면 먼저 정상적으로 애플리케이션을 만든 다음, 기능을 사용하도록 설정합니다.

  1. 평소처럼 포털에서 앱을 만듭니다. 포털에서 해당 앱으로 이동합니다.

  2. 함수 앱을 사용하는 경우 플랫폼 기능 으로 이동합니다. 다른 유형의 앱을 사용하는 경우 왼쪽 탐색 창에서 설정 그룹이 나올 때까지 아래로 스크롤합니다.

  3. ID 를 선택합니다.

  4. 시스템 할당 탭에서 상태켜기 로 바꿉니다. 저장 을 클릭합니다.

    상태를 켜짐으로 전환하고 저장을 선택하는 위치를 보여주는 스크린샷.

참고

웹앱이나 Azure Portal의 슬롯 앱에 대한 관리 ID를 찾으려면 엔터프라이즈 애플리케이션 에서 사용자 설정 섹션을 확인합니다. 일반적으로 슬롯 이름은 <app name>/slots/<slot name>과 비슷합니다.

Azure CLI 사용

Azure CLI를 사용하여 관리 ID를 설정하려면 기존 애플리케이션에 대해 az webapp identity assign 명령을 사용해야 합니다. 이 섹션의 예제를 실행하는 옵션은 세 가지가 있습니다.

다음 단계는 웹앱을 만들고 CLI를 사용하여 ID를 할당하는 과정을 안내합니다.

  1. Azure CLI를 로컬 콘솔에서 사용하는 경우 az login을 사용하여 먼저 Azure에 로그인합니다. 애플리케이션을 배포하려는 Azure 구독과 연결된 계정을 사용합니다.

    az login
    
  2. CLI를 사용하여 웹 애플리케이션을 만듭니다. App Service에서 CLI를 사용하는 방법에 대한 예제는 App Service CLI 샘플을 참조하세요.

    az group create --name myResourceGroup --location westus
    az appservice plan create --name myPlan --resource-group myResourceGroup --sku S1
    az webapp create --name myApp --resource-group myResourceGroup --plan myPlan
    
  3. 이 애플리케이션에 대한 ID를 만들려면 identity assign 명령을 실행합니다.

    az webapp identity assign --name myApp --resource-group myResourceGroup
    

Azure PowerShell 사용

참고

이 문서는 Azure Az PowerShell 모듈을 사용하도록 업데이트되었습니다. Az PowerShell 모듈은 Azure와 상호 작용하는 데 추천되는 PowerShell 모듈입니다. Az PowerShell 모듈을 시작하려면 Azure PowerShell 설치를 참조하세요. Az PowerShell 모듈로 마이그레이션하는 방법에 대한 자세한 내용은 Azure PowerShell을 AzureRM에서 Azure로 마이그레이션을 참조하세요.

다음 단계는 앱을 만들고 Azure PowerShell을 사용하여 ID를 할당하는 과정을 안내합니다. 웹앱 및 함수 앱을 만드는 방법에 대한 지침은 서로 다릅니다.

웹앱에 대한 Azure PowerShell 사용

  1. 필요한 경우 Azure PowerShell 가이드에 있는 지침을 사용하여 Azure PowerShell을 설치한 다음, Login-AzAccount를 실행하여 Azure에 연결합니다.

  2. Azure PowerShell을 사용하여 웹앱을 만듭니다. App Service에서 Azure PowerShell을 사용하는 방법에 대한 예제는 App Service PowerShell 샘플을 참조하세요.

    # Create a resource group.
    New-AzResourceGroup -Name $resourceGroupName -Location $location
    
    # Create an App Service plan in Free tier.
    New-AzAppServicePlan -Name $webappname -Location $location -ResourceGroupName $resourceGroupName -Tier Free
    
    # Create a web app.
    New-AzWebApp -Name $webappname -Location $location -AppServicePlan $webappname -ResourceGroupName $resourceGroupName
    
  3. 이 애플리케이션에 대한 ID를 만들려면 Set-AzWebApp -AssignIdentity 명령을 실행합니다.

    Set-AzWebApp -AssignIdentity $true -Name $webappname -ResourceGroupName $resourceGroupName 
    

함수 앱에 대한 Azure PowerShell 사용

  1. 필요한 경우 Azure PowerShell 가이드에 있는 지침을 사용하여 Azure PowerShell을 설치한 다음, Login-AzAccount를 실행하여 Azure에 연결합니다.

  2. Azure PowerShell을 사용하여 함수 앱을 만듭니다. Azure Functions에서 Azure PowerShell을 사용하는 방법에 대한 자세한 예제를 보려면 Az.Functions 참조를 참조하세요.

    # Create a resource group.
    New-AzResourceGroup -Name $resourceGroupName -Location $location
    
    # Create a storage account.
    New-AzStorageAccount -Name $storageAccountName -ResourceGroupName $resourceGroupName -SkuName $sku
    
    # Create a function app with a system-assigned identity.
    New-AzFunctionApp -Name $functionAppName -ResourceGroupName $resourceGroupName -Location $location -StorageAccountName $storageAccountName -Runtime $runtime -IdentityType SystemAssigned
    

대신 Update-AzFunctionApp을 사용하여 기존 함수 앱을 업데이트할 수도 있습니다.

Azure Resource Manager 템플릿 사용

Azure Resource Manager 템플릿을 사용하여 Azure 리소스 배포를 자동화할 수 있습니다. App Service 및 Functions에 배포하는 방법에 대한 자세한 내용은 App Service에서 리소스 배포 자동화Azure Functions에서 리소스 배포 자동화를 참조하세요.

모든 Microsoft.Web/sites 유형의 리소스는 ID를 사용하여 리소스 정의에 다음 속성을 포함하는 방법으로 만들 수 있습니다.

"identity": {
    "type": "SystemAssigned"
}

참고

애플리케이션에는 시스템 할당 ID와 사용자 할당 ID 둘 다 동시에 있을 수 있습니다. 이 경우에 type 속성이 SystemAssigned,UserAssigned가 됩니다.

시스템 할당 형식을 추가하면 애플리케이션에 대한 ID를 만들어서 관리하라고 Azure에 알려주는 것입니다.

예를 들어 웹앱이 다음과 같을 수 있습니다.

{
    "apiVersion": "2016-08-01",
    "type": "Microsoft.Web/sites",
    "name": "[variables('appName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "SystemAssigned"
    },
    "properties": {
        "name": "[variables('appName')]",
        "serverFarmId": "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "hostingEnvironment": "",
        "clientAffinityEnabled": false,
        "alwaysOn": true
    },
    "dependsOn": [
        "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]"
    ]
}

사이트가 생성되면 다음과 같은 추가 속성이 있습니다.

"identity": {
    "type": "SystemAssigned",
    "tenantId": "<TENANTID>",
    "principalId": "<PRINCIPALID>"
}

tenantId 속성은 ID가 속한 Azure AD 테넌트를 식별합니다. principalId는 애플리케이션 새 ID의 고유 식별자입니다. Azure AD 내에서 서비스 주체는 사용자가 App Service 또는 Azure Functions 인스턴스에 지정한 이름과 동일한 이름을 갖습니다.

템플릿의 이후 단계에서 이러한 속성을 참조해야 하는 경우 다음 예제와 같이 'Full' 플래그를 사용하여 reference()템플릿 함수를 통해 수행할 수 있습니다.

{
    "tenantId": "[reference(resourceId('Microsoft.Web/sites', variables('appName')), '2018-02-01', 'Full').identity.tenantId]",
    "objectId": "[reference(resourceId('Microsoft.Web/sites', variables('appName')), '2018-02-01', 'Full').identity.principalId]",
}

사용자 할당 ID 추가

사용자 할당 ID로 앱을 만들려면 ID를 만든 다음, 앱 구성에 리소스 ID를 추가해야 합니다.

Azure Portal 사용

먼저, 사용자 할당 ID 리소스를 만들어야 합니다.

  1. 이러한 지침에 따라 사용자 할당 관리 ID 리소스를 만듭니다.

  2. 평소처럼 포털에서 앱을 만듭니다. 포털에서 해당 앱으로 이동합니다.

  3. 함수 앱을 사용하는 경우 플랫폼 기능 으로 이동합니다. 다른 유형의 앱을 사용하는 경우 왼쪽 탐색 창에서 설정 그룹이 나올 때까지 아래로 스크롤합니다.

  4. ID 를 선택합니다.

  5. 사용자 할당 탭 내에서 추가 를 클릭합니다.

  6. 이전에 만든 ID를 검색한 후 선택합니다. 추가 를 클릭합니다.

    App Service의 관리 ID

Azure PowerShell 사용

참고

이 문서는 Azure Az PowerShell 모듈을 사용하도록 업데이트되었습니다. Az PowerShell 모듈은 Azure와 상호 작용하는 데 추천되는 PowerShell 모듈입니다. Az PowerShell 모듈을 시작하려면 Azure PowerShell 설치를 참조하세요. Az PowerShell 모듈로 마이그레이션하는 방법에 대한 자세한 내용은 Azure PowerShell을 AzureRM에서 Azure로 마이그레이션을 참조하세요.

다음 단계는 앱을 만들고 Azure PowerShell을 사용하여 ID를 할당하는 과정을 안내합니다.

참고

Azure App Service에 대한 Azure PowerShell commandlets의 현재 버전은 사용자 할당된 ID를 지원하지 않습니다. 아래 지침은 Azure Functions에 대한 것입니다.

  1. 필요한 경우 Azure PowerShell 가이드에 있는 지침을 사용하여 Azure PowerShell을 설치한 다음, Login-AzAccount를 실행하여 Azure에 연결합니다.

  2. Azure PowerShell을 사용하여 함수 앱을 만듭니다. Azure Functions에서 Azure PowerShell을 사용하는 방법에 대한 자세한 예제를 보려면 Az.Functions 참조를 참조하세요. 또한 아래 스크립트는 Azure PowerShell을 사용하여 사용자 할당 관리 ID 만들기, 나열 또는 삭제에 따라 별도로 설치해야 하는 New-AzUserAssignedIdentity를 사용합니다.

    # Create a resource group.
    New-AzResourceGroup -Name $resourceGroupName -Location $location
    
    # Create a storage account.
    New-AzStorageAccount -Name $storageAccountName -ResourceGroupName $resourceGroupName -SkuName $sku
    
    # Create a user-assigned identity. This requires installation of the "Az.ManagedServiceIdentity" module.
    $userAssignedIdentity = New-AzUserAssignedIdentity -Name $userAssignedIdentityName -ResourceGroupName $resourceGroupName
    
    # Create a function app with a user-assigned identity.
    New-AzFunctionApp -Name $functionAppName -ResourceGroupName $resourceGroupName -Location $location -StorageAccountName $storageAccountName -Runtime $runtime -IdentityType UserAssigned -IdentityId $userAssignedIdentity.Id
    

대신 Update-AzFunctionApp을 사용하여 기존 함수 앱을 업데이트할 수도 있습니다.

Azure Resource Manager 템플릿 사용

Azure Resource Manager 템플릿을 사용하여 Azure 리소스 배포를 자동화할 수 있습니다. App Service 및 Functions에 배포하는 방법에 대한 자세한 내용은 App Service에서 리소스 배포 자동화Azure Functions에서 리소스 배포 자동화를 참조하세요.

모든 Microsoft.Web/sites 형식의 리소스는 <RESOURCEID>를 원하는 ID의 리소스 ID로 바꿔 리소스 정의에 다음 블록을 포함한 ID로 만들 수 있습니다.

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<RESOURCEID>": {}
    }
}

참고

애플리케이션에는 시스템 할당 ID와 사용자 할당 ID 둘 다 동시에 있을 수 있습니다. 이 경우에 type 속성이 SystemAssigned,UserAssigned가 됩니다.

사용자 할당 형식을 추가하면 Azure에서 애플리케이션에 대해 지정된 사용자 할당 ID를 사용하도록 지시하게 됩니다.

예를 들어 웹앱이 다음과 같을 수 있습니다.

{
    "apiVersion": "2016-08-01",
    "type": "Microsoft.Web/sites",
    "name": "[variables('appName')]",
    "location": "[resourceGroup().location]",
    "identity": {
        "type": "UserAssigned",
        "userAssignedIdentities": {
            "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]": {}
        }
    },
    "properties": {
        "name": "[variables('appName')]",
        "serverFarmId": "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "hostingEnvironment": "",
        "clientAffinityEnabled": false,
        "alwaysOn": true
    },
    "dependsOn": [
        "[resourceId('Microsoft.Web/serverfarms', variables('hostingPlanName'))]",
        "[resourceId('Microsoft.ManagedIdentity/userAssignedIdentities', variables('identityName'))]"
    ]
}

사이트가 생성되면 다음과 같은 추가 속성이 있습니다.

"identity": {
    "type": "UserAssigned",
    "userAssignedIdentities": {
        "<RESOURCEID>": {
            "principalId": "<PRINCIPALID>",
            "clientId": "<CLIENTID>"
        }
    }
}

principalId는 Azure AD 관리에 사용되는 ID의 고유 식별자입니다. clientId는 런타임 호출 중 사용할 ID 지정에 사용하는 애플리케이션의 새 ID에 대한 고유 식별자입니다.

Azure 리소스 토큰 가져오기

앱은 자체 관리 ID를 사용하여 Azure Key Vault 같은 Azure AD로 보호되는 다른 리소스에 액세스하는 토큰을 가져올 수 있습니다. 이러한 토큰은 애플리케이션의 특정 사용자가 아닌 리소스에 액세스하는 애플리케이션을 나타냅니다.

애플리케이션의 액세스를 허용하도록 대상 리소스를 구성해야 할 수도 있습니다. 예를 들어 Key Vault에 액세스하는 토큰을 요청할 때에는 애플리케이션의 ID를 포함하는 액세스 정책을 추가했는지 확인해야 합니다. 그렇지 않으면 토큰이 포함되어 있더라도 Key Vault 호출이 거부됩니다. Azure Active Directory 토큰을 지원하는 리소스에 대한 자세한 내용은 Azure AD 인증을 지원하는 Azure 서비스를 참조하세요.

중요

관리 ID에 대한 백 엔드 서비스는 약 24시간 동안 리소스 URI당 캐시를 유지합니다. 특정 대상 리소스의 액세스 정책을 업데이트하고 해당 리소스에 대한 토큰을 즉시 검색하는 경우 토큰이 만료될 때까지 오래된 권한으로 캐시된 토큰을 계속 가져올 수 있습니다. 현재 토큰 새로 고침을 강제로 적용할 수 있는 방법은 없습니다.

App Service 및 Azure Functions에서 토큰을 가져오는 간단한 REST 프로토콜이 있습니다. 이는 모든 애플리케이션 및 언어에 사용할 수 있습니다. .NET 및 Java의 경우 Azure SDK는 이 프로토콜에 대한 추상화를 제공하여 로컬 개발 환경을 지원합니다.

REST 프로토콜 사용

참고

“2017-09-01” API 버전을 사용하는 이 프로토콜의 이전 버전은 X-IDENTITY-HEADER 대신 secret 헤더를 사용했으며 사용자 할당을 위해 clientid 속성만 수락했습니다. 또한 타임스탬프 형식에 expires_on을 반환했습니다. MSI_ENDPOINT는 IDENTITY_ENDPOINT에 대한 별칭으로 사용할 수 있으며 MSI_SECRET은 IDENTITY_HEADER에 대한 별칭으로 사용할 수 있습니다. 이 프로토콜 버전은 현재 Linux 사용 호스팅 계획에 필요합니다.

관리 ID가 있는 앱에는 다음 두 가지 환경 변수가 정의되어 있습니다.

  • IDENTITY_ENDPOINT - 로컬 토큰 서비스의 URL입니다.
  • IDENTITY_HEADER - SSRF(서버 쪽 요청 위조) 공격을 완화하는 데 사용되는 헤더입니다. 플랫폼에서 값을 회전합니다.

IDENTITY_ENDPOINT 는 앱이 토큰을 요청할 수 있는 로컬 URL입니다. 리소스 토큰을 가져오려면 이 엔드포인트에 다음 매개 변수를 포함하여 HTTP GET 요청을 보냅니다.

매개 변수 이름 그런 다음 Description
resource 쿼리 토큰을 가져와야 하는 리소스의 Azure AD 리소스 URI입니다. Azure AD 인증 또는 기타 리소스 URI를 지원하는 Azure 서비스 중 하나일 수 있습니다.
api-version 쿼리 사용할 토큰 API의 버전입니다. 현재 "2017-09-01"만 제공하는 Linux 사용을 사용하지 않는 경우 "2019-08-01" 이상을 사용하세요(위의 참고 사항 참조).
X-IDENTITY-HEADER 헤더 IDENTITY_HEADER 환경 변수의 값입니다. 이 헤더는 SSRF(서버 쪽 요청 위조) 공격을 완화하는 데 사용됩니다.
client_id 쿼리 (선택 사항) 사용할 사용자 할당 ID의 클라이언트 ID입니다. principal_id, mi_res_id 또는 object_id를 포함하는 요청에 사용할 수 없습니다. 모든 ID 매개 변수(client_id, principal_id, object_idmi_res_id)가 생략될 경우 시스템 할당 ID가 사용됩니다.
principal_id 쿼리 (선택 사항) 사용할 사용자 할당 ID의 보안 주체 ID입니다. object_id는 대신 사용할 수 있는 별칭입니다. client_id, mi_res_id 또는 object_id를 포함하는 요청에 사용할 수 없습니다. 모든 ID 매개 변수(client_id, principal_id, object_idmi_res_id)를 생략하면 시스템 할당 ID가 사용됩니다.
mi_res_id 쿼리 (선택 사항) 사용할 사용자 할당 ID의 Azure 리소스 ID입니다. principal_id, client_id 또는 object_id를 포함하는 요청에 사용할 수 없습니다. 모든 ID 매개 변수(client_id, principal_id, object_idmi_res_id)를 생략하면 시스템 할당 ID가 사용됩니다.

중요

사용자 할당 ID에 대한 토큰을 가져오려고 시도하는 경우 선택적 속성 중 하나를 포함해야 합니다. 그러지 않으면 토큰 서비스는 시스템 할당 ID에 대한 토큰을 가져오려고 시도하는데 이는 존재 여부가 불분명합니다.

성공적인 200 OK 응답에는 다음 속성을 가진 JSON 본문이 포함됩니다.

속성 이름 설명
access_token 요청된 액세스 토큰입니다. 호출 웹 서비스는 이 토큰을 사용하여 수신 웹 서비스에 인증할 수 있습니다.
client_id 사용된 ID의 클라이언트 ID입니다.
expires_on 액세스 토큰이 만료되는 시간 범위입니다. 날짜는 "1970-01-01T0:0:0Z UTC"부터 시간(초)으로 표시됩니다(토큰의 exp 클레임에 해당함).
not_before 액세스 토큰이 적용되고 허용될 수 있는 시간 범위입니다. 날짜는 "1970-01-01T0:0:0Z UTC"부터 시간(초)으로 표시됩니다(토큰의 nbf 클레임에 해당함).
resource 액세스 토큰이 요청되는 리소스는 요청의 resource 쿼리 문자열 매개 변수와 일치합니다.
token_type 토큰 유형 값을 나타냅니다. Azure AD는 전달자 유형만 지원합니다. 전달자 토큰에 대한 자세한 내용은 OAuth 2.0 권한 부여 프레임워크: 전달자 토큰 사용(RFC 6750)을 참조하세요.

이 응답은 Azure AD 서비스 간 액세스 토큰 요청에 대한 응답과 동일합니다.

REST 프로토콜 예제

예제 요청은 다음과 유사할 수 있습니다.

GET /MSI/token?resource=https://vault.azure.net&api-version=2019-08-01 HTTP/1.1
Host: localhost:4141
X-IDENTITY-HEADER: 853b9a84-5bfa-4b22-a3f3-0b9a43d9ad8a

샘플 응답은 다음과 유사할 수 있습니다.

HTTP/1.1 200 OK
Content-Type: application/json

{
    "access_token": "eyJ0eXAi…",
    "expires_on": "1586984735",
    "resource": "https://vault.azure.net",
    "token_type": "Bearer",
    "client_id": "5E29463D-71DA-4FE0-8E69-999B57DB23B0"
}

코드 예제

.NET 언어의 경우 이 요청을 직접 만드는 대신 Microsoft.Azure.Services.AppAuthentication을 사용해도 됩니다.

private readonly HttpClient _client;
// ...
public async Task<HttpResponseMessage> GetToken(string resource)  {
    var request = new HttpRequestMessage(HttpMethod.Get, 
        String.Format("{0}/?resource={1}&api-version=2019-08-01", Environment.GetEnvironmentVariable("IDENTITY_ENDPOINT"), resource));
    request.Headers.Add("X-IDENTITY-HEADER", Environment.GetEnvironmentVariable("IDENTITY_HEADER"));
    return await _client.SendAsync(request);
}

.NET용 Microsoft.Azure.Services.AppAuthentication 라이브러리 사용

.NET 애플리케이션 및 함수의 경우 관리 ID를 사용하는 가장 간단한 방법은 Microsoft.Azure.Services.AppAuthentication 패키지를 사용하는 것입니다. 또한 이 라이브러리는 개발 머신에서 Visual Studio, Azure CLI 또는 Active Directory 통합 인증의 사용자 계정을 사용하여 로컬로 코드를 테스트할 수 있습니다. 클라우드에 호스트되는 경우 기본적으로 시스템 할당 ID를 사용하지만 사용자 할당 ID의 클라이언트 ID를 참조하는 연결 문자열 환경 변수를 사용하여 이 동작을 사용자 지정할 수 있습니다. 이 라이브러리를 통한 개발 옵션에 대한 자세한 내용은 Microsoft.Azure.Services.AppAuthentication 참조를 참조하세요. 이 섹션에서는 코드에서 이 라이브러리를 시작하는 방법을 보여 줍니다.

  1. Microsoft.Azure.Services.AppAuthentication 및 기타 필요한 NuGet 패키지에 대한 참조를 애플리케이션에 추가합니다. 아래 예제에서는 Microsoft.Azure.KeyVault도 사용합니다.

  2. 애플리케이션에 다음 코드를 추가하고 올바른 리소스를 대상으로 하도록 수정합니다. 이 예제에서는 Azure Key Vault를 사용하는 두 가지 방법을 보여 줍니다.

    using Microsoft.Azure.Services.AppAuthentication;
    using Microsoft.Azure.KeyVault;
    // ...
    var azureServiceTokenProvider = new AzureServiceTokenProvider();
    string accessToken = await azureServiceTokenProvider.GetAccessTokenAsync("https://vault.azure.net");
    // OR
    var kv = new KeyVaultClient(new KeyVaultClient.AuthenticationCallback(azureServiceTokenProvider.KeyVaultTokenCallback));
    

사용자 할당 관리 ID를 사용하려는 경우 AzureServicesAuthConnectionString 애플리케이션 설정을 RunAs=App;AppId=<clientId-guid>로 설정할 수 있습니다. 사용하려는 ID의 클라이언트 ID로 <clientId-guid>를 바꿉니다. 사용자 지정 애플리케이션 설정을 사용하고 해당 값을 AzureServiceTokenProvider 생성자에 전달하여 이러한 연결 문자열을 여러 개 정의할 수 있습니다.

    var identityConnectionString1 = Environment.GetEnvironmentVariable("UA1_ConnectionString");
    var azureServiceTokenProvider1 = new AzureServiceTokenProvider(identityConnectionString1);
    
    var identityConnectionString2 = Environment.GetEnvironmentVariable("UA2_ConnectionString");
    var azureServiceTokenProvider2 = new AzureServiceTokenProvider(identityConnectionString2);

AzureServiceTokenProvider 및 노출하는 작업에 대한 자세한 내용은 Microsoft.Azure.Services.AppAuthentication 참조MSI .NET 샘플이 포함된 App Service 및 KeyVault를 참조하세요.

Java용 Azure SDK 사용

Java 애플리케이션 및 함수의 경우 Java용 Azure SDK를 통해 관리 ID를 사용하는 것이 가장 간단한 방법입니다. 이 섹션에서는 코드에서 이 라이브러리를 시작하는 방법을 보여 줍니다.

  1. Azure SDK 라이브러리에 대한 참조를 추가합니다. Maven 프로젝트의 경우 프로젝트 POM 파일의 dependencies 섹션에 이 코드 조각을 추가할 수 있습니다.

    <dependency>
        <groupId>com.microsoft.azure</groupId>
        <artifactId>azure</artifactId>
        <version>1.23.0</version>
    </dependency>
    
  2. 인증에 AppServiceMSICredentials 개체를 사용합니다. 다음 예제에서는 이 메커니즘을 사용하여 Azure Key Vault 작업을 수행할 수 있는 방법을 보여 줍니다.

    import com.microsoft.azure.AzureEnvironment;
    import com.microsoft.azure.management.Azure;
    import com.microsoft.azure.management.keyvault.Vault
    //...
    Azure azure = Azure.authenticate(new AppServiceMSICredentials(AzureEnvironment.AZURE))
            .withSubscription(subscriptionId);
    Vault myKeyVault = azure.vaults().getByResourceGroup(resourceGroup, keyvaultName);
    
    

ID 제거

사용자 할당 ID는 포털, PowerShell 또는 CLI를 사용하여 생성할 때와 같은 방식으로 기능을 사용하지 않도록 설정하여 제거할 수 있습니다. 사용자 할당 ID는 개별 제거할 수 있습니다. 모든 ID를 제거하려면 ID 유형을 "None"으로 설정합니다.

이런 방식으로 시스템 할당 ID를 제거하면 Azure AD에서도 삭제됩니다. 앱 리소스가 삭제될 때 시스템 할당 ID도 Azure AD에서 자동으로 제거됩니다.

ARM 템플릿에서 모든 ID를 제거하는 방법:

"identity": {
    "type": "None"
}

Azure PowerShell에서 모든 ID를 제거하는 방법(Azure Functions만 해당):

# Update an existing function app to have IdentityType "None".
Update-AzFunctionApp -Name $functionAppName -ResourceGroupName $resourceGroupName -IdentityType None

참고

설정할 수 있는 애플리케이션 설정인 WEBSITE_DISABLE_MSI도 있으며 이것은 로컬 토큰 서비스를 비활성화합니다. 그러나 ID는 그대로 유지되고, 도구에는 여전히 관리 ID가 "on" 또는 "enabled"로 표시됩니다. 따라서 이 설정은 사용하지 않는 것이 좋습니다.

다음 단계