포털을 사용하여 Azure 리소스 관리를 위한 프라이빗 링크를 만듭니다.

  • 아티클

이 문서에서는 Azure Private Link를 사용하여 구독에서 리소스 관리에 대한 액세스를 제한하는 방법을 설명합니다. 프라이빗 액세스를 통해 리소스 관리를 설정하기 위해 Azure Portal을 사용하는 방법을 보여 줍니다.

프라이빗 링크를 사용하면 가상 네트워크의 프라이빗 엔드포인트를 통해 Azure 서비스에 액세스할 수 있습니다. 프라이빗 링크를 Azure Resource Manager의 작업과 결합하면 특정 엔드포인트에 있지 않은 사용자가 리소스를 관리하지 못하도록 차단합니다. 악의적인 사용자가 구독의 계정에 대한 자격 증명을 얻는 경우 해당 사용자는 특정 엔드포인트에 있지 않고는 리소스를 관리할 수 없습니다.

프라이빗 링크는 다음과 같은 보안 이점을 제공합니다.

  • 프라이빗 액세스 - 사용자는 프라이빗 엔드포인트를 통해 개인 네트워크에서 리소스를 관리할 수 있습니다.

참고 항목

AKS(Azure Kubernetes Service)는 현재 ARM 프라이빗 엔드포인트 구현을 지원하지 않습니다.

Azure Bastion은 프라이빗 링크를 지원하지 않습니다. 리소스 관리 프라이빗 링크 프라이빗 엔드포인트 구성에 프라이빗 DNS 영역을 사용하는 것이 좋지만 management.azure.com 이름과 겹치기 때문에 Bastion 인스턴스의 작동이 중지됩니다. 자세한 내용은 Azure Bastion FAQ를 참조하세요.

아키텍처 이해

Important

이 릴리스의 경우 루트 관리 그룹 수준에서만 프라이빗 링크 관리 액세스 권한을 적용할 수 있습니다. 이 제한은 프라이빗 링크 액세스가 테넌트 전체에 적용됨을 의미합니다.

프라이빗 링크를 통해 관리를 구현할 때 사용할 두 가지 리소스 종류가 있습니다.

  • 리소스 관리 프라이빗 링크(Microsoft.Authorization/resourceManagementPrivateLinks)
  • 프라이빗 링크 연결(Microsoft.Authorization/privateLinkAssociations)

다음 이미지는 리소스 관리를 위한 액세스를 제한하는 솔루션을 구성하는 방법을 보여 줍니다.

리소스 관리 프라이빗 링크 다이어그램

프라이빗 링크 연결은 루트 관리 그룹을 확장합니다. 프라이빗 링크 연결 및 프라이빗 엔드포인트는 리소스 관리 프라이빗 링크를 참조합니다.

Important

다중 테넌트 계정은 현재 프라이빗 링크를 통한 리소스 관리에 지원되지 않습니다. 다른 테넌트의 프라이빗 링크 연결을 단일 리소스 관리 프라이빗 링크에 연결할 수 없습니다.

계정이 둘 이상의 테넌트에 액세스하는 경우 그중 하나만 프라이빗 링크를 정의합니다.

워크플로

리소스에 대한 프라이빗 링크를 설정하려면 다음 단계를 따르세요. 단계는 이 문서의 뒷부분에서 자세히 설명합니다.

  1. 리소스 관리 프라이빗 링크를 만듭니다.
  2. 프라이빗 링크 연결을 만듭니다. 프라이빗 링크 연결은 루트 관리 그룹을 확장합니다. 또한 리소스 관리 프라이빗 링크에 대한 리소스 ID를 참조합니다.
  3. 리소스 관리 프라이빗 링크를 참조하는 프라이빗 엔드포인트를 추가합니다.

이러한 단계를 완료한 후 범위의 계층 구조 내에 있는 Azure 리소스를 관리할 수 있습니다. 서브넷에 연결된 프라이빗 엔드포인트를 사용합니다.

프라이빗 링크에 대한 액세스를 모니터링할 수 있습니다. 자세한 내용은 로깅 및 모니터링을 참조하세요.

필요한 사용 권한

Important

이 릴리스의 경우 루트 관리 그룹 수준에서만 프라이빗 링크 관리 액세스 권한을 적용할 수 있습니다. 이 제한은 프라이빗 링크 액세스가 테넌트 전체에 적용됨을 의미합니다.

리소스 관리를 위한 프라이빗 링크를 설정하려면 다음 액세스 권한이 필요합니다.

  • 구독의 소유자입니다. 이 액세스는 리소스 관리 프라이빗 링크 리소스를 만드는 데 필요합니다.
  • 루트 관리 그룹의 소유자 또는 기여자. 이 액세스는 프라이빗 링크 연결 리소스를 만드는 데 필요합니다.
  • Microsoft Entra ID의 전역 관리자에게 루트 관리 그룹에서 역할을 할당할 수 있는 권한이 자동으로 생기지는 않습니다. 리소스 관리 프라이빗 링크 만들기를 사용하도록 설정하려면 전역 관리자가 테넌트의 모든 구독 및 관리 그룹에 대한 사용자 액세스 관리자 권한을 갖도록 루트 관리 그룹을 읽고 액세스 권한을 상승할 수 있는 권한이 있어야 합니다. 사용자 액세스 관리자 권한을 얻은 후 전역 관리자는 프라이빗 링크 연결을 만드는 사용자에게 루트 관리 그룹의 소유자 또는 기여자 권한을 부여해야 합니다.

리소스 관리 프라이빗 링크를 만들면 프라이빗 링크 연결이 자동으로 만들어집니다.

  1. 포털에서 리소스 관리 프라이빗 링크를 검색하고 사용 가능한 옵션 중에서 선택합니다.

    '리소스 관리'가 입력된 Azure Portal 검색 창의 스크린샷

  2. 구독에 리소스 관리 프라이빗 링크가 아직 없는 경우 빈 페이지가 표시됩니다. 리소스 관리 프라이빗 링크 만들기를 선택합니다.

    '리소스 관리 프라이빗 링크 만들기' 단추를 보여 주는 Azure Portal의 스크린샷

  3. 새 리소스 관리 프라이빗 링크에 대한 값을 제공합니다. 선택한 디렉터리의 루트 관리 그룹이 새 리소스에 사용됩니다. 검토 + 만들기를 선택합니다.

    새 리소스 관리 프라이빗 링크에 대한 값을 제공하는 필드가 있는 Azure Portal의 스크린샷

  4. 유효성 검사를 통과하면 만들기를 선택합니다.

프라이빗 엔드포인트 만들기

이제 리소스 관리 프라이빗 링크를 참조하는 프라이빗 엔드포인트를 만듭니다.

  1. Private Link 센터로 이동합니다. 프라이빗 엔드포인트 만들기를 선택합니다.

    '프라이빗 엔드포인트 만들기'가 강조 표시된 Azure Portal의 Private Link 센터 스크린샷

  2. 기본 탭에서 프라이빗 엔드포인트에 대한 값을 제공합니다.

    프라이빗 엔드포인트에 대한 값을 제공하는 필드가 있는 ‘기본’ 탭을 보여 주는 Azure Portal의 스크린샷

  3. 리소스 탭에서 내 디렉터리의 Azure 리소스에 연결을 선택합니다. 리소스 종류으로 Microsoft.Authorization/resourceManagementPrivateLinks를 선택합니다. 대상 하위 리소스로 ResourceManagement를 선택합니다.

    프라이빗 엔드포인트에 대한 리소스 종류 및 대상 하위 리소스를 선택하는 필드가 있는 ‘리소스’ 탭을 보여 주는 Azure Portal의 스크린샷

  4. 구성 탭에서 가상 네트워크를 선택합니다. 프라이빗 DNS 영역과 통합하는 것이 좋습니다. 검토 + 만들기를 선택합니다.

  5. 유효성 검사를 통과하면 만들기를 선택합니다.

프라이빗 DNS 영역 확인

환경이 올바르게 구성되었는지 확인하려면 DNS 영역의 로컬 IP 주소를 확인합니다.

  1. 프라이빗 엔드포인트를 배포한 리소스 그룹에서 privatelink.azure.com이라는 프라이빗 DNS 영역 리소스를 선택합니다.

  2. management라는 레코드 집합에 유효한 로컬 IP 주소가 있는지 확인합니다.

    '관리'라는 레코드 집합 및 해당 로컬 IP 주소가 있는 프라이빗 DNS 영역 리소스를 표시하는 Azure Portal의 스크린샷

다음 단계

프라이빗 링크에 대해 자세히 알아보려면 Azure Private Link를 참조하세요.