Azure Arc 지원 SQL Managed Instance에 대한 ID 및 액세스 관리
이 문서에서는 다양한 시나리오에 대한 Azure Arc 지원 SQL Managed Instance IAM(ID 및 액세스 관리) 아키텍처, 디자인 고려 사항, 권장 사항에 대해 설명합니다.
Arc 지원 SQL Managed Instance는 Azure Arc 지원 Kubernetes 클러스터에서 실행되는 Azure Arc 지원 데이터 서비스 확장을 사용합니다. 다음은 이 중요한 디자인 영역의 일부인 ID 및 액세스 관리에 중요한 Azure Arc 지원 데이터 서비스의 다양한 구성 요소입니다.
- Azure Arc 데이터 컨트롤러
- Azure Arc Active Directory 커넥터
- Azure Arc 지원 SQL Managed Instance
아키텍처
SQL 인증
로컬 SQL ID를 사용하는 Arc 지원 SQL Managed Instance에 대해 SQL 인증이 지원됩니다. SQL 인증 방법은 처음 로그인하는 동안 관리자용 Windows에서 로그인 자격 증명을 만들고 Active Directory 인증을 사용하여 Arc 지원 SQL Managed Instance에 액세스할 수 있는 권한을 데이터베이스에 부여하는 데 사용됩니다. Grafana 및 Kibana 대시보드는 현재 기본 인증만 지원합니다.
Active Directory 인증
많은 엔터프라이즈 조직의 경우 AD(Active Directory) 인증은 온-프레미스 및 클라우드 환경에서 실행되는 SQL Server를 사용하여 RBAC(역할 기반 액세스 제어)를 적용하기 위한 표준입니다. Azure Arc 지원 SQL Managed Instance는 AD 인증을 지원하여 기존 SQL Server 데이터베이스를 Arc 지원 SQL Managed Instance에 원활하게 마이그레이션하고 최신 SQL Server 버전 및 보안 패치를 최신 상태로 유지합니다.
Arc 지원 SQL Managed Instance는 Arc 지원 Kubernetes 클러스터에서 실행할 때 Kerberos keytab을 사용하여 AD 인증을 지원합니다. Active Directory 커넥터는 AD 인증을 지원하는 Arc 지원 데이터 서비스의 핵심 구성 요소입니다.
다음은 Kerberos keytab을 생성 및 관리하고 Arc 지원 SQL Managed Instance에서 이를 사용하는 두 가지 방법입니다. 다음 섹션에서는 시나리오 및 적절한 keytab 모드를 사용해야 하는 경우에 대해 설명합니다.
시스템 관리형 keytab
시스템 관리형 keytab 모드의 Active Directory 커넥터는 Arc 지원 SQL Managed Instance에 대한 AD 계정 생성 및 keytab 관리를 간소화합니다. AD 커넥터는 서비스 계정을 만들고, 서비스 주체를 할당하고, AD 인증을 지원하는 keytab을 생성을 담당합니다. 이 방법은 세분화된 제어보다 작업을 간소화하여 AD 인증을 위한 keytab을 자동으로 관리하는 것을 선호하는 고객에게 권장됩니다.
그림 1: 시스템 관리형 키탭 모드의 AD 커넥터에 대한 아키텍처 다이어그램.
고객 관리형 keytab
고객 관리형 keytab 모드의 Active Directory 커넥터는 ITIL(Information Technology Infrastructure Library) 프로세스 및 서로 다른 팀에 활동을 위임하는 업무 분장을 엄격하게 따르는 고객에게 서비스 계정, 서비스 주체를 관리하고 keytab을 생성하는 완전한 제어를 제공합니다.
그림 2: 고객 관리형 키탭 모드의 AD 커넥터에 대한 아키텍처 다이어그램.
Azure Arc 데이터 컨트롤러
Arc 지원 데이터 서비스 확장이 직접 연결 모드로 설치되면 Arc 지원 데이터 서비스가 ARM(Azure Resource Manager) API 컨트롤 플레인 및 데이터 평면과 상호 작용할 수 있도록 관리 ID가 만들어집니다. Azure Arc 데이터 컨트롤러는 Arc 지원 SQL Managed Instance를 관리할 때 이 관리 ID를 사용하여 이러한 작업을 수행합니다.
간접 연결 모드에서는 Azure Arc 데이터 컨트롤러에서 Azure에 주기적으로 인벤토리 및 리소스 사용량과 같은 사용 정보를 내보내려면필요한 사용 권한이 있는 서비스 주체가 필요합니다.
Azure Arc 지원 데이터 서비스에 관한 Azure RBAC
모니터링 메트릭을 Azure Monitor에 게시하는 데 필요한 RBAC 권한은 다음과 같습니다.
| 역할 | 설명 |
|---|---|
| 모니터링 메트릭 게시자 | Azure 리소스에 대한 게시 메트릭을 사용하도록 설정합니다. |
Azure Arc 지원 SQL Managed Instance에 대한 보안 액세스
다음 아키텍처 다이어그램에서는 AD 인증을 사용한 보안 액세스를 보여줍니다.
다음 아키텍처 다이어그램에서는 SQL 인증을 사용한 보안 액세스를 보여줍니다.
디자인 고려 사항
Azure 랜딩 존의 ID 및 액세스 관리의 중요한 디자인 영역을 검토하여 Azure Arc 지원 데이터 서비스가 전체 ID 및 액세스 모델에 미치는 영향을 평가합니다.
Arc 지원 데이터 서비스 배포
Arc 지원 데이터 서비스 배포를 위해 수동 또는 자동화와 같은 배포 유형에 따라 Azure Arc 지원 데이터 서비스를 배포하는 데 사용되는 ID를 고려합니다. 이 ID는 온-프레미스 또는 다른 클라우드 환경에서 기본 Azure Arc 지원 Kubernetes 액세스 제어를 관리하는 방법에 따라 AD DS(Active Directory 도메인 Services) 또는 타사 LDAP 공급자의 Microsoft Entra 계정 또는 LDAP(Lightweight Directory Access Protocol) 계정일 수 있습니다.
그룹 기반 액세스 제어 또는 개별 ID 기반 액세스 제어 중에서 IT(정보 기술) 조직에서 두 옵션 모두에 의해 생성된 작업 오버헤드에 따라 Arc 지원 데이터 서비스를 관리하는 데 어느 것이 더 적합한지 고려합니다.
조직의 보안 거버넌스 및 업무 분장 요구 사항에 따라 Azure Arc 지원 데이터 서비스를 배포하고 관리하기 위해 Azure Arc 지원 Kubernetes 관리자, DMG(데이터베이스 관리 그룹), 애플리케이션 관리 그룹 중에서 고려합니다.
Arc 지원 SQL Managed Instance에서 AD 인증을 지원하도록 Azure Arc AD 커넥터를 배포하려면 시스템 관리형 keytab과 고객 관리형 keytab 간에 사용 패턴을 고려합니다. 두 방법 모두 서비스 계정 관리를 위한 전체 고객 제어 및 AD 인증 지원을 위한 keytab에 비해 간소화된 작업의 이점을 누릴 수 있습니다.
Arc 지원 데이터 서비스 액세스
Arc 지원 SQL Managed Instance 액세스 제어는 기본 Azure Arc 지원 Kubernetes 액세스 제어와 완전히 독립적입니다. Arc 지원 SQL Managed Instance를 관리하고 소비자 애플리케이션 및 최종 사용자에 대한 액세스를 제공하기 위한 몇 가지 디자인 결정을 내리는 것이 중요합니다.
조직의 애플리케이션 또는 서비스 기능에 따라 AD 및 SQL 인증 중에서 선택합니다. 모든 애플리케이션이 AD 인증을 지원하지는 않으므로 허용되는 인증 유형에 대한 조직의 보안 정책을 검토하고 SQL 인증을 사용할 때 필요한 추가 보안 제어를 적용합니다.
클라우드 네이티브 서비스가 Arc 지원 SQL Managed Instance 데이터베이스를 인증하고 연결하여 데이터를 추출하고 데이터 분석 서비스에 수집해야 하는 경우, 온-프레미스에서 SQL을 통해 조인된 AD인 자체 호스팅 런타임 가상 또는 물리적 컴퓨터를 사용하여 Arc 지원 SQL Managed Instance를 인증하고 연결하는 것이 좋습니다.
디자인 권장 사항
Arc 지원 SQL Managed Instance가 Arc 지원 Kubernetes 클러스터에 배포되므로 다음 디자인 권장 사항 이외에 Azure Arc 지원 Kubernetes에 대한 ID 및 액세스 관리 디자인 권장 사항을 검토합니다.
Arc 지원 데이터 서비스 배포
엄격한 ITIL 프로세스를 따르는 엔터프라이즈 조직의 경우 다양한 보안 그룹을 만들어 Arc 지원 Kubernetes에서 Arc 지원 데이터 서비스를 관리하는 팀을 분리한 다음 Arc 지원 데이터 서비스를 관리할 수 있는 권한을 할당합니다.
AD 인증 지원에 시스템 관리형 keytab 모드를 사용하고 도메인 계정 및 keytab 관리 오버헤드를 오프로드하여 작업을 간소화합니다.
AD 인증에 고객 관리형 keytab 모드를 사용하여 서비스 계정 만들기 및 keytab 생성을 완전히 제어합니다.
전용 AD OU(조직 구성 단위)를 만들어 액세스 제어를 위임하고 모든 Arc 지원 SQL Managed Instance 계정에 대한 작업을 간소화합니다.
Kerberos keytab 파일에 AES256 암호화를 사용하고 RC4 암호 사용은 피합니다.
Arc 지원 데이터 서비스 액세스
적절한 경우 SQL Managed Instance를 사용한 AD 인증을 사용으로 사용자 수명 주기 관리를 디렉터리 서비스로 오프로드하고 AD의 보안 그룹을 사용하여 사용자 권한을 관리합니다.
Arc 지원 SQL Managed Instance를 사용한 SQL 인증을 AD 인증을 사용할 수 없는 경우최소 기본 인증 유형으로 사용합니다.
AD 인증이 조직 요구 사항에 맞춰질 수 있는 경우, 일상적인 작업에 SQL 인증 사용을 피합니다. 데이터베이스 관리를 위해 데이터베이스 서버에 대한 긴급 액세스에만 SQL 인증을 사용합니다.
AD 인증을 지원하지 않는 배포 시나리오에서는 Arc 지원 SQL Managed Instance가 지원되는 SQL 인증을 사용합니다. 강력한 암호 정책을 채택하고 감사를 사용하도록 설정하여 데이터베이스 서버 및 데이터베이스에 액세스하기 위해 부여된 SQL 사용자 ID 및 권한을 모니터링해야 합니다.
RBAC(역할 기반 액세스 제어)
시스템 관리형 keytab 모드에서는 Arc 지원 SQL Managed Instance에 대한 Active Directory OU 수준에서 DSA(도메인 서비스 계정)에 대한 명시적 권한이 필요합니다.
다음은 필요한 RBAC 권한입니다. 고객 관리형 keytab 모드의 경우 Active Directory OU 수준에서 도메인 서비스 계정에 대한 명시적 권한이 필요하지 않습니다.
Azure Arc AD 커넥터 권한
| Permission | 설명 |
|---|---|
| 모든 속성 읽기 | 디렉터리 개체의 모든 속성 읽기를 허용합니다. |
| 모든 속성 쓰기 | 디렉터리 개체의 모든 속성에 대한 업데이트를 허용합니다. |
| 사용자 개체 만들기 | OU에서 디렉터리 개체 만들기를 허용합니다. |
| 사용자 개체 삭제 | OU에서 디렉터리 개체 삭제를 허용합니다. |
| 암호 다시 설정 | OU에서 사용자 개체의 암호 재설정을 허용합니다. |
SQL Server 역할
다음 단계
Azure Arc 지원 SQL Managed Instance ID 및 액세스 관리에 대한 자세한 내용은 다음 문서를 참조하세요.
- Active Directory 인증을 사용하는 Azure Arc 지원 SQL Managed Instance
- Active Directory 인증의 Azure Arc 지원 SQL Managed Instance 필수 구성 요소
- 자습서: Azure CLI를 사용하여 Active Directory 커넥터 배포
- Active Directory 통합 Azure Arc 지원 SQL Managed Instance 배포
- Azure Arc Jumpstart에서 Azure Arc 지원 SQL Managed Instance 자동화 시나리오를 경험합니다.
- Azure Arc에 대해 자세히 알아보려면 Microsoft Learn에서 Azure Arc 학습 경로를 검토합니다.