Azure Arc 지원 서버에 대한 ID 및 액세스 관리

  • 아티클

조직은 온-프레미스 및 클라우드 기반 ID 관리 시스템을 사용하여 하이브리드 환경을 보호하기 위해 올바른 액세스 제어를 설계해야 합니다.

이러한 ID 관리 시스템은 중요한 역할을 합니다. Azure Arc 지원 서버 인프라를 보호하기 위한 신뢰할 수 있는 액세스 관리 컨트롤을 디자인하고 구현하는 데 도움이 됩니다.

관리 ID

만들 때 Microsoft Entra ID 시스템 할당 ID는 Azure Arc 지원 서버의 상태 업데이트하는 데만 사용할 수 있습니다(예: '마지막으로 본' 하트비트). 이 ID에 Azure 리소스에 대한 액세스 권한을 부여하면 서버의 애플리케이션에서 이를 사용하여 Azure 리소스에 액세스할 수 있습니다(예: Key Vault에서 비밀을 요청). 다음을 수행해야 합니다.

  • 서버 애플리케이션이 액세스 토큰을 가져오고 Azure 리소스에 액세스하는 동시에 이러한 리소스의 액세스 제어를 계획하는 데 어떤 합법적인 사용 사례가 있는지 고려합니다.
  • Azure 리소스에 대한 무단 액세스를 얻기 위해 시스템 관리 ID가 오용되지 않도록 Azure Arc 지원 서버(Windows의 로컬 관리자 또는 하이브리드 에이전트 확장 애플리케이션 그룹의 구성원 및 Linux의 himds 그룹 구성원)에서 권한 있는 사용자 역할을 제어합니다.
  • Azure RBAC를 사용하여 Azure Arc 지원 서버 관리 ID에 대한 사용 권한을 제어 및 관리하고 이러한 ID에 대한 액세스를 정기적으로 검토합니다.

RBAC(역할 기반 액세스 제어)

최소 권한 원칙따라 "기여자" 또는 "소유자" 또는 "Azure 커넥트d Machine Resource 관리istrator"와 같은 역할이 할당된 사용자, 그룹 또는 애플리케이션은 확장을 배포하고 Azure Arc 지원 서버에서 루트 또는 관리자 액세스를 효과적으로 위임하는 등의 작업을 실행할 수 있습니다. 이러한 역할은 폭발 반경을 제한하도록 주의해서 사용하거나 결국에는 사용자 지정 역할로 대체해야 합니다.

사용자의 권한을 제한하고 서버만 Azure에 온보딩할 수 있도록 하려면 Azure Connected Machine 온보딩 역할이 적합합니다. 이 역할은 서버를 온보딩하는 데만 사용할 수 있으며 서버 리소스를 다시 온보딩하거나 삭제할 수 없습니다. 액세스 제어에 대한 자세한 내용은 Azure Arc 지원 서버 보안 개요를 검토해야 합니다.

또한 Azure Monitor Log Analytics 작업 영역으로 전송될 수 있는 중요한 데이터를 고려합니다. 동일한 RBAC 원칙을 데이터 자체에 적용해야 합니다. Azure Arc 지원 서버에 대한 읽기 액세스는 연결된 Log Analytics 작업 영역에 저장된 Log Analytics 에이전트에서 수집한 로그 데이터에 대한 액세스를 제공할 수 있습니다. Azure Monitor 로그 배포 디자인 설명서에서 세밀한 Log Analytics 작업 영역 액세스를 구현하는 방법을 검토합니다.

아키텍처

다음 다이어그램에서는 Azure Arc 지원 서버에 대한 역할, 권한 및 작업 흐름을 보여 주는 참조 아키텍처를 보여 줍니다.

Diagram that shows reference architecture that demonstrates the identities, roles, permissions and flow of actions for Azure Arc-enabled servers.

디자인 고려 사항

  • 서버 및 Azure에서 필요한 권한을 설정하기 위해 온보딩 서버에 액세스할 수 있는 조직의 사용자를 결정합니다.
  • Azure Arc 지원 서버를 관리할 사용자를 결정합니다. 그런 다음, Azure 서비스 및 기타 클라우드 환경에서 데이터를 볼 수 있는 사용자를 결정합니다.
  • 필요한 Arc 온보딩 서비스 주체 수를 결정합니다. 이러한 ID 중 여러 가지를 사용하여 운영 책임 및 소유권을 기반으로 하는 기업의 여러 비즈니스 기능 또는 단위가 소유한 서버를 온보딩할 수 있습니다.
  • Azure 랜딩 존 엔터프라이즈 규모의 ID 및 액세스 관리 디자인 영역을 검토합니다. 영역을 검토하여 Azure Arc 지원 서버가 전체 ID 및 액세스 모델에 미치는 영향을 평가합니다.

디자인 권장 사항

  • 서버 온보딩 및 관리
    • 보안 그룹을 사용하여 Azure Arc에 대규모로 온보딩할 서버의 식별된 사용자 또는 서비스 계정에 로컬 관리자 권한을 할당합니다.
    • Microsoft Entra 서비스 주체를 사용하여 서버를 Azure Arc에 온보딩합니다. 여러 IT 팀에서 서버를 관리하는 분산형 운영 모델에서 여러 Microsoft Entra 서비스 주체를 사용하는 것이 좋습니다.
    • 수명이 짧은 Microsoft Entra 서비스 주체 클라이언트 비밀을 사용합니다.
    • 리소스 그룹 수준에서 Azure Connected Machine 온보딩 역할을 할당합니다.
    • Microsoft Entra 보안 그룹을 사용하고 Hybrid Server Resource 관리istrator 역할을 부여합니다. Azure에서 Azure Arc 지원 서버 리소스를 관리하는 팀 및 개인에게 역할을 부여합니다.
  • Microsoft Entra ID로 보호된 리소스 액세스
    • 온-프레미스 서버(및 기타 클라우드 환경)에서 실행되는 애플리케이션에 관리 ID를 사용하여 Microsoft Entra ID로 보호되는 클라우드 리소스에 대한 액세스를 제공합니다.
    • Microsoft Entra 애플리케이션 권한을 사용하여 권한이 부여된 애플리케이션을 허용하도록 관리 ID에 대한 액세스를 제한합니다.
    • Windows의 Hybrid agent extension applications 로컬 보안 그룹 또는 Linux의 himds 그룹을 사용하여 사용자에게 Azure Arc 지원 서버에서 Azure 리소스 액세스 토큰을 요청할 수 있는 액세스 권한을 부여합니다.

다음 단계

하이브리드 클라우드 채택 경험에 대한 자세한 지침은 다음 리소스를 검토하세요.