Azure Spring Apps에서 애플리케이션에 대해 시스템 할당 관리 ID 사용

참고 항목

Azure Spring Apps는 Azure Spring Cloud 서비스의 새 이름입니다. 서비스에 새 이름이 지정되었지만, 자산을 업데이트하는 동안 스크린샷, 비디오, 다이어그램과 같은 일부 위치에서는 당분간 이전 이름이 표시됩니다.

이 문서의 적용 대상: ✔️ 기본/표준 ✔️ 엔터프라이즈

이 문서에서는 Azure Portal 및 CLI를 사용하여 Azure Spring Apps의 애플리케이션에 대해 시스템 할당 관리 ID를 사용하거나 사용하지 않도록 설정하는 방법을 보여 줍니다.

Azure 리소스에 대한 관리 ID는 Microsoft Entra ID에서 자동으로 관리되는 ID를 Azure Spring Apps의 애플리케이션과 같은 Azure 리소스에 제공합니다. 이 ID를 사용하면 코드에 자격 증명이 없어도 Microsoft Entra 인증을 지원하는 모든 서비스에 인증할 수 있습니다.

필수 조건

Azure 리소스에 대한 관리 ID에 익숙하지 않은 경우 Azure 리소스에 대한 관리 ID란?을 참조하세요.

• 이미 프로비전된 Azure Spring Apps 엔터프라이즈 계획 인스턴스입니다. 자세한 내용은 빠른 시작: 엔터프라이즈 계획을 사용하여 Azure Spring Apps에 앱 빌드 및 배포를 참조하세요.
• Azure CLI 버전 2.45.0 이상
• Azure CLI용 Azure Spring Apps 확장은 버전 1.0.0 이상을 사용하는 앱 사용자가 할당한 관리 ID를 지원합니다. 다음 명령을 사용하여 이전 버전을 제거하고 최신 확장을 설치합니다.

  az extension remove --name spring
  az extension add --name spring
  

• 이미 프로비저닝된 Azure Spring Apps 인스턴스입니다. 자세한 내용은 빠른 시작: Azure Spring Apps에 첫 번째 애플리케이션 배포를 참조하세요.
• Azure CLI 버전 2.45.0 이상
• Azure CLI용 Azure Spring Apps 확장은 버전 1.0.0 이상을 사용하는 앱 사용자가 할당한 관리 ID를 지원합니다. 다음 명령을 사용하여 이전 버전을 제거하고 최신 확장을 설치합니다.

  az extension remove --name spring
  az extension add --name spring
  

시스템 할당 ID 추가

시스템이 할당한 ID를 사용하여 앱을 만들려면 애플리케이션에서 기타 속성을 설정해야 합니다.

포털

포털에서 관리 ID를 설정하려면 먼저 앱을 만든 다음, 해당 기능을 사용하도록 설정합니다.

1. 평소처럼 포털에서 앱을 만듭니다. 포털에서 해당 앱으로 이동합니다.
2. 왼쪽 탐색 창에서 설정 그룹이 나올 때까지 아래로 스크롤합니다.
3. ID를 선택합니다.
4. 시스템 할당 탭에서 상태를 켜기로 바꿉니다. 저장을 선택합니다.

Azure CLI

앱 생성 중에 또는 기존 앱에서 시스템이 할당한 관리 ID를 사용하도록 설정할 수 있습니다.

앱 생성 중에 시스템이 할당한 관리 ID를 사용하도록 설정

다음 예에서는 --assign-identity 매개 변수에서 요청한 대로 시스템이 할당한 관리 ID를 사용하여 이름이 app_name인 앱을 만듭니다.

az spring app create \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --system-assigned

기존 앱에서 시스템 할당 관리 ID 사용**

az spring app identity assign 명령을 사용하여 기존 앱에서 시스템 할당 ID를 사용하도록 설정합니다.

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --system-assigned

Azure 리소스 토큰 가져오기

앱은 관리 ID를 사용하여 토큰을 가져와 Azure Key Vault와 같은 Microsoft Entra ID로 보호되는 다른 리소스에 액세스할 수 있습니다. 이러한 토큰은 애플리케이션의 특정 사용자가 아닌 리소스에 액세스하는 애플리케이션을 나타냅니다.

애플리케이션의 액세스를 허용하도록 대상 리소스를 구성해야 할 수도 있습니다. 예를 들어 Key Vault에 액세스하는 토큰을 요청할 경우 애플리케이션의 ID를 포함하는 액세스 정책을 추가했는지 확인해야 합니다. 그렇지 않으면 토큰이 포함되어 있더라도 Key Vault에 대한 호출이 거부됩니다. Microsoft Entra 토큰을 지원하는 리소스에 대한 자세한 내용은 관리 ID를 사용하여 다른 서비스에 액세스할 수 있는 Azure 서비스를 참조하세요.

Azure Spring Apps는 Azure Virtual Machine과 토큰 획득을 위해 동일한 엔드포인트를 공유합니다. Java SDK 또는 스프링 부팅 시작을 사용하여 토큰을 획득하는 것이 좋습니다. 토큰 만료 및 HTTP 오류 처리와 같은 중요한 항목에 대한 다양한 코드 및 스크립트 예제와 지침은 Azure VM에서 Azure 리소스에 대한 관리 ID를 사용하여 액세스 토큰을 획득하는 방법을 참조하세요.

앱에서 시스템이 할당한 ID를 사용하지 않도록 설정

시스템이 할당한 ID를 제거하면 Microsoft Entra ID에서도 삭제됩니다. 앱 리소스를 삭제하면 Microsoft Entra ID에서도 시스템이 할당한 ID가 자동으로 제거됩니다.

포털

다음 단계에 따라 더 이상 필요하지 않는 앱에서 시스템이 할당한 관리 ID를 제거합니다.

1. Azure Spring Apps 인스턴스가 포함된 Azure 구독과 연결된 계정을 사용하여 포털에 로그인합니다.
2. 원하는 애플리케이션으로 이동하여 ID를 선택합니다.
3. 시스템 할당됨/상태에서 끄기를 선택한 다음, 저장을 선택합니다.

Azure CLI

더 이상 필요하지 않은 시스템이 할당한 관리 ID를 앱에서 제거하려면 다음 명령을 사용합니다.

az spring app identity remove \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --system-assigned

개체 ID(주 ID)에서 클라이언트 ID 가져오기

다음 명령을 사용하여 개체/주체 ID 값에서 클라이언트 ID를 가져옵니다.

az ad sp show --id <object-ID> --query appId

---

다음 단계

• Azure 리소스에 대한 관리 ID란?
• Java SDK에서 관리 ID를 사용하는 방법