컨테이너 및 Blob에 대한 익명 읽기 권한 구성

아티클
10/18/2023

Azure Storage는 컨테이너 및 Blob에 대한 선택적 익명 읽기 권한을 지원합니다. 기본값으로 데이터에 대한 익명 액세스는 허용되지 않습니다. 익명 액세스를 명시적으로 사용하도록 설정하지 않는 한 컨테이너 및 해당 Blob에 대한 모든 요청에는 권한이 있어야 합니다. 익명 액세스를 허용하도록 컨테이너의 액세스 수준 설정을 구성하는 경우 클라이언트는 요청에 대한 권한을 부여하지 않고 해당 컨테이너의 데이터를 읽을 수 있습니다.

Warning

컨테이너가 익명 액세스용으로 구성된 경우 모든 클라이언트가 해당 컨테이너의 데이터를 읽을 수 있습니다. 익명 액세스는 잠재적인 보안 위험을 초래하므로 시나리오에 필요하지 않은 경우 스토리지 계정에 대한 익명 액세스를 수정하는 것이 좋습니다.

이 문서는 컨테이너 및 해당 Blob에 대한 익명 읽기 권한을 구성하는 방법을 설명합니다. 최적의 보안을 위해 익명 액세스를 수정하는 방법에 대한 자세한 내용은 다음 문서 중 하나를 참조하세요.

익명 읽기 액세스 정보

기본적으로 데이터에 대한 익명 액세스는 항상 금지됩니다. 익명 액세스에 영향을 주는 두 가지 개별 설정이 있습니다.

스토리지 계정에 대한 익명 액세스 설정입니다. Azure Resource Manager 스토리지 계정은 계정에 대한 익명 액세스를 허용하거나 허용하지 않도록 설정할 수 있습니다. 최적의 보안을 위해 스토리지 계정에 대한 익명 액세스를 허용하지 않는 것이 좋습니다.

계정 수준에서 익명 액세스가 허용되면 사용자가 컨테이너의 익명 액세스 설정을 명시적으로 구성하는 추가 단계를 수행하는 경우가 아니면 익명 읽기 액세스에 Blob 데이터를 사용할 수 없습니다.
컨테이너의 익명 액세스 설정을 구성합니다. 기본값으로 컨테이너의 익명 액세스 설정은 사용하지 않도록 설정됩니다. 즉, 컨테이너 또는 해당 데이터에 대한 모든 요청에 대한 권한 부여가 필요합니다. 적절한 권한이 있는 사용자는 컨테이너의 익명 액세스 설정을 수정하여 스토리지 계정에 대한 익명 액세스가 허용되는 경우에만 익명 액세스를 사용하도록 설정할 수 있습니다.

다음 표에서는 두 설정이 함께 컨테이너에 대한 익명 액세스에 미치는 영향을 요약합니다.

	컨테이너에 대한 익명 액세스 수준이 프라이빗(기본 설정)으로 설정됩니다.	컨테이너에 대한 익명 액세스 수준이 컨테이너로 설정되었습니다.	컨테이너에 대한 익명 액세스 수준이 Blob으로 설정됩니다.
스토리지 계정에 대한 익명 액세스는 허용되지 않습니다.	스토리지 계정의 모든 컨테이너에 익명으로 액세스할 수 없습니다.	스토리지 계정의 모든 컨테이너에 익명으로 액세스할 수 없습니다. 스토리지 계정 설정은 컨테이너 설정을 재정의합니다.	스토리지 계정의 모든 컨테이너에 익명으로 액세스할 수 없습니다. 스토리지 계정 설정은 컨테이너 설정을 재정의합니다.
스토리지 계정에 익명 액세스가 허용됩니다.	이 컨테이너에 대한 익명 액세스 권한이 없습니다(기본값 구성).	이 컨테이너 및 해당 Blob에 대한 익명 액세스가 허용됩니다.	이 컨테이너의 Blob에는 익명 액세스가 허용되지만 컨테이너 자체에는 허용되지 않습니다.

스토리지 계정에 대해 익명 액세스가 허용되고 특정 컨테이너에 대해 구성된 경우 권한 부여 헤더 없이 전달된 해당 컨테이너의 Blob 읽기 요청이 서비스에서 수락되고 Blob의 데이터 응답으로 반환됩니다.

스토리지 계정에 대한 익명 읽기 액세스를 허용하거나 허용하지 않습니다.

스토리지 계정에 익명 액세스가 허용되는 경우 적절한 권한이 있는 사용자는 컨테이너의 익명 액세스 설정을 수정하여 해당 컨테이너의 데이터에 익명으로 액세스할 수 있도록 할 수 있습니다. 사용자가 컨테이너의 익명 액세스 설정을 명시적으로 구성하는 추가 단계를 수행하지 않는 한 익명 액세스에는 Blob 데이터를 사용할 수 없습니다.

컨테이너에 대한 익명 액세스는 항상 꺼져 있는 것이 기본값이며 익명 요청을 허용하도록 명시적으로 구성해야 합니다. 적절한 권한이 있는 사용자가 컨테이너에 대한 익명 액세스를 사용하도록 설정하는 경우를 제외하고, 스토리지 계정 설정에 관계 없이 익명 액세스를 위해 데이터를 사용할 수 없습니다.

스토리지 계정에 대한 익명 액세스를 허용하지 않으면 해당 스토리지 계정의 모든 컨테이너에 대한 액세스 설정이 재정의되어 해당 계정의 Blob 데이터에 대한 익명 액세스가 불가능해집니다. 계정에 대한 익명 액세스를 허용하지 않으면 익명 액세스를 허용하도록 컨테이너에 대한 액세스 설정을 구성할 수 없으며 해당 계정에 대한 향후 익명 요청은 실패합니다. 이 설정을 변경하기 전에 스토리지 계정의 데이터에 익명으로 액세스할 수 있는 클라이언트 응용 프로그램에 미치는 영향을 이해해야 합니다. 자세한 내용은 컨테이너 및 Blob에 대한 익명 읽기 액세스 방지를 참조하세요.

Important

스토리지 계정에 대한 익명 액세스가 허용되지 않으면 익명 전달자 챌린지를 사용하는 클라이언트에 Azure Storage가 401 오류(권한 없음)가 아닌 403 오류(금지됨)를 반환합니다. 이 문제를 완화하려면 모든 컨테이너를 비공개로 설정하는 것이 좋습니다. 컨테이너에 대한 익명 액세스 설정을 수정하는 방법에 자세한 내용은 컨테이너에 대한 액세스 수준 설정을 참조하세요.

익명 액세스를 허용하거나 허용하지 않으려면 Azure Storage 리소스 공급자 2019-04-01 이상 버전이 필요합니다. 자세한 내용은 Azure Storage 리소스 공급자 REST API를 참조하세요.

익명 액세스를 허용하지 않는 권한

스토리지 계정에 대한 AllowBlobPublicAccess 속성을 설정하려면 사용자에게 스토리지 계정을 만들고 관리할 수 있는 권한이 있어야 합니다. 이러한 권한을 제공하는 Azure RBAC(Azure 역할 기반 액세스 제어) 역할에는 Microsoft.Storage/storageAccounts/write 작업이 포함됩니다. 이 작업이 포함된 기본 제공 역할은 다음과 같습니다.

Azure Resource Manager Owner 역할
Azure Resource Manager 기여자 역할
스토리지 계정 기여자 역할

스토리지 계정에 대한 익명 액세스를 사용자가 허용하지 않도록 하려면 역할 할당의 범위를 스토리지 계정 수준 이상으로 지정해야 합니다. 역할 범위에 대한 자세한 내용은 Azure RBAC의 범위 이해를 참조하세요.

이러한 역할은 스토리지 계정을 만들거나 해당 속성을 업데이트하는 기능이 필요한 관리자에게만 제한적으로 할당해야 합니다. 최소 권한의 원칙을 사용하여 사용자에게 작업을 수행하는 데 필요한 최소 권한을 부여합니다. Azure RBAC를 사용하여 액세스를 관리하는 방법에 대한 자세한 내용은 Azure RBAC 모범 사례를 참조하세요.

이러한 역할은 Microsoft Entra ID를 통해 스토리지 계정의 데이터에 대한 액세스 권한을 제공하지 않습니다. 그러나 계정 액세스 키에 대한 액세스 권한을 부여하는 Microsoft.Storage/storageAccounts/listkeys/action이 포함되어 있습니다. 이 권한이 있는 사용자는 계정 액세스 키를 사용하여 스토리지 계정의 모든 데이터에 액세스할 수 있습니다.

Microsoft.Storage/storageAccounts/listkeys/action 자체는 계정 키를 통해 데이터 액세스 권한을 부여하지만 사용자에게 스토리지 계정의 AllowBlobPublicAccess 속성을 변경할 수 있는 기능을 부여하지는 않습니다. 스토리지 계정의 데이터에 액세스해야 하지만 스토리지 계정의 구성을 변경할 수 없는 사용자의 경우 Storage Blob 데이터 기여자, Storage Blob 데이터 읽기 권한자 또는 읽기 권한자 및 데이터 액세스와 같은 역할을 할당하는 것이 좋습니다.

참고 항목

클래식 구독 관리자 역할인 서비스 관리자 및 공동 관리자에는 Azure Resource Manager 소유자 역할에 해당하는 항목이 포함됩니다. 소유자 역할에는 모든 작업이 포함되므로 이러한 관리 역할 중 하나가 있는 사용자는 스토리지 계정을 만들고 계정 구성을 관리할 수도 있습니다. 자세한 내용은 Azure 역할, Microsoft Entra 역할 및 클래식 구독 관리자 역할을 참조하세요.

스토리지 계정의 AllowBlobPublicAccess 속성 설정

스토리지 계정에 대한 익명 액세스를 허용하거나 허용하지 않으려면 계정의 AllowBlobPublicAccess 속성을 설정합니다. 이 속성은 Azure Resource Manager 배포 모델을 사용하여 만든 모든 스토리지 계정에서 사용할 수 있습니다. 자세한 내용은 Storage 계정 개요를 참조하세요.

Azure Portal에서 스토리지 계정에 대한 익명 액세스를 허용하거나 허용하지 않으려면 다음 단계를 수행합니다.

Azure Portal의 스토리지 계정으로 이동합니다.
설정에서 구성 설정을 찾습니다.
Blob 익명 액세스 허용을 사용 또는 사용하지 않음으로 설정합니다.

PowerShell을 사용하여 스토리지 계정에 대한 익명 액세스를 허용하거나 허용하지 않으려면 Azure PowerShell 버전 4.4.0 이상을 설치합니다. 다음으로, 새 또는 기존 스토리지 계정에 대한 AllowBlobPublicAccess 속성을 구성합니다.

다음 예제에서는 스토리지 계정을 만들고 allowBlobPublicAccess 속성을 명시적으로 false로 설정합니다. 대괄호의 자리 표시자 값을 사용자 고유의 값으로 바꿔야 합니다.

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$location = "<location>"

# Create a storage account with AllowBlobPublicAccess explicitly set to false.
New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Location $location `
    -SkuName Standard_GRS `
    -AllowBlobPublicAccess $false

# Read the AllowBlobPublicAccess property for the newly created storage account.
(Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName).AllowBlobPublicAccess

Azure CLI를 사용하여 스토리지 계정에 대한 익명 액세스를 허용하거나 허용하지 않으려면 Azure CLI 버전 2.9.0 이상을 설치합니다. 자세한 내용은 Azure CLI 설치를 참조하세요. 다음으로, 새 또는 기존 스토리지 계정에 대한 AllowBlobPublicAccess 속성을 구성합니다.

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --kind StorageV2 \
    --location <location> \
    --allow-blob-public-access false

az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query allowBlobPublicAccess \
    --output tsv

템플릿을 사용하여 스토리지 계정에 대한 익명 액세스를 허용하거나 허용하지 않으려면 AllowBlobPublicAccess 속성 집합을 true 또는 false로 설정하여 템플릿을 만듭니다. 다음 단계는 Azure Portal에서 템플릿을 만드는 방법을 보여 줍니다.

Azure Portal에서 리소스 만들기를 선택합니다.
서비스 및 Marketplace 검색에 템플릿 배포를 입력한 다음, ENTER를 누릅니다.
템플릿 배포(사용자 지정 템플릿을 사용하여 배포)를 선택하고 만들기를 선택한 다음, 편집기에서 사용자 고유의 템플릿 빌드를 선택합니다.

템플릿 편집기에서 다음 JSON을 붙여넣어 새 계정을 만들고 AllowBlobPublicAccess 속성을 true 또는 false로 설정합니다. 꺾쇠 괄호로 묶인 자리 표시자 값을 사용자 고유의 값으로 바꿔야 합니다.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "variables": {
        "storageAccountName": "[concat(uniqueString(subscription().subscriptionId), 'template')]"
    },
    "resources": [
        {
        "name": "[variables('storageAccountName')]",
        "type": "Microsoft.Storage/storageAccounts",
        "apiVersion": "2019-06-01",
        "location": "<location>",
        "properties": {
            "allowBlobPublicAccess": false
        },
        "dependsOn": [],
        "sku": {
          "name": "Standard_GRS"
        },
        "kind": "StorageV2",
        "tags": {}
        }
    ]
}

템플릿을 저장하는 경우
리소스 그룹 매개 변수를 지정하고 검토 + 만들기 단추를 선택하여 템플릿을 배포하고 allowBlobPublicAccess 속성이 구성된 스토리지 계정을 만듭니다.

참고 항목

스토리지 계정에 대한 익명 액세스를 허용하지 않으면 해당 스토리지 계정에서 호스트되는 정적 웹 사이트에 영향을 주지 않습니다. $web 컨테이너는 항상 퍼블릭으로 액세스할 수 있습니다.

스토리지 계정에 대한 익명 액세스 설정을 업데이트한 후 변경이 완전히 전파되기까지 최대 30초가 걸릴 수 있습니다.

컨테이너가 익명 액세스용으로 구성된 경우 해당 컨테이너의 Blob 읽기 요청에 권한을 부여할 필요가 없습니다. 그러나 스토리지 계정에 대해 구성된 모든 방화벽 규칙은 계속 유효하며 구성된 ACL에 따라 트래픽을 인라인으로 차단합니다.

이 섹션의 예제는 스토리지 계정에 대한 AllowBlobPublicAccess 속성을 읽어 익명 액세스가 현재 허용되는지 아니면 허용되지 않는지 확인하는 방법을 보여 주었습니다. 익명 액세스를 방지하기 위해 계정의 익명 액세스 설정이 구성되어 있는지 확인하는 방법을 알아보려면 스토리지 계정에 대한 익명 액세스 수정을 참조하세요.

컨테이너에 대한 익명 액세스 수준 설정

익명 사용자에게 컨테이너 및 해당 Blob에 대한 읽기 권한을 부여하려면 먼저 스토리지 계정에 대한 익명 액세스를 허용한 다음, 컨테이너의 익명 액세스 수준을 설정합니다. 스토리지 계정에 대한 익명 액세스가 거부된 경우에는 컨테이너에 대한 익명 액세스를 구성할 수 없습니다.

주의

스토리지 계정의 Blob 데이터에 대한 익명 액세스를 허용하지 않는 것이 좋습니다.

스토리지 계정에 대한 익명 액세스를 허용하는 경우 다음 사용 권한을 사용하여 컨테이너를 구성할 수 있습니다.

퍼블릭 읽기 권한 없음: 인증된 요청에 의해서만 컨테이너 및 해당 Blob에 액세스할 수 있습니다. 이 옵션은 새로운 모든 컨테이너에 대한 기본 설정입니다.
Blob 전용 퍼블릭 읽기 권한: 이 컨테이너 내의 Blob은 익명 요청을 통해 읽을 수 있지만 컨테이너 데이터는 익명으로 읽을 수 없습니다. 익명 클라이언트는 컨테이너 내에서 Blob을 열거할 수 없습니다.
컨테이너 및 해당 Blob에 대한 퍼블릭 읽기 권한: 컨테이너 권한 설정 및 컨테이너 메타데이터를 제외하고, 컨테이너 및 Blob 데이터를 익명 요청으로 읽을 수 있습니다. 클라이언트는 익명 요청으로 컨테이너 내의 Blob을 열거할 수 있으나 스토리지 계정 내의 컨테이너를 열거할 수 없습니다.

개별 Blob에 대한 익명 액세스 수준을 변경할 수는 없습니다. 익명 액세스 수준은 컨테이너 수준에서만 설정됩니다. 컨테이너를 만들 때 컨테이너의 익명 액세스 수준을 설정하거나 기존 컨테이너에서 설정을 업데이트할 수 있습니다.

Azure Portal에서 하나 이상의 기존 컨테이너에 대한 익명 액세스 수준을 업데이트하려면 다음 단계를 수행합니다.

Azure Portal의 스토리지 계정 개요로 이동합니다.
메뉴 블레이드의 데이터 스토리지에서 컨테이너를 선택합니다.
익명 액세스 수준을 설정하려는 컨테이너를 선택합니다.
액세스 수준 변경 단추를 사용하여 익명 액세스 설정을 표시합니다.
익명 액세스 수준 드롭다운에서 원하는 익명 액세스 수준을 선택하고 확인 단추를 클릭하여 선택한 컨테이너에 변경 내용을 적용합니다.

스토리지 계정에 대해 익명 액세스가 허용되지 않는 경우 컨테이너의 익명 액세스 수준을 설정할 수 없습니다. 컨테이너의 익명 액세스 수준을 설정하려고 하면 계정에 대한 익명 액세스가 허용되지 않기 때문에 설정이 사용하지 않는 것으로 설정된 것을 볼 수 있습니다.

Screenshot showing that setting a container's anonymous access level is blocked when anonymous access disallowed for the account

PowerShell을 사용하여 하나 이상의 컨테이너에 대한 익명 액세스 수준을 업데이트하려면 Set-AzStorageContainerAcl 명령을 호출합니다. 계정 키, 연결 문자열 또는 SAS(공유 액세스 서명)를 전달하여 이 작업에 권한을 부여합니다. 컨테이너의 익명 액세스 수준을 설정하는 컨테이너 ACL 설정 작업은 Microsoft Entra ID에 대한 권한 부여를 지원하지 않습니다. 자세한 내용은 Blob 및 큐 데이터 작업 호출 권한을 참조하세요.

다음 예제에서는 익명 액세스를 사용할 수 없는 컨테이너를 만든 다음, 컨테이너의 익명 액세스 설정을 업데이트하여 컨테이너 및 해당 Blob에 대한 익명 액세스를 허용합니다. 대괄호의 자리 표시자 값을 사용자 고유의 값으로 바꿔야 합니다.

# Set variables.
$rgName = "<resource-group>"
$accountName = "<storage-account>"
# Get context object.
$storageAccount = Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName
$ctx = $storageAccount.Context
# Create a new container with anonymous access setting set to Off.
$containerName = "<container>"
New-AzStorageContainer -Name $containerName -Permission Off -Context $ctx
# Read the container's anonymous access setting.
Get-AzStorageContainerAcl -Container $containerName -Context $ctx
# Update the container's anonymous access setting to Container.
Set-AzStorageContainerAcl -Container $containerName -Permission Container -Context $ctx
# Read the container's anonymous access setting.
Get-AzStorageContainerAcl -Container $containerName -Context $ctx

스토리지 계정에 대해 익명 액세스가 허용되지 않는 경우 컨테이너의 익명 액세스 수준을 설정할 수 없습니다. 컨테이너의 익명 액세스 수준을 설정하려고 하면 Azure Storage에서 스토리지 계정에 대한 익명 액세스가 허용되지 않는다는 오류를 반환합니다.

Azure CLI를 사용하여 하나 이상의 컨테이너에 대한 익명 액세스 수준을 업데이트하려면 az storage container set permission 명령을 호출합니다. 계정 키, 연결 문자열 또는 SAS(공유 액세스 서명)를 전달하여 이 작업에 권한을 부여합니다. 컨테이너의 익명 액세스 수준을 설정하는 컨테이너 ACL 설정 작업은 Microsoft Entra ID에 대한 권한 부여를 지원하지 않습니다. 자세한 내용은 Blob 및 큐 데이터 작업 호출 권한을 참조하세요.

az storage container create \
    --name <container-name> \
    --account-name <account-name> \
    --resource-group <resource-group>
    --public-access off \
    --account-key <account-key> \
    --auth-mode key
az storage container show-permission \
    --name <container-name> \
    --account-name <account-name> \
    --account-key <account-key> \
    --auth-mode key
az storage container set-permission \
    --name <container-name> \
    --account-name <account-name> \
    --public-access container \
    --account-key <account-key> \
    --auth-mode key
az storage container show-permission \
    --name <container-name> \
    --account-name <account-name> \
    --account-key <account-key> \
    --auth-mode key

컨테이너 집합에 대한 익명 액세스 설정 확인

컨테이너를 나열하고 익명 액세스 설정을 확인하여 하나 이상의 스토리지 계정에서 어떤 컨테이너가 익명 액세스를 위해 구성되었는지 확인할 수 있습니다. 이 방법은 스토리지 계정에 많은 수의 컨테이너가 포함되어 있지 않거나 소수의 스토리지 계정에서 설정을 확인하는 경우에 유용한 옵션입니다. 그러나 많은 수의 컨테이너를 열거하려고 하면 성능이 저하될 수 있습니다.

다음 예제에서는 PowerShell을 사용하여 스토리지 계정의 모든 컨테이너에 대한 익명 액세스 설정을 가져옵니다. 대괄호의 자리 표시자 값을 사용자 고유의 값으로 바꿔야 합니다.

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$storageAccount = Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName
$ctx = $storageAccount.Context
Get-AzStorageContainer -Context $ctx | Select Name, PublicAccess

기능 지원

이 기능에 대한 지원은 Data Lake Storage Gen2, NFS(네트워크 파일 시스템) 3.0 프로토콜 또는 SSH SFTP(파일 전송 프로토콜)를 사용하도록 설정하면 영향을 받을 수 있습니다. 이러한 기능을 사용하도록 설정한 경우 Azure Storage 계정의 Blob Storage 기능 지원을 참조하여 이 기능에 대한 지원을 평가합니다.