Azure Files 구성
Contoso의 사용자는 먼저 인증해야 Azure Files에 액세스할 수 있으며 익명 액세스는 지원되지 않습니다. 리드 시스템 엔지니어는 다음 표에 설명된 대로 Azure Files에서 지원하는 인증 방법을 알고 있어야 합니다.
| 인증 방법 | Description |
|---|---|
| SMB를 통한 ID 기반 인증 | Azure Files에 액세스하는 경우 온-프레미스 파일 공유에 액세스하는 것처럼 Azure 파일 공유에 액세스할 때와 동일한 원활한 SSO(Single Sign-On) 환경이 제공됩니다. ID 기반 인증은 Microsoft Entra ID(이전의 Azure AD) 또는 AD DS의 ID를 사용하는 Kerberos 인증을 지원합니다. |
| 액세스 키 | 액세스 키는 오래되고 유연성이 낮은 옵션입니다. Azure 스토리지 계정에는 Azure Files를 포함하여 스토리지 계정에 대한 요청을 할 때 사용할 수 있는 두 개의 액세스 키가 있습니다. 액세스 키는 정적이며 Azure Files에 대한 모든 권한을 제공합니다. 액세스 키는 모든 액세스 제어 제한을 우회하므로 사용자와 공유하지 않고 액세스 키를 보호해야 합니다. 모범 사례는 스토리지 계정 키를 공유하지 않고, 가능하면 ID 기반 인증을 사용하는 것입니다. |
| SAS(공유 액세스 서명) 토큰 | SAS는 스토리지 액세스 키를 기반으로 하는 동적으로 생성된 URI(Uniform Resource Identifier)입니다. SAS는 Azure Storage 계정에 대한 제한된 액세스 권한을 제공합니다. 제한에는 허용된 권한, 시작 및 만료 시간, 요청을 보낼 수 있도록 허용된 IP 주소 및 허용된 프로토콜이 포함됩니다. Azure Files를 사용하면 SAS 토큰은 코드에서 REST API 액세스를 제공하는 데만 사용됩니다. |
ID 기반 인증 사용
Azure 스토리지 계정에서 ID 기반 인증을 사용하도록 설정할 수 있습니다. 그러나 이 작업을 수행하려면 먼저 도메인 환경을 설정해야 합니다. Microsoft Entra ID 인증의 경우 Microsoft Entra Domain Services(이전의 Azure Active Directory Domain Services)를 사용하도록 설정해야 합니다. AD DS 인증의 경우 AD DS가 Microsoft Entra ID와 동기화되고 있는지 확인한 후 스토리지 계정의 도메인 가입을 확인해야 합니다. 두 경우 모두 사용자는 도메인에 가입된 디바이스 또는 VM에서만 Azure 파일 공유를 인증하고 해당 파일 공유에 액세스할 수 있습니다.
스토리지 계정에 대해 ID 기반 인증을 사용하도록 설정하면 사용자가 로그인 자격 증명을 사용하여 Azure 파일 공유의 파일에 액세스할 수 있습니다. 사용자가 Azure Files의 데이터에 액세스하려고 하면 요청이 인증을 위해 Microsoft Entra ID로 전송됩니다. 인증이 성공하면 Microsoft Entra ID는 Kerberos 토큰을 반환합니다. 사용자가 Kerberos 토큰이 포함된 요청을 보내면 Azure 파일 공유에서 해당 토큰을 사용하여 요청에 권한을 부여합니다. AD DS 인증은 AD DS Kerberos 토큰을 제공하는 것과 같은 방식으로 작동합니다.
Azure 파일 공유 권한 구성
ID 기반 인증을 사용하도록 설정한 경우 RBAC(역할 기반 액세스 제어) 역할을 사용하여 Azure 파일 공유에 대한 액세스 권한(또는 권한)을 제어할 수 있습니다. Azure에는 다음 표에 나와 있는 Azure 파일 공유의 관련 역할이 포함되어 있습니다.
| 역할 | 설명 |
|---|---|
| 스토리지 파일 데이터 SMB 공유 Contributor | 이 역할의 사용자는 SMB를 통해 Azure Storage 파일 공유에서 읽기, 쓰기 및 삭제 권한을 가집니다. |
| 스토리지 파일 데이터 SMB 공유 관리자 권한 Contributor | 이 역할의 사용자는 SMB를 통해 Azure Storage 파일 공유에서 읽기, 쓰기, 삭제 및 NTFS 권한 수정의 권한을 가집니다. 이 역할은 Azure 파일 공유에 대한 모든 권한을 가집니다. |
| 스토리지 파일 데이터 SMB 공유 Reader | 이 역할의 사용자는 SMB를 통해 Azure 파일 공유에 대한 읽기 권한을 가집니다. |
| 스토리지 파일 데이터 권한이 있는 읽기 권한자 | 이 역할의 사용자는 설정된 파일/디렉터리 수준 NTFS 권한에 관계없이 구성된 모든 스토리지 계정에 대한 공유의 모든 데이터에 대한 전체 읽기 권한을 갖습니다. |
| 스토리지 파일 데이터 권한이 있는 기여자 | 이 역할의 사용자는 설정된 파일/디렉터리 수준 NTFS 권한에 관계없이 구성된 모든 스토리지 계정에 대한 공유의 모든 데이터에 대한 전체 읽기, 쓰기, ACL 수정 및 삭제 액세스 권한을 갖습니다. |
필요한 경우 사용자 지정 RBAC 역할을 만들어 사용할 수도 있습니다. 그러나 RBAC 역할은 공유에 대한 액세스 권한만 부여합니다. 파일에 액세스하려면 사용자에게 파일 수준 사용 권한도 있어야 합니다.
Azure 파일 공유는 폴더 및 파일 수준에서 표준 Windows 파일 사용 권한을 적용합니다. 온-프레미스 파일 공유와 동일한 방법으로 SMB를 통해 공유를 탑재하고 권한을 구성할 수 있습니다.
중요
파일 소유권을 가져오는 기능을 포함하여 Azure 파일 공유에 대한 모든 관리 권한을 사용하려면 스토리지 계정 키가 있어야 합니다.
데이터 암호화.
Azure 스토리지 계정에 저장된 모든 데이터(Azure 파일 공유의 데이터 포함)는 항상 SSE(스토리지 서비스 암호화)를 사용하여 미사용 시 암호화됩니다. 데이터는 Azure 데이터 센터에 기록될 때 암호화되며, 사용자가 액세스할 때 자동으로 암호가 해독됩니다. 기본적으로 데이터는 Microsoft 관리형 키를 사용하여 암호화되지만 사용자 고유의 암호화 키를 가져오도록 선택할 수도 있습니다.
기본적으로 모든 Azure 스토리지 계정에는 전송 중 암호화가 사용 설정되어 있습니다. 따라서 Azure 데이터 센터에서 디바이스로 전송할 때 모든 데이터가 암호화됩니다. 암호화 또는 HTTP 없이 SMB 2.1 및 SMB 3.0을 사용하는 암호화되지 않은 액세스는 기본적으로 허용되지 않으며, 클라이언트는 암호화 없이 Azure 파일 공유에 연결할 수 없습니다. 이는 Azure 스토리지 계정에 대해 구성할 수 있으며 모든 스토리지 계정 서비스에 적용됩니다.
Azure 파일 공유 생성
Azure Files는 Azure 스토리지 계정의 일부로 배포됩니다. 위치, 복제 및 연결 방법과 같이 Azure 스토리지 계정을 만들 때 지정하는 설정은 Azure Files에도 적용됩니다. 일부 Azure 스토리지 계정 설정(예: 성능 및 계정 유형)은 Azure Files에 사용할 수 있는 옵션을 제한할 수 있습니다. 예를 들어 SSD를 사용하는 프리미엄 파일 공유를 사용하려는 경우 Azure 스토리지 계정을 만들 때 프리미엄 성능 및 스토리지 계정의 FileStorage 유형을 선택해야 합니다.
Azure 스토리지 계정이 준비되면 Azure Portal, Azure PowerShell, Azure CLI(Azure 명령줄 인터페이스) 또는 REST API를 사용하여 Azure 파일 공유를 만들 수 있습니다. Azure 파일 동기화를 배포할 때 Windows Admin Center를 사용하여 Azure 스토리지 계정을 만들 수도 있습니다.
표준 SMB Azure 파일 공유를 만들려면 다음 절차를 사용하세요. 프리미엄 Azure 파일 공유를 만드는 경우 프로비전된 용량도 지정해야 합니다.
- Azure Portal에서 적절한 스토리지 계정을 선택합니다.
- 탐색 창의 파일 서비스에서 파일 공유를 선택합니다.
- 세부 정보 창의 도구 모음에서 + 파일 공유를 선택합니다.
- 새 파일 공유 블레이드에서 원하는 이름을 입력하고 계층을 선택합니다.
- 검토 + 생성를 선택한 다음, 생성를 선택합니다.