Key Vault 관리: RBAC and Access Policy

키 자격 증명 모음(Key Vault)의 리소스 관리와 데이터 접근은 서로 다른 권한 체계로 관리됩니다.

 

컨트롤 플레인 영역에서는 구독의 소유자나 기여자 권한만으로도 키 자격 증명 모음의 생성, 삭제, 구성 변경과 같은 리소스 관리가 가능합니다.

 

하지만 데이터 플레인 영역에 해당하는 키, 비밀, 인증서의 생성, 수정, 삭제와 같은 작업을 수행하기 위해서는 "Azure 역할 기반 액세스 제어(RBAC)" 또는 "액세스 정책"을 통한 별도의 권한 설정이 필요합니다. 이는 중요한 보안 데이터에 대한 접근을 더욱 세밀하게 통제하기 위함입니다.

Azure 리소스 관리: 컨트롤 플레인 VS 데이터 플레인

Azure 리소스 관리: 컨트롤 플레인 VS 데이터 플레인

Azure는 기본적으로 역할 기반 액세스 제어(RBAC)를 통한 관리 방식을 권장합니다. 하지만 조직의 특성과 요구사항에 따라 액세스 정책을 적절히 구성하여 보안성 높은 키 관리 체계를 구축할 수 있습니다.

 

키 자격 증명 모음의 액세스 정책은 해당 리소스의 '설정' 메뉴에서 '액세스 구성' 항목을 통해 설정할 수 있습니다.

 

 

1. Azure 역할 기반 액세스 제어(RABC)

키 자격 증명 모음의 키, 비밀, 인증서를 관리하기 위해서는 데이터 플레인 영역의 역할 기반 액세스 제어(RBAC) 권한이 필요합니다. Azure에서는 미리 정의된 데이터 플레인 역할을 제공하고 있으며, 조직의 보안 요구사항과 사용 환경에 적합한 역할을 선택하여 할당함으로써 안전하고 효율적인 데이터 관리가 가능합니다. 이러한 세분화된 역할 기반 접근 방식은 최소 권한 원칙을 실현하고 보안을 강화하는 데 도움이 됩니다.

Azure 역할 기반 액세스 제어를 사용하여 Key Vault 키, 인증서 및 비밀에 대한 액세스 제공

Azure RBAC를 사용하여 애플리케이션에 Azure 키 자격 증명 모음에 대한 액세스 권한 부여

 

 

2. 액세스 정책

액세스 정책을 통한 키 자격 증명 모음 관리를 위해서는 먼저 액세스 구성을 "자격 증명 모음 액세스 정책"으로 설정해야 합니다. 이후 키 자격 증명 모음 리소스의 좌측 메뉴에서 "액세스 정책"을 선택하여 특정 객체(사용자, 그룹, 서비스 주체 등)에 대한 세부 권한을 설정할 수 있습니다.

 

액세스 정책 생성 시, 키, 비밀, 인증서에 대한 세부 권한을 선택하여 다양한 객체(사용자, 그룹, 서비스 주체 등)에게 할당할 수 있습니다. 또한 Azure에서 제공하는 사전 정의된 템플릿을 활용하면 더욱 간편하게 데이터 관리 정책을 설정할 수 있습니다.

 

Azure에서는 "역할 기반 액세스 제어(RBAC)"와 "액세스 정책" 두 가지 방식으로 키 자격 증명 모음을 관리할 수 있습니다. 두 방식 모두 안전한 데이터 관리가 가능하지만, Azure는 RBAC 사용을 더 권장하고 있으며, 실제로도 RBAC가 더 수월하고 상위의 기능을 갖추고 있습니다.

 

두 방식 모두 키, 비밀, 인증서에 대한 세부적인 권한을 각 역할에 맞게 부여할 수 있다는 공통점이 있습니다. 하지만 "액세스 정책"은 단일 키 자격 증명 모음에만 적용되기 때문에, 여러 키 자격 증명 모음을 관리해야 하는 상황에서는 각각의 리소스마다 설정을 해야 하는 번거로움이 있습니다.

 

반면 "역할 기반 액세스 제어(RBAC)"를 사용하면 단일 리소스뿐만 아니라 리소스 그룹, 구독 단위로도 역할을 부여할 수 있어 여러 리소스를 관리하는 측면에서 더 효율적입니다. 이러한 확장성과 유연성이 RBAC가 더 선호되는 이유입니다.

 

자격 증명 모음 액세스 정책에서 Azure 역할 기반 액세스 제어 권한 모델로 마이그레이션

Azure 역할 기반 액세스 제어로 마이그레이션