Azure Enclave는 Azure 기본 RBAC(역할 기반 액세스 제어)를 사용하여 세분화된 권한 위임을 지원합니다. 위임을 사용하면 환경의 보안 또는 운영 무결성을 손상시키지 않고 커뮤니티, enclave 및 워크로드 경계 간에 책임을 격리할 수 있습니다.
이 문서에서는 Azure Enclave가 RBAC를 구현하는 방법을 설명하고 Azure Enclave 계층 구조에서 액세스를 관리하는 데 도움이 되는 기본 제공 역할을 소개합니다.
Azure Enclave 리소스 계층 구조 개요
Azure Enclave는 리소스를 세 가지 논리 계층으로 구성합니다.
- 커뮤니티 – 격리된 환경에 대한 루트 거버넌스 경계입니다.
- Enclave - 커뮤니티 내에서 생성되는 안전한 가상 네트워크 격리 랜딩 존입니다.
- 워크로드 – Enclave 리소스 그룹에 배포된 애플리케이션 및 서비스입니다.
각 계층은 고유한 관리 작업을 노출하며, Azure Enclave는 액세스를 격리하기 위해 특별히 빌드된 역할을 제공합니다.
Azure Enclave의 RBAC
Azure Enclave의 RBAC는 거부 할당과 함께 표준 RBAC 역할 할당을 사용하여 적용되어 Community/Enclave 관리 리소스 및 워크로드를 세부적으로 제어할 수 있습니다.
주요 RBAC 개념:
- 커뮤니티 및 Enclave 액세스 제어 - 권한 없는 변경을 방지하기 위해 거부 할당이 커뮤니티 및 Enclave 관리 리소스 그룹에 적용됩니다. 커뮤니티/Enclave 관리자 설정 은 관리되는 리소스에 대한 역할 할당을 받는 사용자/그룹을 결정합니다. 유지 관리 모드 는 보안 및 격리에 영향을 미칠 수 있는 특정 권한 있는 작업을 수행할 수 있는 사용자를 결정합니다.
- 워크로드 액세스 제어 - 워크로드 리소스 그룹은 명시적으로 정의된 사용자/그룹만 워크로드 리소스에 대한 권한 있는 액세스 권한을 갖도록 거부 할당으로 선택적으로 보호됩니다.
- 유지 관리 모드 - 명시적으로 정의된 사용자/그룹이 Community 및 Enclave에서 관리하는 리소스 그룹에 대한 거부 할당의 예외를 부여받아 관리되는 리소스에서 권한 작업을 수행할 수 있도록 합니다.
Azure Enclave용 기본 제공 역할
다음 기본 제공 RBAC 역할은 Microsoft.Mission 리소스 유형에 대한 일반적인 운영 패턴에 맞추기 위해 Azure Enclave에서 제공됩니다. 이러한 역할을 사용하면 필요한 항목에만 액세스를 할당하여 최소 권한 원칙을 따를 수 있습니다.
커뮤니티 수준 역할
커뮤니티 수준에서 적용할 수 있는 역할입니다.
| 역할 이름 | 설명 |
|---|---|
| 커뮤니티 소유자 | enclave 만들기, 로깅 및 진단 관리 등 커뮤니티를 완전히 제어할 수 있습니다. |
| 커뮤니티 기여자 | 커뮤니티 내에서 Enclave 리소스를 만들고 관리할 수 있지만 역할을 할당할 수는 없습니다. |
| 커뮤니티 뷰어 | 커뮤니티 및 해당 커뮤니티 내 모든 Enclave에 대한 보기 전용 액세스 |
Enclave 역할
Enclave 수준에서 적용할 수 있는 역할입니다.
| 역할 이름 | 설명 |
|---|---|
| Enclave 소유자 | 네트워킹, 엔드포인트 구성 및 워크로드 생성을 포함하여 enclave를 완전히 제어합니다. |
| Enclave 기여자 | Enclave 설정을 수정하고 워크로드를 배포할 수 있지만 RBAC 역할을 할당할 수는 없습니다. |
| Enclave 판독기 | Enclave 메타데이터, 엔드포인트 및 관련 워크로드에 대한 보기 전용 액세스입니다. |
| Enclave 승인자 역할 | enclave 세부 정보를 보고 제어된 워크플로 내에서 배포 또는 업데이트 요청을 승인할 수 있습니다. |
워크로드 액세스
Azure Enclave는 새로운 워크로드별 역할을 도입하지 않습니다. 대신 워크로드 리소스 그룹 수준에서 표준 Azure RBAC 역할(예: 기여자, 읽기 권한자, 소유자)을 사용하여 배포된 애플리케이션 및 서비스에 대한 액세스를 제어합니다.
Azure Enclave 내에서 액세스 격리
Azure Enclave의 RBAC는 개별 팀 또는 가상 사용자를 다른 범위에 할당할 수 있도록 의도적으로 계층화됩니다.
- 플랫폼 팀은 거버넌스 경계를 설정하기 위해 커뮤니티 소유자 를 할당했습니다.
- 클라우드 네트워크 엔지니어는 Enclave 수준 리소스를 관리하기 위해 Enclave 소유자 액세스 권한을 받습니다.
- 앱 개발자 또는 워크로드 관리자에게 워크로드 리소스 그룹 수준에서만 기여자 또는 읽기 권한자 역할이 부여됩니다.
- 보안 및 감사 팀에 는 구성 변경의 위험 없이 인프라를 모니터링할 수 있는 Enclave 판독 기 또는 커뮤니티 리더 가 제공됩니다.
이 모델은 문제를 엄격하게 분리하고 잘못된 구성 또는 손상으로 인한 부정적인 결과를 최소화합니다.
역할 할당 모범 사례
Azure Enclave에서 안전하고 효과적인 액세스 제어를 구현하려면 다음을 수행합니다.
- 최소 권한 원칙 사용: 사용자가 작업을 수행할 수 있는 가장 제한적인 역할을 할당합니다.
- 가능한 가장 낮은 범위에서 역할을 할당합니다(적절한 경우 구독 대신 리소스 그룹).
- Azure Policy 및 감사 로그를 사용하여 정기적으로 역할 할당을 모니터링합니다.
- JIT(Just-In-Time) 액세스를 위해 Azure Enclave 역할을 Azure PIM(Privileged Identity Management)과 함께 사용하는 것을 고려하세요.