네트워크 경계 외부의 Azure 서비스에서 트래픽을 사용하도록 설정해야 하는 경우 네트워크 보안 예외를 추가할 수 있습니다. 이 기능은 가상 네트워크 또는 IP 네트워크 규칙에 포함할 수 없는 네트워크에서 Azure 서비스가 작동하는 경우에 유용합니다. 예를 들어 일부 서비스는 계정에서 리소스 로그 및 메트릭을 읽어야 할 수 있습니다. 네트워크 규칙 예외를 만들어 로그 파일, 메트릭 테이블 또는 둘 다에 대한 읽기 액세스를 허용할 수 있습니다. 이러한 서비스는 강력한 인증을 사용하여 스토리지 계정에 연결됩니다.
네트워크 보안 예외를 추가하는 방법을 알아보려면 네트워크 보안 예외 관리를 참조하세요.
Microsoft Entra 테넌트에 등록된 리소스에 대한 신뢰할 수 있는 액세스
일부 서비스의 리소스는 로그 작성 또는 백업 실행과 같은 선택한 작업을 위해 스토리지 계정에 액세스할 수 있습니다. 이러한 서비스는 스토리지 계정과 동일한 Microsoft Entra 테넌트에 있는 구독에 등록되어야 합니다. 다음 표에서는 각 서비스 및 허용되는 작업에 대해 설명합니다.
| 서비스 | 리소스 공급자 이름 | 허용되는 작업 |
|---|---|---|
| Azure 백업 | Microsoft.RecoveryServices |
IaaS(Infrastructure as a Service) 가상 머신(관리 디스크에 필요하지 않음)에서 비관리 디스크의 백업 및 복원을 실행합니다. 자세히알아보세요. |
| Azure Data Box | Microsoft.DataBox |
Azure로 데이터를 가져옵니다. 자세히알아보세요. |
| Azure Data Explorer(아주르 데이터 탐색기) | Microsoft.Kusto |
수집 및 외부 테이블에 대한 데이터를 읽고, 외부 테이블에 데이터를 씁니다. 자세히알아보세요. |
| Azure DevTest Labs | Microsoft.DevTestLab |
사용자 지정 이미지를 만들고 아티팩트를 설치합니다. 자세히알아보세요. |
| Azure Event Grid | Microsoft.EventGrid |
Azure Blob Storage 이벤트 게시를 사용하도록 설정하고 스토리지 큐에 게시를 허용합니다. |
| Azure Event Hubs | Microsoft.EventHub |
Event Hubs 캡처를 사용하여 데이터를 보관합니다. 자세한 내용을 알아보십시오. |
| Azure 파일 동기화 | Microsoft.StorageSync |
온-프레미스 파일 서버를 Azure 파일 공유용 캐시로 변환합니다. 이 기능을 통해 다중 사이트 동기화, 빠른 재해 복구 및 클라우드 쪽 백업을 수행할 수 있습니다. 자세히알아보세요. |
| Azure HDInsight | Microsoft.HDInsight |
새 HDInsight 클러스터에 대한 기본 파일 시스템의 초기 콘텐츠를 프로비전합니다. 자세히알아보세요. |
| Azure Import/Export (데이터 가져오기/내보내기 서비스) | Microsoft.ImportExport |
Azure Storage로 데이터를 가져오거나 Azure Storage에서 데이터를 내보냅니다. 자세히알아보세요. |
| Azure Monitor (Azure 모니터) | Microsoft.Insights |
리소스 로그, 엔드포인트용 Microsoft Defender 데이터, Microsoft Entra 로그인 및 감사 로그, Microsoft Intune 로그를 포함하여 모니터링 데이터를 보안 스토리지 계정에 씁니다. 자세히알아보세요. |
| Azure 네트워킹 서비스 | Microsoft.Network |
Azure Network Watcher 및 Azure Traffic Manager 서비스를 통해 네트워크 트래픽 로그를 저장하고 분석합니다. 자세히알아보세요. |
| Azure 사이트 복구 | Microsoft.SiteRecovery |
방화벽 지원 캐시, 원본 또는 대상 스토리지 계정을 사용하는 경우 Azure IaaS 가상 머신의 재해 복구를 위해 복제를 사용하도록 설정합니다. 자세히알아보세요. |
관리 ID 기반의 신뢰할 수 있는 액세스
다음 표에서는 해당 서비스의 리소스 인스턴스에 적절한 권한이 있는 경우 스토리지 계정 데이터에 액세스할 수 있는 서비스를 나열합니다.
| 서비스 | 리소스 공급자 이름 | 목적 |
|---|---|---|
| Azure FarmBeats (농업 데이터 플랫폼) | Microsoft.AgFoodPlatform/farmBeats |
스토리지 계정에 액세스할 수 있습니다. |
| Azure API Management | Microsoft.ApiManagement/service |
정책을 통해 방화벽 뒤의 스토리지 계정에 액세스할 수 있습니다. 자세히알아보세요. |
| Microsoft 자율 시스템 | Microsoft.AutonomousSystems/workspaces |
스토리지 계정에 액세스할 수 있습니다. |
| Azure Cache for Redis (아주어 캐시 포 레디스) | Microsoft.Cache/Redis |
스토리지 계정에 액세스할 수 있습니다. 자세히알아보세요. |
| Azure AI 검색 | Microsoft.Search/searchServices |
인덱싱, 처리 및 쿼리를 위해 스토리지 계정에 액세스할 수 있습니다. |
| Azure AI 서비스 | Microsoft.CognitiveService/accounts |
스토리지 계정에 액세스할 수 있습니다. 자세히알아보세요. |
| Microsoft Cost Management | Microsoft.CostManagementExports |
방화벽 뒤에 있는 스토리지 계정으로 내보낼 수 있도록 합니다. 자세히알아보세요. |
| Azure Databricks | Microsoft.Databricks/accessConnectors |
스토리지 계정에 액세스할 수 있습니다. 서버리스 SQL 웨어하우스에는 추가 구성이 필요합니다. 자세히알아보세요. |
| Azure Data Factory | Microsoft.DataFactory/factories |
Data Factory 런타임을 통해 스토리지 계정에 액세스할 수 있습니다. |
| Azure Data Explorer(아주르 데이터 탐색기) | Microsoft.Kusto/Clusters |
수집 및 외부 테이블에 대한 데이터를 읽고, 외부 테이블에 데이터를 씁니다. 자세히알아보세요. |
| Azure Backup 자격 증명 모음 | Microsoft.DataProtection/BackupVaults |
스토리지 계정에 액세스할 수 있습니다. |
| Azure 데이터 공유 | Microsoft.DataShare/accounts |
스토리지 계정에 액세스할 수 있습니다. |
| PostgreSQL용 Azure 데이터베이스 | Microsoft.DBForPostgreSQL |
스토리지 계정에 액세스할 수 있습니다. |
| Azure 장치 레지스트리 | Microsoft.DeviceRegistry/schemaRegistries |
스토리지 계정에 액세스할 수 있습니다. |
| Azure IoT Hub | Microsoft.Devices/IotHubs |
IoT Hub의 데이터를 Blob Storage에 쓸 수 있습니다. 자세히알아보세요. |
| Azure DevTest Labs | Microsoft.DevTestLab/labs |
스토리지 계정에 액세스할 수 있습니다. |
| Azure Event Grid | Microsoft.EventGrid/domains |
스토리지 계정에 액세스할 수 있습니다. |
| Azure Event Grid | Microsoft.EventGrid/partnerTopics |
스토리지 계정에 액세스할 수 있습니다. |
| Azure Event Grid | Microsoft.EventGrid/systemTopics |
스토리지 계정에 액세스할 수 있습니다. |
| Azure Event Grid | Microsoft.EventGrid/topics |
스토리지 계정에 액세스할 수 있습니다. |
| 마이크로소프트 패브릭 | Microsoft.Fabric |
스토리지 계정에 액세스할 수 있습니다. |
| Azure Healthcare API | Microsoft.HealthcareApis/services |
스토리지 계정에 액세스할 수 있습니다. |
| Azure Healthcare API | Microsoft.HealthcareApis/workspaces |
스토리지 계정에 액세스할 수 있습니다. |
| Azure IoT Central | Microsoft.IoTCentral/IoTApps |
스토리지 계정에 액세스할 수 있습니다. |
| Azure Key Vault 관리되는 HSM | Microsoft.keyvault/managedHSMs |
스토리지 계정에 액세스할 수 있습니다. |
| Azure 논리 앱 | Microsoft.Logic/integrationAccounts |
논리 앱을 사용하여 스토리지 계정에 액세스할 수 있습니다. 자세히알아보세요. |
| Azure 논리 앱 | Microsoft.Logic/workflows |
논리 앱을 사용하여 스토리지 계정에 액세스할 수 있습니다. 자세히알아보세요. |
| Azure Machine Learning 스튜디오 | Microsoft.MachineLearning/registries |
권한 있는 Azure Machine Learning 작업 영역에서 실험 출력, 모델 및 로그를 Blob Storage에 쓰고 데이터를 읽을 수 있도록 합니다. 자세히알아보세요. |
| Azure Machine Learning (애저 머신 러닝) | Microsoft.MachineLearningServices |
권한 있는 Azure Machine Learning 작업 영역에서 실험 출력, 모델 및 로그를 Blob Storage에 쓰고 데이터를 읽을 수 있도록 합니다. 자세히알아보세요. |
| Azure Machine Learning (애저 머신 러닝) | Microsoft.MachineLearningServices/workspaces |
권한 있는 Azure Machine Learning 작업 영역에서 실험 출력, 모델 및 로그를 Blob Storage에 쓰고 데이터를 읽을 수 있도록 합니다. 자세히알아보세요. |
| Azure Media Services | Microsoft.Media/mediaservices |
스토리지 계정에 액세스할 수 있습니다. |
| Azure Migrate (Azure 마이그레이션) | Microsoft.Migrate/migrateprojects |
스토리지 계정에 액세스할 수 있습니다. |
| Azure ExpressRoute | Microsoft.Network/expressRoutePorts |
스토리지 계정에 액세스할 수 있습니다. |
| Microsoft Power Platform | Microsoft.PowerPlatform/enterprisePolicies |
스토리지 계정에 액세스할 수 있습니다. |
| Microsoft Project Arcadia | Microsoft.ProjectArcadia/workspaces |
스토리지 계정에 액세스할 수 있습니다. |
| Azure Data Catalog | Microsoft.ProjectBabylon/accounts |
스토리지 계정에 액세스할 수 있습니다. |
| Microsoft Purview | Microsoft.Purview/accounts |
스토리지 계정에 액세스할 수 있습니다. |
| Azure 사이트 복구 | Microsoft.RecoveryServices/vaults |
스토리지 계정에 액세스할 수 있습니다. |
| 보안 센터 | Microsoft.Security/dataScanners |
스토리지 계정에 액세스할 수 있습니다. |
| 특이점 | Microsoft.Singularity/accounts |
스토리지 계정에 액세스할 수 있습니다. |
| Azure 스토리지 작업 | Microsoft.Storageactions/Storagetasks |
스토리지 계정에 액세스할 수 있습니다. |
| Azure SQL 데이터베이스 | Microsoft.Sql |
방화벽 뒤에 있는 스토리지 계정에 감사 데이터를 쓸 수 있습니다. |
| Azure SQL 서버들 | Microsoft.Sql/servers |
방화벽 뒤에 있는 스토리지 계정에 감사 데이터를 쓸 수 있습니다. |
| Azure Synapse Analytics | Microsoft.Sql |
(전용 풀에서) COPY 문 또는 PolyBase를 통해 또는 서버리스 풀에서 openrowset 함수와 외부 테이블을 통해 특정 SQL 데이터베이스에서 데이터를 가져오고 내보낼 수 있습니다.
자세히알아보세요. |
| Azure Stream Analytics | Microsoft.StreamAnalytics |
스트리밍 작업의 데이터를 Blob Storage에 쓸 수 있습니다. 자세히알아보세요. |
| Azure Stream Analytics | Microsoft.StreamAnalytics/streamingjobs |
스트리밍 작업의 데이터를 Blob Storage에 쓸 수 있습니다. 자세히알아보세요. |
| Azure Synapse Analytics | Microsoft.Synapse/workspaces |
Azure Storage의 데이터에 액세스할 수 있습니다. |
| Azure Video Indexer | Microsoft.VideoIndexer/Accounts |
스토리지 계정에 액세스할 수 있습니다. |
계정에 계층 구조 네임스페이스 기능을 사용하도록 설정하지 않은 경우 각 리소스 인스턴스에 대한 관리 ID 에 Azure 역할을 명시적으로 할당하여 권한을 부여할 수 있습니다. 이 경우 인스턴스에 대한 액세스 범위는 관리 ID에 할당된 Azure 역할에 해당합니다.
계층 구조 네임스페이스 기능을 사용하도록 설정된 계정에 대해 동일한 기술을 사용할 수 있습니다. 그러나 스토리지 계정에 포함된 디렉터리 또는 Blob의 ACL(액세스 제어 목록)에 관리 ID를 추가하는 경우에는 Azure 역할을 할당할 필요가 없습니다. 이 경우 인스턴스의 액세스 범위는 관리 ID가 액세스할 수 있는 디렉터리나 파일에 해당합니다.
Azure 역할과 ACL을 결합하여 액세스 권한을 부여할 수도 있습니다. 자세한 정보는 Azure Data Lake Storage의 액세스 제어 모델을 참조하세요.
리소스 인스턴스 규칙을 사용하여 특정 리소스에 액세스 권한을 부여하는 것이 좋습니다.