이 자습서에서는 Recovery Services 자격 증명 모음 및 Backup 자격 증명 모음에서 Resource Guard를 만들고 MUA(다중 사용자 권한 부여)를 사용하도록 설정하는 방법을 설명합니다. 금고의 중요한 작업에 추가 보호 계층이 추가됩니다.
비고
- 이제 Recovery Services 자격 증명 모음과 Backup 자격 증명 모음 모두에서 다중 사용자 권한 부여를 일반적으로 사용할 수 있습니다.
- Azure Backup에 대한 다중 사용자 권한 부여는 모든 공용 Azure 지역에서 사용할 수 있습니다.
MUA 개념에 대해 자세히 알아봅니다.
필수 조건
시작하기 전에:
자격 증명 모음 선택
- Resource Guard 및 Recovery Services 자격 증명 모음이 동일한 Azure 지역에 있는지 확인합니다.
- Resource Guard에서 Backup 관리자에게 기여자 권한이 없도록 확인하십시오. 최대 격리를 보장하기 위해 동일한 디렉터리의 다른 구독 또는 다른 디렉터리에 Resource Guard를 둘 수 있습니다.
- Recovery Services 자격 증명 모음과 Resource Guard(다른 구독 또는 테넌트에 있음)가 포함된 구독이 Microsoft.RecoveryServices 공급자를 사용하도록 등록되어 있는지 확인합니다. 자세한 내용은 Azure 리소스 공급자 및 유형을 참조하세요.
다양한 MUA 사용 시나리오에 대해 알아봅니다.
Resource Guard 만들기
보안 관리자는 Resource Guard를 만듭니다. 자격 증명 모음으로 다른 구독 또는 다른 테넌트에서 만드는 것이 좋습니다. 그러나 자격 증명 모음과 동일한 지역에 있어야 합니다.
비고
Backup 관리자는 Resource Guard 또는 해당 리소스가 포함된 구독에 대한 기여자 액세스 권한이 없어야 합니다.
자격 증명 모음 선택
자격 증명 모음 테넌트와 다른 테넌트에서 보안 관리자로서 Resource Guard를 만들려면 다음 단계를 수행합니다.
Azure Portal에서 Resource Guard를 만들려는 디렉터리로 이동합니다.
검색 창에서 Resource Guards 를 검색하고 드롭다운에서 해당 항목을 선택합니다.
- 만들기를 선택하여 Resource Guard 만들기를 시작합니다.
-
만들기 블레이드에서 이 Resource Guard에 필요한 세부 정보를 입력합니다.
- Resource Guard가 Recovery Services 자격 증명 모음과 동일한 Azure 지역에 있는지 확인합니다.
- 또한 필요한 경우 연결된 금고에서 작업을 수행하기 위해 액세스를 얻거나 요청하는 방법에 대한 설명을 추가하는 것이 유용합니다. 이 설명은 백업 관리자가 필요한 권한을 얻는 데 도움이 되도록 연결된 자격 증명 모음에도 표시됩니다. 필요한 경우 나중에 설명을 편집할 수 있지만 항상 잘 정의된 설명을 갖는 것이 좋습니다.
보호된 작업 탭에서 이 Resource Guard를 사용하여 보호해야 하는 작업을 선택합니다.
리소스 가드를 만든 후 보호할 작업을 선택할 수도 있습니다.
선택적으로 요구 사항에 따라 Resource Guard에 태그를 추가합니다.
검토 + 만들기를 선택한 다음 Resource Guard의 상태 및 성공적인 만들기에 대한 알림을 따릅니다.
Resource Guard를 사용하여 보호할 작업 선택
자격 증명 모음을 만든 후, 보안 관리자는 지원되는 모든 중요한 작업 중에서 Resource Guard를 사용하여 보호할 작업을 선택할 수도 있습니다. 기본적으로 지원되는 모든 중요 작업이 사용하도록 설정됩니다. 그러나 보안 관리자는 Resource Guard를 사용하여 MUA의 범위에 속하는 특정 작업을 면제할 수 있습니다.
자격 증명 모음 선택
보호할 작업을 선택하려면 다음 단계를 수행합니다.
위에서 만든 Resource Guard에서 속성>Recovery Services 자격 증명 모음 탭으로 이동합니다.
Resource Guard를 사용하여 권한이 부여되지 않도록 제외하려는 작업에 대해 사용 안 함을 선택합니다.
비고
소프트 삭제 비활성화 및 MUA 보호 제거 작업은 비활성화할 수 없습니다.
선택적으로 이 블레이드를 사용하여 Resource Guard에 대한 설명을 업데이트할 수도 있습니다.
저장을 선택합니다.
Resource Guard에서 백업 관리자에게 권한을 할당하여 MUA를 사용하도록 설정합니다.
백업 관리자는 자격 증명 모음에서 MUA를 사용하도록 설정하려면 Resource Guard 또는 Resource Guard를 포함하고 있는 구독에 대한 읽기 권한자 역할이 필요합니다. 보안 관리자가 백업 관리자에게 이 역할을 할당해야 합니다.
자격 증명 모음 선택
Resource Guard에 대한 읽기 권한자 역할을 할당하려면 다음 단계를 수행합니다.
- 위에서 만든 Resource Guard에서 IAM(액세스 제어) 블레이드로 이동한 다음 역할 할당 추가로 이동합니다.
- 기본 제공 역할 목록에서 읽기 프로그램을 선택하고 다음을 선택합니다.
- 멤버 선택을 클릭하고 백업 관리자 이메일 ID를 추가하여 읽기 권한자로 추가합니다. 이 경우 Backup 관리자는 다른 테넌트에 있으므로 Resource Guard를 포함하는 테넌트에 게스트로 추가됩니다.
- 선택을 클릭한 다음 검토 + 할당을 진행하여 역할 할당을 완료합니다.
보관소에서 MUA 활성화
이제 백업 관리자에게 Resource Guard에 대한 읽기 권한자 역할이 있으므로 백업 관리자는 다음 단계에 따라 자신이 관리하는 자격 증명 모음에서 다중 사용자 권한 부여를 사용하도록 설정할 수 있습니다.
자격 증명 모음 선택
Recovery Services 자격 증명 모음으로 이동합니다.
속성>다중 사용자 권한 부여로 이동한 다음 업데이트를 선택합니다.
이제 MUA를 사용하도록 설정하고 다음 방법 중 하나를 사용하여 Resource Guard를 선택하는 옵션이 제공됩니다.
Resource Guard의 URI를 지정하거나 읽기 권한자 액세스 권한이 있고 자격 증명 모음과 동일한 지역인 Resource Guard의 URI를 지정해야 합니다. 개요 화면에서 Resource Guard의 URI(Resource Guard ID)를 찾을 수 있습니다.
또는 리더 액세스 권한이 있는 리소스 가드 목록과 해당 지역에서 사용할 수 있는 리소스 가드 목록에서 리소스 가드를 선택할 수 있습니다.
- Resource Guard 선택을 클릭합니다.
- 드롭다운 목록을 선택하고 리소스 가드가 있는 디렉터리를 선택합니다.
- 인증을 선택하여 ID와 액세스 권한의 유효성을 검사합니다.
- 인증 후 표시된 목록에서 Resource Guard를 선택합니다.
저장을 선택하여 MUA를 사용하도록 설정합니다.