Azure Automation 계정 인증 개요

Azure Automation을 사용하여 Azure, 온-프레미스 및 AWS(Amazon 웹 서비스)와 같은 기타 클라우드 공급자의 리소스에 대해 작업을 자동화할 수 있습니다. Runbook을 사용하여 작업을 자동화하거나 Azure 외부에서 관리하는 비즈니스 또는 운영 프로세스가 있는 경우에는 Hybrid Runbook Worker를 사용할 수 있습니다. 해당 환경 중 하나에서 작업하려면 필요한 최소 권한으로 리소스에 안전하게 액세스할 수 있는 권한이 필요합니다.

이 문서에서는 Azure Automation에서 지원하는 인증 시나리오를 살펴보고 관리해야 하는 환경에 따라 시작하는 방법을 설명합니다.

Automation 계정

Azure Automation을 처음 시작하려면 Automation 계정을 하나 이상 만들어야 합니다. Automation 계정을 사용하면 다른 Automation 계정의 리소스에서 사용자의 Automation 리소스, Runbook, 자산, 구성을 격리할 수 있습니다. Automation 계정을 사용하여 리소스를 별도의 논리적 환경 또는 위임된 책임으로 구분할 수 있습니다. 예를 들어 개발, 프로덕션, 온-프레미스 환경에 서로 다른 계정을 사용할 수 있습니다. 또는 업데이트 관리로 모든 컴퓨터의 운영 체제 업데이트를 관리하는 Automation 계정을 전용으로 사용할 수 있습니다.

Azure Automation 계정은 Microsoft 계정 또는 Azure 구독에서 만든 계정과 다릅니다. Automation 계정 만들기에 대한 소개는 Automation 계정 만들기를 참조하세요.

자동화 리소스

각 Automation 계정의 Automation 리소스는 단일 Azure 지역과 연결되지만 계정은 Azure 구독 내 모든 리소스를 관리할 수 있습니다. 여러 지역에서 Automation 계정을 만드는 주된 이유는 데이터 및 리소스를 특정 지역으로 격리해야 하는 정책이 있을 수 있기 때문입니다.

Azure Automation에서 Azure Resource Manager 및 PowerShell cmdlet을 사용하여 리소스에 대해 만드는 모든 작업은 Microsoft Entra 조직 ID 자격 증명 기반 인증을 사용하여 Azure에 인증해야 합니다.

관리 ID

Microsoft Entra ID의 관리 ID를 사용하면 Runbook이 Microsoft Entra로 보호되는 다른 리소스에 쉽게 액세스할 수 있습니다. ID는 Azure 플랫폼에서 관리되며, 비밀을 프로비저닝하거나 회전하지 않아도 됩니다. Microsoft Entra ID의 관리 ID에 대한 자세한 내용은 Azure 리소스의 관리 ID를 참조하세요.

관리 ID는 Runbook에서 인증하는 데 권장되는 방법이며 Automation 계정의 기본 인증 방법입니다.

관리 ID를 사용하는 경우의 몇 가지 이점은 다음과 같습니다.

• Automation 실행 계정 대신 관리 ID를 사용하면 관리가 단순화됩니다.

• 관리 ID는 추가 비용 없이 사용할 수 있습니다.

• Runbook 코드에서 실행 연결 개체를 지정할 필요가 없습니다. 인증서, 연결 등을 만들지 않고 Runbook에서 Automation 계정의 관리 ID를 사용하여 리소스에 액세스할 수 있습니다.

Automation 계정은 두 가지 형식의 관리 ID를 사용하여 인증할 수 있습니다.

• 시스템 할당 ID는 애플리케이션에 연결되어 있어 해당 앱을 삭제하면 이 ID도 삭제됩니다. 앱에는 하나의 시스템 할당 ID만 있을 수 있습니다.

• 사용자 할당 ID는 앱에 할당할 수 있는 독립 실행형 Azure 리소스입니다. 앱에는 여러 사용자 할당 ID가 있을 수 있습니다.

관리 ID 사용에 대한 자세한 내용은 Azure Automation에 관리 ID 사용을 참조하세요.

구독 권한

Microsoft.Authorization/*/Write 권한이 필요합니다. 이 권한은 다음 Azure 기본 제공 역할 중 하나의 멤버 자격을 통해 얻습니다.

• 소유자
• 사용자 액세스 관리자

클래식 구독 권한을 자세히 알아보려면 Azure 클래식 구독 관리자를 참조하세요.

Microsoft Entra 권한

서비스 주체를 갱신하려면 다음 Microsoft Entra 기본 제공 역할 중 하나의 구성원이어야 합니다.

• 애플리케이션 관리자
• 애플리케이션 개발자

디렉터리 수준에서 테넌트의 모든 사용자에게 멤버 자격을 할당할 수 있으며, 이것이 기본 동작입니다. 디렉터리 수준에서 두 역할 중 하나에 멤버 자격을 부여할 수 있습니다. 자세한 내용은 Microsoft Entra 인스턴스에 애플리케이션을 추가할 수 있는 권한이 있는 사람은 누구인가요?를 참조하세요.

Automation 계정 권한

Automation 계정을 업데이트하려면 다음 Automation 계정 역할 중 하나의 구성원이어야 합니다.

• 소유자
• 기여자

Azure Resource Manager 및 클래식 배포 모델에 대한 자세한 내용은 Resource Manager 및 클래식 배포를 참조하세요.

역할 기반 액세스 제어

Azure Resource Manager에서 역할 기반 액세스 제어를 사용하여 Microsoft Entra 사용자 계정 및 실행 계정에 허용된 작업을 수락하고 서비스 주체를 인증할 수 있습니다. Automation 사용 권한 관리 모델을 개발하는 방법에 대한 자세한 내용은 Azure Automation에서 역할 기반 액세스 제어 문서를 참조하세요.

리소스 그룹의 권한 할당에 대한 엄격한 보안 컨트롤이 있는 경우 실행 계정 멤버 자격을 리소스 그룹의 참가자 역할에 할당해야 합니다.

Hybrid Runbook Worker를 사용하여 Runbook 인증

데이터 센터의 Hybrid Runbook Worker에서 실행되거나 AWS와 같은 기타 클라우드 환경의 컴퓨팅 서비스에서 실행되는 Runbook은 일반적으로 Azure 리소스를 인증하는 Runbook에 사용되는 것과 동일한 방법을 사용할 수 없습니다. 이러한 리소스는 Azure 외부에서 실행되므로 로컬로 액세스하는 리소스에 인증하려면 Automation에서 정의한 자체 보안 자격 증명이 필요하기 때문입니다. Runbook Workers를 사용하는 Runbook 인증에 대한 자세한 내용은 Hybrid Runbook Worker에서 Runbook 실행을 참조하세요.

Azure VM에서 Hybrid Runbook Worker를 사용하는 Runbook의 경우 실행 계정 대신 관리형 ID로 Runbook 인증을 사용하여 Azure 리소스를 인증할 수 있습니다.

다음 단계

• Azure Portal에서 Automation 계정을 만들려면 독립 실행형 Azure Automation 계정 만들기를 참조하세요.
• 템플릿을 사용하여 계정을 만들려면 Azure Resource Manager 템플릿을 사용하여 Automation 계정 만들기를 참조하세요.
• Amazon Web Services를 사용하는 인증의 경우 Amazon Web Services를 사용하여 Runbook 인증을 참조하세요.
• Azure 리소스에 대한 관리 ID 기능을 지원하는 Azure 서비스 목록은 Azure 리소스에 대한 관리 ID를 지원하는 서비스를 참조하세요.