Azure Spring Apps에서 애플리케이션에 대해 시스템 할당 관리 ID 사용

이 문서의 적용 대상: ✔️ 기본/표준 ✔️ 엔터프라이즈

이 문서에서는 Azure Portal 및 CLI를 사용하여 Azure Spring Apps의 애플리케이션에 대해 시스템 할당 관리 ID를 사용하거나 사용하지 않도록 설정하는 방법을 보여 줍니다.

Azure 리소스에 대한 관리 ID는 Microsoft Entra ID에서 자동으로 관리되는 ID를 Azure Spring Apps의 애플리케이션과 같은 Azure 리소스에 제공합니다. 이 ID를 사용하면 코드에 자격 증명이 없어도 Microsoft Entra 인증을 지원하는 모든 서비스에 인증할 수 있습니다.

필수 조건

Azure 리소스에 대한 관리 ID에 익숙하지 않은 경우 Azure 리소스에 대한 관리 ID란?을 참조하세요.

시스템 할당 ID 추가

시스템이 할당한 ID를 사용하여 앱을 만들려면 애플리케이션에서 기타 속성을 설정해야 합니다.

az spring app create \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --system-assigned

az spring app identity assign \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --system-assigned

Azure 리소스 토큰 가져오기

앱은 관리 ID를 사용하여 토큰을 가져와 Azure Key Vault와 같은 Microsoft Entra ID로 보호되는 다른 리소스에 액세스할 수 있습니다. 이러한 토큰은 애플리케이션의 특정 사용자가 아닌 리소스에 액세스하는 애플리케이션을 나타냅니다.

애플리케이션에서 액세스할 수 있도록 대상 리소스를 구성해야 할 수 있습니다. 자세한 내용은 Azure 리소스 또는 다른 리소스에 대한 관리 ID 액세스 할당을 참조 하세요. 예를 들어 Key Vault에 액세스하는 토큰을 요청할 경우 애플리케이션의 ID를 포함하는 액세스 정책을 추가했는지 확인해야 합니다. 그렇지 않으면 토큰이 포함되어 있더라도 Key Vault에 대한 호출이 거부됩니다. Microsoft Entra 토큰을 지원하는 리소스에 대한 자세한 내용은 관리 ID를 사용하여 다른 서비스에 액세스할 수 있는 Azure 서비스를 참조하세요.

Azure Spring Apps는 Azure Virtual Machine과 토큰 획득을 위해 동일한 엔드포인트를 공유합니다. Java SDK 또는 스프링 부팅 시작을 사용하여 토큰을 획득하는 것이 좋습니다. 토큰 만료 및 HTTP 오류 처리와 같은 중요한 항목에 대한 다양한 코드 및 스크립트 예제와 지침은 Azure VM에서 Azure 리소스에 대한 관리 ID를 사용하여 액세스 토큰을 획득하는 방법을 참조하세요.

앱에서 시스템이 할당한 ID를 사용하지 않도록 설정

시스템이 할당한 ID를 제거하면 Microsoft Entra ID에서도 삭제됩니다. 앱 리소스를 삭제하면 Microsoft Entra ID에서도 시스템이 할당한 ID가 자동으로 제거됩니다.

az spring app identity remove \
    --resource-group <resource-group-name> \
    --name <app-name> \
    --service <service-instance-name> \
    --system-assigned

개체 ID(주 ID)에서 클라이언트 ID 가져오기

다음 명령을 사용하여 개체/주체 ID 값에서 클라이언트 ID를 가져옵니다.

az ad sp show --id <object-ID> --query appId

다음 단계

• Azure 리소스에 대한 관리 ID란?
• Java SDK에서 관리 ID를 사용하는 방법