Azure IAM (1) Microsoft Entra ID

Azure를 사용하려면 가장 먼저 신경 써야 할 것이 IAM(Identity and Access Management)이다. IAM은 Azure의 보안과 접근 관리를 담당하는 핵심 요소로, 그 중에서도 Azure Entra ID에 대해 간단히 알아보자.

Entra ID가 뭘까?

Entra ID는 사용자의 인증 및 액세스 관리 서비스다. 쉽게 말해, Azure 환경에서 사용자의 신원을 확인하고 애플리케이션 및 서비스에 대한 인증을 담당하는 역할을 한다.

원래 Azure Active Directory라고 불렀었는데 MS AD와 용어가 혼동될 수 있어 그런지 Microsoft Entra ID로 이름이 바뀌었다. 뭔가 입에 잘 안붙는 것 같기도 하면서 의미를 잘 살린 것 같기도 하면서 그렇다.

회사 건물에 들어가려면 사원증이 필요하다. 직원은 사원증을 스캔해야 사무실에 들어갈 수 있고, 방문자는 리셉션에서 허가를 받아야 한다. IT 관리자는 서버실처럼 다른 직원에게 제한된 공간에도 접근할 수 있다.

Entra ID는 이 사원증과 비슷하다. Azure 환경에서 사용자의 신원을 확인하고, 애플리케이션 및 서비스에 접근할 수 있도록 인증하는 역할을 한다. 하지만 Azure 리소스에 대한 권한은 Azure RBAC에서 관리한다.

예를 들어, 개발자가 Azure 포털에 로그인하려면 Entra ID가 인증을 담당하지만, 특정 가상 머신을 만들거나 삭제할 수 있는 권한은 Azure RBAC를 통해 제어된다.

Entra ID를 AWS와 비교하면?

이 그림은 계층 구조에서 대칭되는 개념이 이렇구나 하고 이해해도 좋지만, 계정의 위치를 보면 좋다.

AWS는 조직 루트 밑에 조직 유닛이 있고, 그 밑에 사용자들을 둔다.  그래서 리소스 위에 계정이 있다. 반면 Azure는 Tenant - Management group - Subscription - Resource group으로 이루어지는 계층화 구조 밑에 리소스가 있다. 그림 상에서는 AWS에서의 계정이라 할만한 개념이 없다. 그 개념을 Entra ID라는 MS의 서비스가 통합적으로 관리한다고 보면 된다. 

비교	Entra ID	AWS IAM
주요 기능	사용자 인증, 디렉터리 관리, Single Sign-On(SSO), MFA 지원	IAM 사용자 및 역할을 통한 리소스 접근 제어
관리 범위	Microsoft 365, Azure Portal 등 많은 MS SaaS 앱들	AWS 리소스

차이를 살펴보면, AWS IAM은 AWS 리소스에 대한 접근을 제어하는 반면,  Azure Entra ID는 MS 서비스의 사용자 인증에 초점이 맞춰져 있다는 걸 알 수 있다. 

예를 들어, AWS IAM에서는 사용자가 AWS 내의 특정 S3 버킷을 읽을 수 있는지 여부를 IAM 정책을 통해 결정한다. 반면 Entra ID에서는 Azure를 포함한 다양한 MS 서비스의 사용자 로그인 및 인증을 담당하고, 해당 사용자가 Azure Storage 계정에 접근할 수 있는지는 Azure RBAC에서 결정한다.

복잡해보이지만 일단 Azure에 속한 하위 서비스가 아니라, Azure가 그렇듯 Entra ID도 MS의 서비스라고 이해하면된다.

+ Entra ID의 라이센스

MS 서비스이다 보니 유료 라이센스가 존재한다. 간단히 무료, P1, P2로 나눌 수 있는데 조건부 액세스 정책이나 Defender 사용 등 무료 버전에서는 지원이 되지 않는 서비스가 있다: https://learn.microsoft.com/ko-kr/entra/fundamentals/licensing

Microsoft Entra 라이선싱 - Microsoft Entra

---

여기까지 Entra ID의 역할과 AWS와 비교되는 특징을 이해했다. 한 줄로 요약하면 'Azure를 포함한 MS 앱의 사용자 인증을 담당하는 서비스'라고 할 수 있겠다. 또 리소스에 대한 권한은 별개라고 설명했다. 즉, Entra ID에서서의 역할과 Azure에서의 역할이 구분된다는 뜻이다.

자세한 내용은 다음 글에서 다루겠다.