Azure 클라우드 내부에서 최소의 단위는 Resource이며 가상 머신, 스토리지 계정, 가상 네트워크 등등을 의미한다. 이러한 리소스들을 Resource Group 이라는 논리적 컨테이너로 묶어 관리할 수 있다. 함께 수명주기를 공유하고, 모니터링, 액세스 제어 및 배포 설정 등을 할 수 있다. 또한 리소스 그룹을 사용하여 리소스를 기능, 프로젝트 또는 애플리케이션 별로 논리적으로 구성할 수 있다.
Azure 구독은 실제 리소스의 경계이며, 리소스 그룹과 리소스 그룹에 포함된 모든 관련 리소스를 함께 그룹화하는 논리적 구조이다. 구독은 Azure Cloud 비용을 결정하기 위한 청구 단위로 사용된다.
Azure 구독은 항상 하나의 Microsoft Entra 테넌트에만 연결할 수 있다. Azure 구독을 활성화 하면 기본적으로 하나의 고유 테넌트에 연결이 된 상태가 된다. 이 연결을 통해 특정 Microsoft Entra 테넌트에 존재하는 사용자, 그룹 및 애플리케이션에 Azure 구독의 리소스에 대한 권한을 (RBAC를 통해) 부여할 수 있다.
여기서 테넌트라는 용어는 일반적으로 Microsoft 365, Intune 또는 Azure와 같은 Microsoft 클라우드 기반 서비스 구독에 등록한 회사 또는 조직을 나타내며, 각 서비스는 Microsoft Entra ID를 사용한다. 하지만 기술적인 관점에서 테넌트라는 용어는 개별 Microsoft Entra 인스턴스를 나타낸다.
Azure 구독 내에서 여러 Microsoft Entra 테넌트를 만들 수 있다. 다른 테넌트에 영향을 주지 않고 한 테넌트에서 Microsoft Entra 기능을 테스트하려는 경우 여러 개의 Microsoft Entra 테넌트를 보유하는 것이 편리할 수 있다.
GhatGPT에게 Entra ID와 Azure 구독에 대한 관계를 설명해달라고 해 봤다. 결과는 다음과 같다.
Entra ID와 Azure 구독의 관계
Microsoft Entra ID는 Azure 리소스에 대한 인증 및 권한 부여를 담당하는Identity as a Service (IDaaS)플랫폼입니니다.
Entra ID 역할: 사용자의 인증과 액세스를 관리하며 Azure 구독에 할당된 리소스의 보안을 강화합니다.
Azure 구독: 리소스 사용과 청구 관리를 위한 Azure의 기본 단위입니다. Entra ID는 Azure 구독의ID 공급자로 작동합니다.
주요 연결점:
Entra ID에 등록된 사용자 및 그룹은 Azure 구독의 리소스에 대해 권한을 할당 받을 수 있습니다.
역할 기반 액세스 제어 (RBAC)를 통해 Entra ID 사용자와 그룹은 Azure 구독 및 리소스에 접근 권한을 부여 받습니다.
각 Azure 구독은 Entra ID 테넌트와 연결됩니다.
이제 이 개념을 토대로 핸즈온을 해보록 하자.
핸즈온: Entra ID와 Azure 구독 관계 실습
목표
Entra ID 테넌트를 이해하고 Azure 구독에 사용자 및 그룹을 할당하여 권한을 테스트한다.
Overveiw탭에서 현재 테넌트 이름과 ID, 기본 도메인 및 라이선스 정보를 확인할 수 있다.
가 Microsoft Entra 테넌트에는domainname.onmicrosoft.com과 같은 초기 도메인 이름이 제공된다. 이 초기 도메인 이름은 변경하거나 삭제할 수는 없다. 이 도메인에 하나 이상의 사용자 지정 도메인 이름을 추가하여 대신 사용할 수 있으며 이것이 실무에서는 일반적이며 실제로 필자 소유의thezerobig.com도메인을 추가하여 기본 도메인으로 사용해 보도록 하자.
1.Manage > Custom domain names로 이동하여 +Add custom domain을 선택한다.
2.Custom domain name입력 창에 소유한 도메인을 입력한다.
3. 도메인 소유권의 유효성을 검사하는 화면이 전시되며, 유효성 검사에 필요한 DNS 정보를 보여 주는데 이 정보를 저장한다.
2.2 도메인 등록 기간에 DNS 정보 추가
1. 소유한 해당 도메인 등록 기관으로 이동하여 이전 단계에서 복사한 TXT 파일에서 DNS 정보를 추가해야 한다.
2. 먼저 각 자 소유한 도메인 관리 화면으로 이동한다. 필자는 Azure Portal의 App Service Domains를 통해 도메인을 구매했으므로 Azure Portal의 App Service Domains 화면으로 이동했다. Azure Portal의 App Service Domains의 구매 및 앱 구성에 대한 정보는여기를 참고한다.
App Service Domains > Overview블레이드에서Manage DNS records를 클릭한다.
3.Record sets를 선택한다.
4.+ Add를 클릭하고 다음과 같이 복사한 정보를 토대로 레코드 셋을 입력 및 선택한다.
위에서 추가한 레코드가 전파되는 중이므로 도메인 유효성 확인이 완료되는 데 1시간 이상이 소요될 수 있다.
참고 필자와 달리 다른 Azure 포털이 아닌 다른 호스팅 업체에서 도메인을 구입한 경우에도 유사한 방식으로 레코드 추가 화면에서 위 과정을 수행하면 된다. 아래 예시는 호스팅 KR을 통해 필자가 추가로 구매하여 보유한 zerobig.kr 도메인에 대한 레코드 추가 관리 화면 이다.
6. 새로운 창에서Manage > Custom domain names화면으로 이동하여 결과를 확인해 보면 정상적으로 Verified 가 이우러 진 것을 확인할 수 있다. 필자의 경우에는 약 10분 정도 소요되었다.
3. 사용자 지정 도메인을 기본 도메인으로 지정하기
이제 정상적으로 사용자 지정 도메인이 추가 되었으니 이 도메인을 Entra ID의 기본 도메인으로 설정하여 사용하고자 한다.
1. 먼저 추가된 사용자 지정 도메인으로 들어가Make primary를 클릭한다.
2.Entra ID의Overview블레이드로 이동하여Primary domain의 값을 확인해 본다. 이제 추가한 사용자 지정 도메인이 기본 도메인으로 지정되었음을 확인할 수 있다. 화면에 정상적으로 업데이트 된 값이 전시 되기 전까지 수분이 소요될 수 있다.
이제 다음 편에서는 생성한 테넌트에서 새로운 사용자 및 그룹 추가, 라이선스 할당, 테넌트와 구독 연결 등의 내용으로 실습을 진행하도록 하자.
