Kerberos 제한된 위임
Kerberos 제한 위임은 Windows Server의 새 기능입니다. 이 기능은 서비스 관리자에게 애플리케이션 서비스가 사용자 대신 작동할 수 있는 범위를 제한하여 애플리케이션 신뢰 경계를 지정 및 시행할 수 있는 능력을 제공합니다. 이 기능은 어느 프런트 엔드 서비스 계정이 백엔드 서비스에 위임할 수 있는지 구성해야 할 때 유용할 수 있습니다. 또한 Kerberos 제한된 위임은 gMSA가 Active Directory 사용자 대신 어떠한 서비스에도 연결하는 것을 방지하여 악의의 개발자에 의해 남용될 가능성을 배제합니다.
예를 들어 사용자 jsmith가 HR 애플리케이션에 로그인한다고 가정합시다. SQL Server가 jsmith의 데이터베이스 권한을 적용하기를 원합니다. 하지만 기본적으로 SQL Server는 jsmith의 구성된 권한이 아니라 hr-app-service의 권한을 적용하여 서비스 계정 자격 증명을 사용하는 데이터베이스 연결을 개설합니다. HR 급여 애플리케이션이 jsmith의 자격 증명을 사용하여 SQL Server 데이터베이스에 액세스할 수 있도록 해야 합니다. 이렇게 하려면 AWS의 AWS Managed Microsoft AD 디렉터리에서 hr-app-service 서비스 계정에 대해 Kerberos 제한 위임을 활성화합니다. jsmith가 로그인하면 Active Directory는 jsmith가 네트워크에서 다른 서비스에 액세스하려고 시도할 경우 Windows가 자동으로 사용하는 Kerberos 티켓을 제공합니다. Kerberos 위임은 hr-app-service 계정이 데이터베이스에 액세스할 때 jsmith Kerberos 티켓을 재사용하도록 합니다. 따라서 데이터베이스 연결을 개설할 때 jsmith에 고유한 권한을 적용할 수 있습니다.
AWS Managed Microsoft AD의 사용자가 Kerberos 제한 위임을 구성할 수 있는 권한을 부여하려면, 해당 사용자의 계정을 AWS위임 Kerberos 위임 관리자 보안 그룹의 멤버로 추가해야 합니다. 기본적으로 관리자 계정은 이 그룹의 멤버입니다. Kerberos 제한된 위임에 대한 자세한 내용은 Microsoft TechNet 웹 사이트에서 Kerberos 제한된 위임 개요
리소스 기반 제한된 위임
